Настройка маршрутизации с 2 подключениями к интернету

[atruhin]

Знаю, что тема поднималась неоднократно, но перерыл все, несколько дней вожусь, не могу настроить.
Итак, конфигурация (ifconfig):

(Нажмите, чтобы показать/скрыть)

eth0      Link encap:Ethernet  HWaddr 00:0f:ea:22:a3:16 
          inet addr:192.168.0.1  Bcast:192.168.0.255  Mask:255.255.255.0
          inet6 addr: fe80::20f:eaff:fe22:a316/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:14382 errors:0 dropped:0 overruns:0 frame:0
          TX packets:20017 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:1146399 (1.1 MB)  TX bytes:6722761 (6.7 MB)
          Interrupt:19 Base address:0xe000

eth1      Link encap:Ethernet  HWaddr 00:e0:52:ab:c3:3a 
          inet addr:192.168.1.1  Bcast:192.168.1.255  Mask:255.255.255.0
          inet6 addr: fe80::2e0:52ff:feab:c33a/64 Scope:Link
          UP BROADCAST MULTICAST  MTU:1500  Metric:1
          RX packets:1030 errors:0 dropped:0 overruns:0 frame:0
          TX packets:163 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:86852 (86.8 KB)  TX bytes:14995 (14.9 KB)
          Interrupt:19 Base address:0x8000

eth1:0    Link encap:Ethernet  HWaddr 00:e0:52:ab:c3:3a 
          inet addr:192.168.1.2  Bcast:192.168.1.255  Mask:255.255.255.0
          UP BROADCAST MULTICAST  MTU:1500  Metric:1
          Interrupt:19 Base address:0x8000

lo        Link encap:Local Loopback 
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:112 errors:0 dropped:0 overruns:0 frame:0
          TX packets:112 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:10516 (10.5 KB)  TX bytes:10516 (10.5 KB)

tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 
          inet addr:10.10.0.1  P-t-P:10.10.0.1  Mask:255.255.255.0
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:6 errors:0 dropped:0 overruns:0 frame:0
          TX packets:17 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:456 (456.0 B)  TX bytes:1380 (1.3 KB)

eth0 - основной выход в интернет и локальную сеть провайдера, tun0 - интерфейс OpenVPN server, eth1 - локальная сеть.
Необходимо компьютерам из eth1 раздавать интернет через tun0 (шлюз 10.10.0.16).
Последние попытки основаны на статье http://gluf.net.ua/how-to/ispolzuem-2-provajdera/, и выглядят так:
iptables:

(Нажмите, чтобы показать/скрыть)

#!/bin/bash

IPTABLES=/sbin/iptables
MODPROBE=/sbin/modprobe

LOCAL_ETH=eth1
LOCAL_IP=192.168.1.1
LOCAL_NET=192.168.1.0/24

VPN_IP="10.10.0.1"
VPN_IP_RANGE="10.10.0.0/24"
VPN_IFACE="tun0"

GLOBAL_ETH_P1=eth0
GLOBAL_IP_P1=192.168.0.1
MARK_PRIM=10

GLOBAL_ETH_P2=tun0
GLOBAL_IP_P2=10.10.0.1
MARK_SEC=20

SRV11=192.168.1.1
SRV12=192.168.1.5

echo "

• Flushing existing iptables rules..."

$IPTABLES -F
$IPTABLES -F -t nat
$IPTABLES -F -t raw
$IPTABLES -F -t mangle
$IPTABLES -X
$IPTABLES -P INPUT ACCEPT
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -P FORWARD ACCEPT

$MODPROBE ip_conntrack
$MODPROBE iptable_nat
echo "

• Setting up FORWARD chain..."

