The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"2 сервера OpenVPN и 2 провайдера"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Открытые системы на сервере (Маршрутизация, NAT / Linux)
Изначальное сообщение [ Отслеживать ]

"2 сервера OpenVPN и 2 провайдера"  +/
Сообщение от sdoba on 31-Авг-13, 19:32 
Пожалуйста, помогите разобраться со схемой. Проблема даже не в том, как реализовать конкретное решение, а какие решения применить.

Есть linux-маршрутизатор (router3) и два подключенных к нему TPLink'a (router1,2), обеспечивающих аплинки с двух модемов.

Один из интерфейсов router3 смотрит в LAN. На нём поднято 2 процесса OpenVPN, создающих интерфейсы tun1,tun2.

--------------                            --------------
|4g modem|                            |4g modem|
--------------                            --------------
    |                                                |
    | usb                                         | usb
    |                                                |
------------------                    ------------------
|  router1        |                     |  router2         |
|10.11.11.2/30|                     |10.11.11.2/30|
------------------                    ------------------
    |                                                     |
    |                                                     |
    |                                                     |
    | eth1                                             | eth2
---------------------------------------------------------
|10.11.11.1/30          router3         10.22.22.1/30|
|                                                                           |
|                                                                           |
|                                                                           |
| 172.16.0.0/24 (сети туннелей) 172.17.0.0/24 |
|                                                                           |
| tun1 (port 11111)                  tun2 (port 22222) |
|                                                                           |
|                       10.100.100.1/24                          |
|                                                                           |
---------------------------eth0--------------------------
                                      |
                                      |
-------------------------------------------------
                    LAN  10.100.100.0/24
-------------------------------------------------


Задача в том, чтобы клиенты из LAN, подключившиеся по VPN к tun1 ходили в интернет через router1. И аналогично клиенты, подключившиеся к tun2 - через router2. И в то же самое время router3 в качестве дефолтного шлюза для себя должен иметь router1.

Нужен ли NAT(или несколько) и где его ставить? Заменить ли tun на tap, объединив tun1-eth1\tun2-eth2 в мосты? Настроить роутинг с помощью Policy Based Routing? Или как-то это всё комбинировать?

Уже запутался в возможных решениях. Сориентируйте в выборе.

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "2 сервера OpenVPN и 2 провайдера"  +/
Сообщение от Алексей (??) on 01-Сен-13, 09:33 
> Уже запутался в возможных решениях. Сориентируйте в выборе.

iproute2

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "2 сервера OpenVPN и 2 провайдера"  +/
Сообщение от gapsf2 (ok) on 01-Сен-13, 15:42 
В этом руководстве
https://www.opennet.ru/openforum/vsluhforumID1/94968.html
рассматривается работа через двух провайдеров:
http://handmade-linux-firewall.narod.ru/#routing

NAT очевидно должен осуществляться на обоих роутерах - их же публичныйм интерфейсам присваиваются IP-публичные адреса? Каждому свой адрес и на каждом нужен NAT.
Тут у вас недостаточно информации чтобы сказать нужен ли NAT и где.
Да для направления трафика через разные интерфейсы, нужен Policy Based Routing:
http://handmade-linux-firewall.narod.ru/#routing2policy.

Т.е. для выбора таблицы маршрутизации в зависимости от входящего интерфейса:
ip rule add iif tun1 table табл_маршрутизации_1
ip rule add iif tun2 table табл_маршрутизации_2
и в этих таблицах сделаете маршрут по умолчанию через соответствующий интерфейс: eth1 или eth2.

В main default route сделаете как вы хотите - через router1.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "2 сервера OpenVPN и 2 провайдера"  +/
Сообщение от sdoba on 01-Сен-13, 21:34 
>[оверквотинг удален]
> присваиваются IP-публичные адреса? Каждому свой адрес и на каждом нужен NAT.
> Тут у вас недостаточно информации чтобы сказать нужен ли NAT и где.
> Да для направления трафика через разные интерфейсы, нужен Policy Based Routing:
> http://handmade-linux-firewall.narod.ru/#routing2policy.
> Т.е. для выбора таблицы маршрутизации в зависимости от входящего интерфейса:
> ip rule add iif tun1 table табл_маршрутизации_1
> ip rule add iif tun2 table табл_маршрутизации_2
> и в этих таблицах сделаете маршрут по умолчанию через соответствующий интерфейс: eth1
> или eth2.
> В main default route сделаете как вы хотите - через router1.

большое спасибо за исчерпывающий и полезный ответ!

Насчёт публичных ip... Yota выдаёт приватный адрес из своей внутренней сети, начинающийся на 10.
Ещё я допустил ошибку в схеме. =) У второго роутера ip 10.22.22.2.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "2 сервера OpenVPN и 2 провайдера"  +/
Сообщение от gapsf2 (ok) on 02-Сен-13, 08:36 
> Насчёт публичных ip... Yota выдаёт приватный адрес из своей внутренней сети, начинающийся
> на 10.

В общем, для выхода сети в Инет через один адрес, NAT достаточно делать один раз на интерфейсе того устройства (маршрутизатора), которому присваивается адрес, выданный провайдером.
Наверное router1 и router2 подключаются к провайдеру через PPTP и эти виртуальные интерфейсы получают адреса сети Yota, так?
В любом случае, на маршрутизаторах router1 и router2 есть по два интерфейса: один к шлюзу и один к провайдеру (скорее всего виртуальный pppX). У вас же на схеме у шлюзов один интерфейс и адрес.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру