Início / unix / Perguntas / 725727
Accepted
MrSnrub
Asked: 2022-11-22 01:57:33 +0800 CST

Roteie todo o tráfego de uma interface (gateway padrão) por OpenVPN / tun0 - roteamento baseado em política, dependente do endereço/interface de origem

  • 772

Eu tenho um roteador Debian Linux VPN myvpnservercom 2 interfaces eno1e eno2:

  • eno1está conectado a uma LAN e um roteador de internet. Nesta interface com endereço IP estático, myvpnservertem seu gateway padrão (para a Internet). O OpenVPN se conecta a um servidor VPN usando esta conexão com a Internet.
  • eno2está conectado a um interruptor. Um servidor DHCP é executado nesta interface. Quero que todo o tráfego dos clientes conectados eno2seja roteado pela VPN /tun0.

A configuração básica funciona bem. De hosts conectados a eno2I, posso acessar hosts na LAN VPN remota (por exemplo 10.123.0.0/24).

Meu próximo objetivo é rotear myvpnserverdependendo do endereço ou interface de origem.

Se myvpnserverconectar à Internet (por exemplo, ftp.debian.orgou host VPN), deve usar o gateway padrão via eno1. Se um cliente conectado a eno2deseja se conectar aos mesmos hosts da Internet (por exemplo, ftp.debian.org), o tráfego deve ser roteado pela VPN / tun0em vez do myvpnservergateway padrão do .

// For Incoming Traffic:
If( InputInterface = eno2 ) Then
    default_gateway = 172.17.100.1
Else
    default_gateway = gateway as declared in /etc/network/interfaces
End If

Descobri que o roteamento baseado em políticas parece ser o caminho a percorrer. Enquanto o roteamento "normal" é baseado apenas no destino, o roteamento baseado em política é considerado capaz de considerar aspectos adicionais, como a interface de entrada ou o intervalo de IP de origem.

Quais são os passos a tomar? (Estou no Debian 11 / Bullseye.)

1.) Adicionei uma linha 1000 vpntunnela /etc/iproute2/rt_tables.

Qual é o próximo? Você pode me indicar um exemplo de configuração?

Muito obrigado por qualquer conselho!

routing

1 respostas

  1. Best Answer

    As próximas etapas podem ser tão simples quanto adicionar uma regra de política e uma entrada na tabela de roteamento.

    Podes tentar:

    ip route add default via 172.17.100.1 table 1000
ip rule add type unicast iif eno2 table 1000 pref 30000

    Estou assumindo que 172.17.100.1 é a outra extremidade do seu túnel VPN. Eu usei o valor numérico de 1000 para a tabela, mas como você adicionou uma entrada com o nome "vpntunnel", você pode usar o nome.

    Sua VPN pode já ter alguma configuração que pode entrar em conflito com o que estou sugerindo. As saídas de " ip rule show" e " ip route show table all" podem ser úteis na questão. Além disso, a configuração existente do iptables também pode exigir uma alteração na solução sugerida.

    • 1

relate perguntas