$IPTABLES -A FORWARD -m state --state INVALID -j DROP
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

#Так у нас получается, что пакеты приходящие на первого провайдера пропускаются только на первый айпишник сервера, второго — на второй.
$IPTABLES -A FORWARD -i $GLOBAL_ETH_P1 -d $SRV11 -m state --state NEW -j ACCEPT
$IPTABLES -A FORWARD -i $GLOBAL_ETH_P2 -d $SRV12 -m state --state NEW -j ACCEPT

#Разрашаем весь исходящий трафик с нашего сервера, опять же это не совсем правильно.
$IPTABLES -A FORWARD -i $LOCAL_ETH -s $SRV11 -j ACCEPT
$IPTABLES -A FORWARD -i $LOCAL_ETH -s $SRV12 -j ACCEPT

$IPTABLES -t nat -A PREROUTING -i $GLOBAL_ETH_P1 -d $GLOBAL_IP_P1 -j DNAT --to-destination $SRV11
$IPTABLES -t nat -A PREROUTING -i $GLOBAL_ETH_P2 -d $GLOBAL_IP_P2 -j DNAT --to-destination $SRV12

$IPTABLES -t mangle -A PREROUTING -i $LOCAL_ETH -s $SRV11 -j MARK --set-mark $MARK_PRIM
$IPTABLES -t mangle -A PREROUTING -i $LOCAL_ETH -s $SRV12 -m limit --limit 3/minute --limit-burst 3 -j LOG --log-level DEBUG --log-prefix " IS MARKED: "
$IPTABLES -t mangle -A PREROUTING -i $LOCAL_ETH -s $SRV12 -j MARK --set-mark $MARK_SEC

ip route

(Нажмите, чтобы показать/скрыть)

#!/bin/sh
IP1=192.168.0.1
P1=192.168.0.99
P1_NET="192.168.0.0/24"
IF1=eth0
T1=inet_ooojin

IP2=10.10.0.1
P2=10.10.0.16
P2_NET="10.10.0.0/24"
IF2=tun0
T2=inet_home

SRV11=192.168.1.1
SRV12=192.168.1.2

#Добавляем дефаулт гетвей в каждую таблицу
ip route add $P1_NET dev $IF1 src $IP1 table $T1
ip route add default via $P1 table $T1

ip route add $P2_NET dev $IF2 src $IP2 table $T2
ip route add default via $P2 table $T2

#разберемся с основной таблицей, которая называется «main»
#ip route add $P1_NET dev $IF1 src $IP1
#ip route add $P2_NET dev $IF2 src $IP2
#ip route add default via $P1 metric 10

#Теперь приступим к правилам
ip rule add from $IP1 table $T1
ip rule add from $IP2 table $T2

ip rule add from $SRV11 fwmark 10 table $T1
ip rule add from $SRV12 fwmark 20 table $T2

Посылаю запрос от 192.168.1.5, по логу iptables вижу что он маркируется, но tcpdump -nn -t -v -p -i eth0 host 192.168.1.5 запросы попадают на eth0

(Нажмите, чтобы показать/скрыть)

tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
IP (tos 0x0, ttl 14, id 5290, offset 0, flags [none], proto ICMP (1), length 92)
    192.168.1.5 > 87.250.250.253: ICMP echo request, id 1, seq 704, length 72
IP (tos 0x0, ttl 127, id 5291, offset 0, flags [none], proto UDP (17), length 71)
    192.168.1.5.63886 > 8.8.8.8.53: 26264+ A? teredo.ipv6.microsoft.com. (43)

Т.е. не работает ip rule ?

[fisher74]

Покажите результирующие правила и маршрутизацию, мы здесь не онлайн-интерпретаторы.

Для tun0 маскарадинг считаете не надо организовывать?

Код: [Выделить]

sudo iptables -t nat -A POSTROUTING -i eth1 -o tun0 -j SNAT --to-source 10.10.0.1

[atruhin]

На код:

Код: [Выделить]

sudo iptables -t nat -A POSTROUTING -i eth1 -o tun0 -j SNAT --to-source 10.10.0.1выдало iptables v1.4.10: Can't use -i with POSTROUTING
Сделал:

Код: [Выделить]

iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o tun0 -j SNAT --to-source 10.10.0.1Результат тот же, пакеты идут на eth0
Привожу iptables-save

