welinux.ru/Есть проблема! — vtun и маршрутизация

11.07.10 15:46 Ky6uk

Есть проблема! — vtun и маршрутизация

Есть две машины. На одной (SERVER) Ubuntu 10.04, на другой (CLIENT) Debian 5.0. На первой настроен vtun-сервер с интерфейсом tun0 и адресом 192.168.200.1. На второй настроен vtun-клиент с интерфейсом tun0 и адресом 192.168.200.2. Так же на этих машинах есть внешние интерфейсы eth0 с "белыми" адресами (213.100.100.24 и 194.60.60.12 соответственно).

В итоге получается следующее:

SERVER:

1
2
3
4
5
6 ~$ ip a ... 2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP qlen 1000 inet 213.100.100.24/24 brd 213.100.100.255 scope global eth0 14: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1420 qdisc pfifo_fast state UNKNOWN qlen 500 inet 192.168.200.1 peer 192.168.200.2/32 scope global tun0

1
2
3
4 ~$ ip r 192.168.200.2 dev tun0 proto kernel scope link src 192.168.200.1 213.100.100.0/24 dev eth0 proto kernel scope link src 213.100.100.24 default via 213.100.100.17 dev eth0 metric 100

CLIENT:

1
2
3
4
5
6 ~$ ip a ... 2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000 inet 194.60.60.12/28 brd 194.60.60.15 scope global eth0 3: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1300 qdisc pfifo_fast state UNKNOWN qlen 500 inet 192.168.200.2 peer 192.168.200.1/32 scope global tun0

1
2
3
4 ~$ ip r 192.168.200.1 dev tun0 proto kernel scope link src 192.168.200.2 194.60.60.0/28 dev eth0 proto kernel scope link src 194.60.60.12 default via 194.60.60.1 dev eth0

Туннель работает в обе стороны для обеих машин (через 192.168.200.1 и 192.168.200.2 пакеты ходят, соединения устанавливаются и т.д.). Теперь я хочу чтобы все соединения на хост 194.60.60.12 шли через туннель, соответственно прописываю маршрут

~$ sudo ip r a 194.60.60.12 dev tun0

После этого пакеты через tun0 ходить перестают. Где я ошибся и как это можно решить? Думаю сделать форвардинг всех соединений на адрес 194.60.60.12 через tun0 с помощью iptables, но может можно сделать без задействования iptables?

Похожие +3–

Теги: маршрутизация vtun

: xT 11.07.10 17:32 # +1–

route add -host 194.60.60.12 gw 192.168.200.2 dev tun0

Ky6uk 11.07.10 17:37 # +0–

Это так же не помогает. После прописывания маршрута полностью перестают ходить пакеты через tun0.

: xT 11.07.10 17:44 # ↑ +0–

отвечей в коммент.

конфиги vtun`ов покажи

sakal 11.07.10 17:39 # +3–

Так делать нельзя. Вы пытаетесь рубить сук, на котором сидите.

Ky6uk 11.07.10 17:45 # ↑ +0–

Я догадываюсь что vtun использует этот адрес для работы туннеля и поэтому его нельзя роутить в созданный им же интерфейс. Получается таки придется форвардить отдельные порты через iptables?

sakal 11.07.10 17:48 # ↑ +0–

Разумно было бы сменить постановку задачи.
Например обращаться к хосту по имени и имя это задать в DNS/hosts. Сам суть вопроса пахнет криминалом.

Ky6uk 11.07.10 17:51 # ↑ +0–

Криминала никакого нет. Просто появилась необходимость обезопасить соединение двух серверов с помощью шифрованного туннеля. И вместо переписывания конфигов различных сервисов (в частности хост с внешного на локальный, созданный туннелем) подумал что проще будет завернуть все соединения на внешний хост в туннель.

: main 11.07.10 20:25 # ↑ +1–

Пропишите маршрут к шлюзу по умолчанию через реальный интерфейс, а потом можете завернуть всё через tun - если я правильно Вас понял.

main 11.07.10 20:28 # ↑ +1–

Возможно это Вам поможет.

: Ky6uk 11.07.10 20:33 # ↑ +0–

Это не совсем то, то мне нужно, но заинтересовало. Решил таки остановиться на решении с помощью форвардинга отдельных портов с помощью iptables или реконфигурации сервисов.

cppmm 13.07.10 11:08 # +3–

Так не пойдёт, всё правильно. Для поднятия туннеля используется default маршрут к 194.60.60.12. Когда вы добавляете руками маршрут через интерфейс туннеля, сам туннель не может держать, потому что маршрут для его поддержки идёт через него же. Чувствуете, какую хитрую петлю вы попытались закрутить? Замкнутый круг. Если у вас на серверах есть какие-то сервисы, надо просто настроить их так, чтобы они кроме прочего слушали и на ip туннеля и обращаться к ним именно по этому адресу. Тут уже надо смотреть настройку каждого отдельно взятого демона. Ну а если за серверами у вас стоят локальные сети с клиентами, которым надо попадать через туннель, то надо прописывать маршруты именно для адресов локалки(и не забыть про маскарад).

: Ky6uk 14.07.10 00:33 # ↑ +0–

Да, это уже стало понятно. :)

—

todeus — « Есть вопрос! / Хром, Ubuntu и... Qip» todeus — « Есть вопрос! / Хром, Ubuntu и... Qip» Flying_Funk — « Есть вопрос! / Хром, Ubuntu и... Qip» ( -1 ) Есть вопрос! — «Хром, Ubuntu и... Qip» ( 1 ) Username — « Переводы / Debian: дистрибутив прошлого?» Username — « Переводы / Debian: дистрибутив прошлого?» solomenikm — « K-9 / Про uTorrent, плюшки и сбычу мечт» Astramak — « Есть вопрос! / Завязываем с фанатичностью. Или расскажите почему ДЕ УГ!» ner_uto — « Переводы / Debian: дистрибутив прошлого?» Zereal — « Переводы / Debian: дистрибутив прошлого?» ner_uto — « Переводы / Debian: дистрибутив прошлого?» ner_uto — « Переводы / Debian: дистрибутив прошлого?» macumazan — « Есть проблема! / Samba предел записи в 6 MB/s на Гигабите» ner_uto — « Переводы / Debian: дистрибутив прошлого?» main — « Есть вопрос! / Как обновить BIOS из-под Ubuntu?» ( 1 ) ner_uto — « Переводы / Debian: дистрибутив прошлого?»
Последние посты
Последние комментарии
Изменения
Черновики (все)
Избранное (всё)

Лучшие блоги (все 133) Tips & tricks (30) Есть вопрос! (24) How-to`s (22) Archlinux (22) Vim (21) Мой рабочий стол. (17) Скрипты (16) Linux Games (15) KDE (15) Debian (14)
Элита (все 2589 из 203 городов) muhas (246.6) Username (243.55) Aesdana (130.9) Shtsh (120.9) h0rr0rr_drag0n (119.7) cppmm (117.8) ZogG (110.9) Minoru (98.05) digiwhite (95.9) LeniH (92.45)

В сети: todeus, mwChief, WTS, xT, s.c.o.r.p.i.o.n., greatperson, goblinyara, shidoh, silent, ner_uto

Новенькие: myinazosicnjkr, megabaks, andromedius, Machete, wi1fu1_alive