Comparez les prix des domaines et des services informatiques des vendeurs du monde entier

Routeur http et ssh trafic dans le mode habituel, tout le reste à travers le tunnel vpn

Lisez un peu et fermez, ressentez et tirez les cheveux ...

vous êtes les bienvenus

Aider!

J'ai un client OpenVPN, Le serveur qui définit les itinéraires locaux et change également gw défaut (Je sais que je peux l'empêcher d'utiliser --route-nopull). Je voudrais tout le trafic sortant http et ssh à travers gw, Et tout le reste à travers vpn.

Adresse IP locale - 192.168.1.6/24, gw 192.168.1.1.

Adresse IP locale OpenVPN - 10.102.1.6/32, gw 192.168.1.5

Serveur OpenVPN Situé à l'adresse {OPENVPN_SERVER_IP}

Voici la table de route après la connexion openvpn:

# ip route show table main
0.0.0.0/1 via 10.102.1.5 dev tun0
default via 192.168.1.1 dev eth0 proto static
10.102.1.1 via 10.102.1.5 dev tun0
10.102.1.5 dev tun0 proto kernel scope link src 10.102.1.6
{OPENVPN_SERVER_IP} via 192.168.1.1 dev eth0
128.0.0.0/1 via 10.102.1.5 dev tun0
169.254.0.0/16 dev eth0 scope link metric 1000
192.168.1.0/24 dev eth0 proto kernel scope link src 192.168.1.6 metric 1

Il fait que tous les colis passent dans le tunnel VPN, Outre ceux qui sont destinés à 192.168.1.0/24.

Faire, construire

wget -qO- [url=http://echoip.org]http://echoip.org[/url]

Affiche l'adresse du serveur vpn, Comme prévu, les colis ont 10.102.1.6 comme une adresse source (local ip vpn) et acheminer à travers

tun0

... comme signalé

tcpdump -i tun0

(

tcpdump -i eth0

ne voit aucun trafic).

J'ai essayé:

Créer une deuxième table de routage contenant des informations de routage 192.168.1.6/24 (copié

main

Table ci-dessus)

Ajouter

iptables -t mangle -I PREROUTING

Règle pour étiquetage des packages destinés au port 80

Ajouter

ip rule

Faites correspondre le paquet déformé et spécifiez-le à la deuxième table de routage

Ajouter une règle IP pour

to 192.168.1.6

et

from 192.168.1.6

Spécifiez la deuxième table de routage (Bien que ce soit trop)

changé la vérification du filtre ipv4 En l'absence de B.

net.ipv4.conf.tun0.rp_filter=0

et

net.ipv4.conf.eth0.rp_filter=0

J'ai aussi essayé

iptables mangle output

Régner

iptables nat prerouting

Régner. Il ne travaille toujours pas, et je ne suis pas sûr de me manquer:


iptables mangle prerouting

: Le paquet traverse toujours vpn


iptables mangle output

: Le temps d'attente de paquet a expiré

N'est-ce pas vrai de réaliser ce que je veux, alors lors de la performance

wget [url=http://echoip.org]http://echoip.org[/url]

Je dois changer l'adresse de la source du paquet sur 192.168.1.6 avant son routage? Mais si je fais cela, la réponse du serveur HTTP sera redirigée vers 192.168.1.6 et

wget

ne verrait pas cela parce qu'il est toujours associé à

tun0

(interface vpn)?

Une bonne âme peut-elle aider? Quelles commandes vous feriez après la connexion openvpn, Pour atteindre ce que je veux?

J'ai hâte de la croissance des cheveux ...
Invité:

Dominique

Confirmation de:


0.0.0.0/1 via 10.102.1.5 dev tun0

C'est ton problème.

0.0.0.0/1 - Ceci est une gamme incroyablement large d'adresses IP. (0.0.0.0 - 127.255.255.255), Et ceci est la première entrée de votre table de routage, de sorte que toute adresse IP tombant dans cette plage sera forcée de descendre.

tun0

. La gamme est si importante qu'elle couvre la plus grande partie de l'espace IP routé sur Internet. Alors, echoip.org, qui me permet 69.163.172.52, contenu dans 0.0.0.0/1 (0.0.0.0 - 127.255.255.255).

Pour savoir si j'ai raison, essayez wget
http://serverfault.com
, qui est autorisé pour moi dans 198.252.206.16, et voir s'il sort de eth0. Doit parce qu'il va au-delà (0.0.0.0 - 127.255.255.255).

En général, je fais habituellement mon espace IP tun0 Spécifique maximum.

10.102.0.0/16 via 10.102.1.5

par exemple.

Si votre objectif n'est pas de diriger tout votre trafic Internet par un moyen spécifique des raisons de sécurité / Surveillance, j'essaierais de réduire l'espace de votre adresse IP du tunnel.

Pour répondre aux questions, connectez-vous ou registre