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.4.10 on Thu Aug  4 17:40:29 2011
*mangle
:PREROUTING ACCEPT [8135:505859]
:INPUT ACCEPT [7507:458363]
:FORWARD ACCEPT [577:44150]
:OUTPUT ACCEPT [10837:3459601]
:POSTROUTING ACCEPT [11443:3511103]
-A PREROUTING -s 192.168.1.1/32 -i eth1 -j MARK --set-xmark 0xa/0xffffffff
-A PREROUTING -s 192.168.1.5/32 -i eth1 -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix " IS MARKED: " --log-level 7
-A PREROUTING -s 192.168.1.5/32 -i eth1 -j MARK --set-xmark 0x14/0xffffffff
COMMIT
# Completed on Thu Aug  4 17:40:29 2011
# Generated by iptables-save v1.4.10 on Thu Aug  4 17:40:29 2011
*raw
:PREROUTING ACCEPT [8135:505859]
:OUTPUT ACCEPT [10838:3459965]
COMMIT
# Completed on Thu Aug  4 17:40:29 2011
# Generated by iptables-save v1.4.10 on Thu Aug  4 17:40:29 2011
*nat
:PREROUTING ACCEPT [9:724]
:INPUT ACCEPT [2:156]
:OUTPUT ACCEPT [2:120]
:POSTROUTING ACCEPT [6:412]
-A PREROUTING -d 192.168.0.1/32 -i eth0 -j DNAT --to-destination 192.168.1.1
-A PREROUTING -d 10.10.0.1/32 -i tun0 -j DNAT --to-destination 192.168.1.5
-A POSTROUTING -s 192.168.1.0/24 -o tun0 -j SNAT --to-source 10.10.0.1
COMMIT
# Completed on Thu Aug  4 17:40:29 2011
# Generated by iptables-save v1.4.10 on Thu Aug  4 17:40:29 2011
*filter
:INPUT ACCEPT [7507:458363]
:FORWARD ACCEPT [1:60]
:OUTPUT ACCEPT [10837:3459877]
-A FORWARD -m state --state INVALID -j DROP
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 192.168.1.1/32 -i eth0 -m state --state NEW -j ACCEPT
-A FORWARD -d 192.168.1.5/32 -i tun0 -m state --state NEW -j ACCEPT
-A FORWARD -s 192.168.1.1/32 -i eth1 -j ACCEPT
-A FORWARD -s 192.168.1.5/32 -i eth1 -j ACCEPT
COMMIT
# Completed on Thu Aug  4 17:40:29 2011

route -n

(Нажмите, чтобы показать/скрыть)

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
10.10.0.0       0.0.0.0         255.255.255.0   U     0      0        0 tun0
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 eth1
192.168.0.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0
0.0.0.0         192.168.0.99    0.0.0.0         UG    100    0        0 eth0

ip rule ls

(Нажмите, чтобы показать/скрыть)

0:   from all lookup local
32762:   from 192.168.1.2 fwmark 0x14 lookup inet_home
32763:   from 192.168.1.1 fwmark 0xa lookup inet_ooojin
32764:   from 10.10.0.1 lookup inet_home
32765:   from 192.168.0.1 lookup inet_ooojin
32766:   from all lookup main
32767:   from all lookup default

ip route ls table inet_home

(Нажмите, чтобы показать/скрыть)

10.10.0.0/24 dev tun0  scope link  src 10.10.0.1
default via 10.10.0.16 dev tun0

Что еще привести?

[fisher74]

А Вы уверены, что 192.168.1.5 работает с интерфейса eth1? может он прилетает с eth1:0. Физически-то и логически они в одном углу.

[atruhin]

Да точно, как раз с eth1:0 он и работает, уже вижу что напутал, поправлю проверю, но теперь уже завтра, на работе.
Только вопрос, почему тогда происходит маркировка пакетов, по:
-A PREROUTING -s 192.168.1.5/32 -i eth1 -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix " IS MARKED: " --log-level 7
-A PREROUTING -s 192.168.1.5/32 -i eth1 -j MARK --set-xmark 0x14/0xffffffff

[fisher74]

Я не утверждал,что это именно так, я пока только предполагаю. У меня не настолько широк круг практики в таблесах и iproute2 (я про последние вообще пару месяцев назад узнал), чтобы делать выводы и давать советы. вот пока все молчат, пытаюсь с Вами разобраться. Виртуальный практический опыт, так сказать

[atruhin]

Итак, убрал лишний eth1:0, поправил скрипты, эффект тот же, приходит на eth1, маркируется в iptables, на tun0 не маршрутизируется. Привожу обновленные данные:
ifconfig

