vpn как разделить трафик

[lex-ubunta]

Добрый день. Возникла задача необходимо на линуксе поставить впн но для отдельных ip адресов к которым идет обращение пустиьт в обход впн через обычный интернет канал, каким средсатвми это можно сделать?
Я смотрю в сторону openvpn и iptables, но не знаю получиться ли это реализовать только этими системами?

[valrust]

Еще нужно будет настроить маршрутизацию.

[lex-ubunta]

valrust,
можете подсказать чем делать маршрутизацию и что за что должно отвечать, т.е. я не набор правил прошу дать, а  общую схему
я думал что маршрутизацию можно сделать через iptables т.е. все исходящие пакеты направить в тунель впн, а пакеты для определенных адресов просто на интерфейс  интернет - не верно?

[AlexDem]

Я смотрю в сторону openvpn и iptables, но не знаю получиться ли это реализовать только этими системами?

Например, если у тебя сетевой интерфейс eth0, а OVPN - tun0, то направить все запросы к 192.56.76.Х можно так:

Код: [Выделить]

route add -net 192.56.76.0 netmask 255.255.255.0 dev eth0

[lex-ubunta]

AlexDem,
 а разве не будет правильным перенаправлять все это через iptable?

[AlexDem]

AlexDem,
 а разве не будет правильным перенаправлять все это через iptable?

Для настройки маршрутизации есть специальная команда. Можно почитать

Код: [Выделить]

man route

[valrust]

а разве не будет правильным перенаправлять все это через iptable

Утилита iptables позволяет управлять правилами сетевого экрана Linux netfilter. Основное предназначение netfilter:

• Фильтрация пакетов IPv4 и IPv6.
• Трансляция адресов и портов (NAT).
• Маркировка пакетов для фильтрации или для маршрутизации.

Помимо фильтрации ядро Linux поддерживает таблицу маршрутизации, по которой определяет через какой интерфейс и каким способом (напрямую или через шлюз) отправлять исходящие или транзитные пакеты. ip route рекомендуемая утилита для управления записями в таблице маршрутизации.

Взаимосвязь между сетевым экраном и маршрутизацией можно увидеть на схеме прохода пакета через таблицы и цепочки netfilter.

Так же есть база с политиками маршрутизации. С этой базой можно работать утилитой ip rule.

[lex-ubunta]

valrust, а разве форвардинг через iptable это не по сути та же маршрутизация?

[valrust]

valrust, а разве форвардинг через iptable это не по сути та же маршрутизация?

Я так понимаю вы про NAT.
iptables, это только утилита она сам ничего с пакетами не делает, а только настраивает систему ядра Linux netfilter.
А вот netfilter меняет в пакетах IP адреса и/или порты, но не отправляет эти пакеты в нужные интерфейсы.
Система маршрутизации в свою очередь в пакетах ничего не меняет, а опираясь на IP адрес получателя и таблицу маршрутизации отправляет пакет в нужный интерфейс.
Пользователь добавил сообщение 08 Декабря 2020, 13:13:09:Можно провести такую аналогию. IP пакет, это конверт и в почтовом отделении работают двое служащих.

• Первый служащий (firewall) смотри на конверт письма (иногда и содержимое конверта) и определяет, можно ли этому письму двигаться дальше или сразу его в мусорное ведро выкинуть (filter). В некоторых случаях он может изменить адрес на конверте (NAT). После своей работы, если конверт не выброшен в корзину, он его передает второму служащему.
• Второй служащий (routing) смотрит на адрес получателя письма и решает как его лучше отправить, самолетом, машиной или самому дойти, а может в другое почтовое отделение отправить.

[lex-ubunta]

угу, спасибо
valrust, а как посмотреть метки которые стоят на пакете?

[valrust]

valrust, а как посмотреть метки которые стоят на пакете?

Уточните про какие метки идет речь?

[lex-ubunta]

Утилита iptables позволяет ...
    Маркировка пакетов для фильтрации или для маршрутизации.
Так же я полагаю пакеты тора и впн  должны маркироваться интернет провайдером хотелось бы понять куда эти маркеры добавляются

[AlexDem]

Так же я полагаю пакеты тора и впн  должны маркироваться интернет провайдером хотелось бы понять куда эти маркеры добавляются

Это вообще не относится к изначальному вопросу. Если это как то связано, то было бы логичнее изначально написать финальную задачу, чем гадать что в итоге надо.
Если говорить о первой задачи, то она весьма распространённая, в интернете много нагуглить можно по этой проблеме. Попробуй сделать как тебе писали. Только единственно, что я забыл сказать, что надо добавить маршруты в файл конфигурации, чтобы они не пропадали после перезагрузки, как это сделать можно легко нагуглить, например тут https://losst.ru/marshrutizatsiya-v-linux

[AnrDaemon]

Код: [Выделить]

man ip-routeПользователь добавил сообщение 08 Декабря 2020, 14:37:40:

Так же я полагаю пакеты тора и впн  должны маркироваться интернет провайдером хотелось бы понять куда эти маркеры добавляются

Вся маркировка существует исключительно на локальной машине.

[lex-ubunta]

AlexDem,
да тема раскрыта valrust, объяснил все достаточно подробно, про метки я спросил заодно.
Я что-то не то спросил?

AnrDaemon,
Вся маркировка существует исключительно на локальной машине.

мне кажется какие-то метки должны выставляться на стороне провайдера для отслеживания пакетов, я думал так обисты делают, я ошибаюсь?