MrSnrub's questions

Eu tenho um roteador Linux simples com vários NICs e encaminhamento IPv4 habilitado.

O roteador possui dois endereços IP WAN estáticos, atribuídos a uma interface ( eth0, eth0:0). (No texto a seguir, ofuscarei os endereços IP públicos reais (257 como um octeto).)

O roteador pode receber ping em ambos os endereços IP WAN externos da Internet externa.

Interfaces:

• eth0: Conexão com a Internet, 134.257.10. 24/10 , gateway 134.257.10.1
• eth0:0: Segundo endereço IP nessa interface: 134.257.10. 20/24 _
• eth1: LAN 1, 192.168.1.1/24
• eth2: LAN2, 192.168.2.1/24
• eth3: LAN 3, 192.168.3.1/24

Minha configuração funciona e todos os clientes LAN (LAN 1-3) podem acessar a Internet e são vistos externamente como 134.257.10. 10 . Além disso, tenho dois encaminhamentos de porta de entrada.

Minha tabela NAT do iptables é assim:

*nat
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
# Port forwarding:
-A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.1.10:80
-A PREROUTING -i eth0:0 -p tcp -m tcp --dport 25 -j DNAT --to-destination 192.168.3.33:25
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT

Como posso fazer com que os clientes LAN3 ( eth3) apareçam como 134.257.10. 20 na Internet ( eth0:0) para conexões de saída em vez de 134.257.10. 10 ( eth0)?

Eu tenho um roteador Debian Linux VPN myvpnservercom 2 interfaces eno1e eno2:

• eno1está conectado a uma LAN e um roteador de internet. Nesta interface com endereço IP estático, myvpnservertem seu gateway padrão (para a Internet). O OpenVPN se conecta a um servidor VPN usando esta conexão com a Internet.
• eno2está conectado a um interruptor. Um servidor DHCP é executado nesta interface. Quero que todo o tráfego dos clientes conectados eno2seja roteado pela VPN /tun0.

A configuração básica funciona bem. De hosts conectados a eno2I, posso acessar hosts na LAN VPN remota (por exemplo 10.123.0.0/24).

Meu próximo objetivo é rotear myvpnserverdependendo do endereço ou interface de origem.

Se myvpnserverconectar à Internet (por exemplo, ftp.debian.orgou host VPN), deve usar o gateway padrão via eno1. Se um cliente conectado a eno2deseja se conectar aos mesmos hosts da Internet (por exemplo, ftp.debian.org), o tráfego deve ser roteado pela VPN / tun0em vez do myvpnservergateway padrão do .

// For Incoming Traffic:
If( InputInterface = eno2 ) Then
    default_gateway = 172.17.100.1
Else
    default_gateway = gateway as declared in /etc/network/interfaces
End If

Descobri que o roteamento baseado em políticas parece ser o caminho a percorrer. Enquanto o roteamento "normal" é baseado apenas no destino, o roteamento baseado em política é considerado capaz de considerar aspectos adicionais, como a interface de entrada ou o intervalo de IP de origem.

Quais são os passos a tomar? (Estou no Debian 11 / Bullseye.)

1.) Adicionei uma linha 1000 vpntunnela /etc/iproute2/rt_tables.

Qual é o próximo? Você pode me indicar um exemplo de configuração?

Muito obrigado por qualquer conselho!