Рейтинг:0

Маршрутизация всего трафика через VPN-узел при приеме входящих подключений WAN

флаг br

Я хочу направить весь трафик через другой VPN-узел, при этом:

  • Держите соединение с VPN-сервером активным (уже работает)
  • Все еще принимает WAN-соединения на этом клиенте.

Моя конфигурация клиентского узла:

# 35.1.1.1: WAN IP VPN-сервера
# 192.168.8.1: WAN-шлюз клиента
# 10.25.0.1: IP-адрес внутреннего VPN-сервера (ниже не используется)
# 10.25.0.3: VPN-шлюз для клиента (сам шлюз тоже является клиентом)

ip route add 35.1.1.1/32 через 192.168.8.1 # защитить маршрут до VPN-сервера
ip route del default via 192.168.8.1 # удалить исходный маршрут по умолчанию
ip route add default через 10.25.0.3 # перенаправить на другой узел VPN

При выполнении этих команд шлюз работает — каждый трафик от клиентского узла направляется через VPN-шлюз (10.25.0.3), при этом соединение с сервером (35.1.1.1/10.25.0.1) сохраняется.

Единственная проблема в том, что клиент больше не будет принимать соединения. я читал что-то о fwmarkи правила политики на основе источников но я не понимаю, что мне действительно нужно и какие команды мне нужно ввести.

Рейтинг:0
флаг br

Чтобы это работало:

Этот способ не требует fwmark или любые дополнительные правила брандмауэра.

Вот мой рабочий скрипт конфигурации. Я старался комментировать как можно больше.

INTERFACE=tun0 # интерфейс VPN
#REMOTEADDRESS=35.1.1.1 # Реальный IP-адрес VPN-сервера
REMOTEADDRESS=`dig +short <VPN-Server>` # Введите имя хоста VPN-сервера или замените выражение через IP, см. выше

VPN_GATEWAY=10.25.0.3
#ORIGINAL_GATEWAY="через 192.168.8.1 dev eth0"
ORIGINAL_GATEWAY=`ip route show | grep ^ по умолчанию | вырезать -d '' -f 2-5`
ORIGINAL_NAMESERVER=`cat /etc/resolv.conf | grep ^сервер имен | вырезать -d '' -f 2`

# Отключить фильтрацию обратного пути
echo 0 > /proc/sys/net/ipv4/conf/eth0/rp_filter # устройство ETH
echo 0 > /proc/sys/net/ipv4/conf/tun0/rp_filter # VPN-устройство

ip route add $REMOTEADDRESS $ORIGINAL_GATEWAY # защитить маршрут к VPN-серверу
ip route add $ORIGINAL_NAMESERVER $ORIGINAL_GATEWAY # ДОПОЛНИТЕЛЬНО: защитить маршрут к DNS. Требуется для Google Cloud.
IP-маршрут добавить $VPN_GATEWAY dev $INTERFACE
ip route add 0.0.0.0/1 через $VPN_GATEWAY dev $INTERFACE
ip route add 128.0.0.0/1 через $VPN_GATEWAY dev $INTERFACE

# Добавляем пользовательскую таблицу маршрутизации
эхо 200 пользовательский >> /etc/iproute2/rt_tables
ip rule add from 192.168.8.100 table custom prio 1 # Real Client IP
ip route del default через 192.168.8.1 # реальный шлюз
ip route добавить по умолчанию через 192.168.8.1 dev eth0 table custom

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.