https://www.opennet.ru/openforum/vsluhforumID1/97403.html Здравствуте,<br><br>Я пытаюсь настроить перенаправление всех коннектов на порт 161 через второй шлюз в то время как остальные коннекты должны идти на прямую.<br><br>Схема:<br>[локалхост] -&gt; [впншлюз] -&gt; [сервер] - OK<br>[локалхост] &lt;- [впншлюз] &lt;- [сервер] - пакет исчезает после впн туннеля. То есть я могу ответный пакет проснифать на tun0 но дальше он просто исчезает<br><br>при этом -A INPUT -j ACCEPT стоит. В итоге приложение не видит ответный пакет и переотправляет его пока ему это не надоедает. С TCP пакетами происходит аналогичное, TCP-retransmission ловлю на шлюзе<br><br>на шлюзе обычный маскарад стоит даже без указания откуда и куда, короче если как шлюз указать главный все прекрасно работает<br><br>что я делал что бы настроить это шаманство<br>создал новую таблицу в rt_tables 201 gw1<br><br>далее правила<br>ip route add default via 10.8.0.1 dev tun0 table gw1<br>ip rule add fwmark 0x1 table gw1<br>iptables -A OUTPUT -t mangle -o eth0 -p tcp --dport 443 -j MARK --set-mark 1<br>iptables -A POSTROUTING -t nat -o tun0 -p tcp --dport 443 -j SN https://www.opennet.ru/openforum/vsluhforumID1/97403.html#3 Thu, 18 Apr 2019 02:39:00 GMT &gt; Я фрилансер) кота бы позвал, да и его нет) <br><br>тогда соседку (без соседа!), надеюсь соседка есть?<br><br>ей будет крайне интересно послушать увлекательный рассказ <br>о маршрутизации ма-аленьких таких себе пакетиков )))<br> https://www.opennet.ru/openforum/vsluhforumID1/97403.html#2 Wed, 17 Apr 2019 19:30:50 GMT &gt; Похоже на косяк в маршрутах. Особенно если балуешься с NAT.<br>&gt; Позови ребёнка (или ещё какого джуниора) и расскажи ему в лицах, что <br>&gt; происходит с пакетом на каждом шаге. Сам разберёшься.<br><br>Я фрилансер) кота бы позвал, да и его нет)<br><br>В общем у меня адски горит жопа, потому что проблема была там где я предполагал<br><br>for f in /proc/sys/net/ipv4/conf/*/rp_filter; do echo 0 &gt; $f; done<br>echo 1 &gt; /proc/sys/net/ipv4/route/flush<br><br>все работает теперь, и правила правильные у меня<br>напридумывают дерьма какого-то потом разбирайся. Каждый раз об этот сраный sysctl.conf натыкаюсь, там новые опции появляются быстрее чем я живу.<br><br>притом надо снять защиту от спуфинга на каждом интерфейсе именно! опция all не работает разумеется.<br> https://www.opennet.ru/openforum/vsluhforumID1/97403.html#1 Wed, 17 Apr 2019 19:11:15 GMT Похоже на косяк в маршрутах. Особенно если балуешься с NAT.<br><br>Позови ребёнка (или ещё какого джуниора) и расскажи ему в лицах, что происходит с пакетом на каждом шаге. Сам разберёшься.<br><br>