(Нажмите, чтобы показать/скрыть)

eth0      Link encap:Ethernet  HWaddr 00:0c:29:f0:07:1e 
          inet addr:192.168.0.10  Bcast:192.168.0.255  Mask:255.255.255.0
          inet6 addr: fe80::20c:29ff:fef0:71e/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:11633 errors:0 dropped:0 overruns:0 frame:0
          TX packets:18581 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:834614 (834.6 KB)  TX bytes:7005553 (7.0 MB)

eth1      Link encap:Ethernet  HWaddr 00:0c:29:f0:07:28 
          inet addr:192.168.1.1  Bcast:192.168.1.255  Mask:255.255.255.0
          inet6 addr: fe80::20c:29ff:fef0:728/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:133 errors:0 dropped:0 overruns:0 frame:0
          TX packets:64 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:14154 (14.1 KB)  TX bytes:9607 (9.6 KB)

lo        Link encap:Локальная петля (Loopback) 
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:8 errors:0 dropped:0 overruns:0 frame:0
          TX packets:8 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:480 (480.0 B)  TX bytes:480 (480.0 B)

tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 
          inet addr:10.10.0.1  P-t-P:10.10.0.1  Mask:255.255.255.0
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:6 errors:0 dropped:0 overruns:0 frame:0
          TX packets:6 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:504 (504.0 B)  TX bytes:504 (504.0 B)

iptables-save

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.4.4 on Thu Aug  4 21:28:02 2011
*mangle
:PREROUTING ACCEPT [9461:438199]
:INPUT ACCEPT [9317:424951]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [16676:6487182]
:POSTROUTING ACCEPT [16685:6488954]
-A PREROUTING -s 192.168.1.0/24 -i eth1 -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix " IS MARKED: " --log-level 7
-A PREROUTING -s 192.168.1.0/24 -i eth1 -j MARK --set-xmark 0x14/0xffffffff
COMMIT
# Completed on Thu Aug  4 21:28:02 2011
# Generated by iptables-save v1.4.4 on Thu Aug  4 21:28:02 2011
*raw
:PREROUTING ACCEPT [9461:438199]
:OUTPUT ACCEPT [16676:6487182]
COMMIT
# Completed on Thu Aug  4 21:28:02 2011
# Generated by iptables-save v1.4.4 on Thu Aug  4 21:28:02 2011
*nat
:PREROUTING ACCEPT [156:15177]
:OUTPUT ACCEPT [9:1498]
:POSTROUTING ACCEPT [9:1498]
-A PREROUTING -d 10.10.0.1/32 -i tun0 -j DNAT --to-destination 192.168.1.1
COMMIT
# Completed on Thu Aug  4 21:28:02 2011
# Generated by iptables-save v1.4.4 on Thu Aug  4 21:28:02 2011
*filter
:INPUT ACCEPT [245:18124]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [186:60187]
-A FORWARD -m state --state INVALID -j DROP
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 192.168.1.0/24 -i eth0 -m state --state NEW -j ACCEPT
-A FORWARD -s 192.168.1.0/24 -i eth1 -j ACCEPT
COMMIT
# Completed on Thu Aug  4 21:28:02 2011

route -n

(Нажмите, чтобы показать/скрыть)

Таблица маршутизации ядра протокола IP
Destination Gateway Genmask Flags Metric Ref Use Iface
10.10.0.0       0.0.0.0         255.255.255.0   U     0      0        0 tun0
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 eth1
192.168.0.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0
0.0.0.0         192.168.0.100   0.0.0.0         UG    100    0        0 eth0

ip rule

(Нажмите, чтобы показать/скрыть)

0:   from all lookup local
32763:   from 192.168.1.1 fwmark 0x14 lookup inet_home
32764:   from 10.10.0.1 lookup inet_home
32765:   from 192.168.0.10 lookup inet_ooojin
32766:   from all lookup main
32767:   from all lookup default

ip route ls table inet_home

(Нажмите, чтобы показать/скрыть)

10.10.0.0/24 dev tun0  scope link  src 10.10.0.1
default via 10.10.0.2 dev tun0