https://www.opennet.dev/openforum/vsluhforumID1/97549.html Находил кучу материалов касающихся нескольких интерфейсов на машине, смотрящих на разных провайдеров, но все они, как правило, касались резервирования каналов, либо балансировки нагрузки. Меня же интересует немного другой момент.<br><br>Есть: Сервер с CentOS 8, и четырьмя интерфейсами Ethernet.<br><br>enp0: LAN. IPAddress: 192.168.1.1/24<br>enp1: Provider 1. IPAddress: 10.1.1.110/30 Default Gateway: 10.1.1.109<br>enp2: Provider 2. IPAddress: 10.2.2.220/28 Gateway: 10.2.2.209<br>enp3: Provider 3. IPAddress: 10.3.3.30/29 Gateway: 10.3.3.25<br><br><br>На сервере развёрнуты HTTP, FTP. Планируется развернуть OpenVPN (udp mode) для доступа из-вне в локальную сеть. Сама машина роутером не является (транзитный трафик между интерфейсами ethernet запрещён).<br><br>Пытаюсь из-вне пропинговать адреса интерфесов сервера.<br>ping 10.1.1.110 - отправлено 5 пакетов / получено 5 пакетов<br>ping 10.2.2.220 - отправлено 5 пакетов / получено 0 пакетов<br>ping 10.3.3.30 - отправлено 5 пакетов / получено 0 пакетов<br><br>Сканер запущенный на сервере показал, что п https://www.opennet.dev/openforum/vsluhforumID1/97549.html#8 Fri, 20 Mar 2020 05:38:25 GMT Огромное спасибо!<br><br>Именно так и прописал таблицы и правила. А на счёт "Policy Based Routing" и "Source routing", так тут дело не в эрудиции, а в попытке придумать "наукообразный" термин, когда забыл правильный, а рыться лень.<br><br>&gt;[оверквотинг удален]<br>&gt; ip route add default vi 10.3.3.25 table 1033 <br>&gt; ip rule add from 10.3.3.30 table 1033 <br>&gt; (я нигде в масках не ошибся?) <br>&gt; Этого достаточно для того, чтобы отвечать на том-же интерфейсе на который подключился <br>&gt; клиент.<br>&gt; Это базовая конфигурация multihomed. На её основе можно достраивать разнообразные усложнения, <br>&gt; типа резервирования каналов, балансировку и т.д.<br>&gt; Это proof of concept, оно будет работать, но для продакшена стоит его <br>&gt; причесать. Дать осмысленные имена таблицам, автоматизировать добавление правил при включении <br>&gt; интерфейса, и убирании их-же при выключении, и т.д.<br><br> https://www.opennet.dev/openforum/vsluhforumID1/97549.html#7 Thu, 19 Mar 2020 15:23:38 GMT Its Magic.gif<br> https://www.opennet.dev/openforum/vsluhforumID1/97549.html#6 Thu, 19 Mar 2020 14:59:58 GMT господи, как у вас всё сложно! понятно от чего вы такие злые и ненавидите бсдехи ;) на бсдешном pf'е всего две команды достаточно: route-to и reply-to. в данном случае даже достаточно последней. ещё есть сквозные(от l2 к l3) тэги- для особых извращений<br> https://www.opennet.dev/openforum/vsluhforumID1/97549.html#5 Fri, 13 Mar 2020 21:31:47 GMT &gt;&gt; Подскажите, пожалуйста, как сделать так, чтобы ответы на пинги (и сессии OpenVPN), <br>&gt;&gt; отправлялись с того же интерфейса (и с того же IP), на <br>&gt;&gt; который пришел запрос?<br>&gt; https://access.redhat.com/solutions/53031 <br><br>Они, редиски, описывают решение проблемы "RHEL ignore packets when the route for outbound traffic differs from the route of incoming traffic". А решение проблемы "How can I route network traffic such that the packets go out via the same interface they came in" по другой ссылке, но туда нельзя, ибо "Subscriber exclusive content". TLDP наше всё.<br><br>Но всё равно релевантно, спасибо. После решения роутинга, могут быть грабли с этим "Strict Reverse Path Forwarding".<br><br> https://www.opennet.dev/openforum/vsluhforumID1/97549.html#4 Fri, 13 Mar 2020 20:19:57 GMT <br>&gt; Подскажите, пожалуйста, как сделать так, чтобы ответы на пинги (и сессии OpenVPN), <br>&gt; отправлялись с того же интерфейса (и с того же IP), на <br>&gt; который пришел запрос?<br><br>https://access.redhat.com/solutions/53031<br><br><br> https://www.opennet.dev/openforum/vsluhforumID1/97549.html#3 Fri, 13 Mar 2020 17:39:28 GMT Вам вверху дали првильную ссылку, но, имхо, там несколько запутанно. Можно обойтись более простыми мерами.<br><br>&gt; Пытаюсь из-вне пропинговать адреса интерфесов сервера.<br>&gt; ping 10.1.1.110 - отправлено 5 пакетов / получено 5 пакетов <br>&gt; ping 10.2.2.220 - отправлено 5 пакетов / получено 0 пакетов <br>&gt; ping 10.3.3.30 - отправлено 5 пакетов / получено 0 пакетов <br>&gt; Сканер запущенный на сервере показал, что пинги на сервер прилетают, но ответы <br>&gt; отправляются через enp1 (Default Gateway) с выставленным Source IP 10.1.1.110.<br>&gt; Боюсь, что с OpenVPN может возникнуть такая же ситуация.<br><br>Да. Именно так оно и происходит по дефолту.<br><br>Дело в том, что:<br>- Интерфейс для исходящих пакетов зависит от выбранного маршрута, а именно gateway.<br>- Маршрут зависит от адреса получателя, мы его не контролируем совсем.<br>- Получатель, когда подключался к нам, сам выбрал по какому (нашему) адресу это делать, и этот адрес может не совпадать с интерфейсом на котором находится gateway который выбиаем мы на основе таблицы маршрутизации.<br> https://www.opennet.dev/openforum/vsluhforumID1/97549.html#2 Fri, 13 Mar 2020 07:29:02 GMT &gt; https://anr-daemon.livejournal.com/1655.html?thread=2679#t2679 <br>&gt; Почитай, похоже на твой случай...<br><br>Спасибо!<br>Очень похоже на то.<br><br> https://www.opennet.dev/openforum/vsluhforumID1/97549.html#1 Fri, 13 Mar 2020 07:08:26 GMT &gt; Подскажите, пожалуйста, как сделать так, чтобы ответы на пинги (и сессии OpenVPN), <br>&gt; отправлялись с того же интерфейса (и с того же IP), на <br>&gt; который пришел запрос?<br><br>https://anr-daemon.livejournal.com/1655.html?thread=2679#t2679<br><br>Почитай, похоже на твой случай...<br>