Автор Тема: ip route на основе src и dst  (Прочитано 1997 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн zCirill

ip route на основе src и dst
« : 25 Сентября 2013, 23:45:08 »
Добрый день.

Нужно рулить проходящим трафиком, и основываясь на src и dts заруливать в нужный тоннель.
...

Или документ с примерами почитать?
 

Оффлайн apollyon

Re: ip route на основе src и dst
« Ответ #1 : 26 Сентября 2013, 00:58:49 »
для начала можно выставлять марки в iptables (-t mangle -s $SRC -d $DST -m mark --mark $MARK), а потом уже по этим маркам распихивать по таблицам маршрутизации, для каждого туннеля своя (ip rule add fwmark $MARK lookup $TABLE)
как-то так..
 

Оффлайн zCirill

Re: ip route на основе src и dst
« Ответ #2 : 27 Сентября 2013, 08:08:28 »
спасибо.
не подскажете еще толковой доки по route ?
или LARTC всеобемлющ ? )) http://www.opennet.ru/docs/RUS/LARTC/
 

Оффлайн apollyon

Re: ip route на основе src и dst
« Ответ #3 : 27 Сентября 2013, 11:36:56 »
вот тут http://habrahabr.ru/post/108690/ неплохо написано
 

Оффлайн zCirill

Re: ip route на основе src и dst
« Ответ #4 : 27 Сентября 2013, 12:32:42 »
ага, спс, понятная статья ))

еще подскажите, есть ли возможность управлять трафиком от маршрутизатора?
есть сервер с астериском и openvpn и несколько туннелей.
астериск слушает адрес назначенный на lo
трафик от астериска убегает в тоннели и приходит к получателям с адресом ovpn туннеля, но не адресом назначенном на lo.
возможно ли эээ, зафиксировать адрес в отправляемых пакетах?
 

Оффлайн apollyon

Re: ip route на основе src и dst
« Ответ #5 : 27 Сентября 2013, 12:41:19 »
ужос, ну и схема.. намучаетесь с НАТом в сипе, да и вроде как качество голоса проседает в vpn
 

Оффлайн zCirill

Re: ip route на основе src и dst
« Ответ #6 : 27 Сентября 2013, 12:58:54 »
нат для сипа сейчас не проблема.
внутри vpn вполне нормально голос бегает, надо только полосу гарантировать, вот с этим сейчас некоторые неурядицы )
 

Оффлайн apollyon

Re: ip route на основе src и dst
« Ответ #7 : 27 Сентября 2013, 13:08:34 »
ну тогда чуть поподробнее про схему, а то не особо понятно.. и почему нельзя повесить астериску на впн-интерфейс вместо lo?
 

Оффлайн zCirill

Re: ip route на основе src и dst
« Ответ #8 : 27 Сентября 2013, 13:53:24 »
сервер на дебиане, дедик в каком то цоде, один физический интерфейс с внешним адресом, xxx.xxx.xxx.xxx
lo - 192.168.10.1
openvpn c тремя тоннелями по причинам разнородного подключения ))
пять или шесть sip аккаунтов.
центр звезды.
lo нужен для упрощения переезда из цода в цод. не нужно перенастраивать телефоны.

в маленьких офисах микротики с 2-3 телефонами, в двух больших дебиан с ovnp и :-X windows с ovnp 
микротики не умеют ovpn по udp, гоню по tcp, а на винде ovpn с tcp - прерывания связи, а вот udp + lzo (как не странно) работает нормально.

третий тоннель будет для резервных туннелей, когда управление трафиком осилю.

и вот такая чехарда получается. трафик от астериска приходит с src адресом тоннеля, а не lo
в приниципе, это понятная ситуация, подставляется в пакет адрес ближайшего интерфейса. хотел бы и это изменить.
 

Оффлайн apollyon

Re: ip route на основе src и dst
« Ответ #9 : 27 Сентября 2013, 14:09:33 »
а vpn-сервер выдаёт клиентам роут на сетку 192.168.10.0? в самих SIP/RTP сообщениях адрес астрериски не должен меняться на туннельный. тогда только остаётся нат разруливать
 

Оффлайн zCirill

Re: ip route на основе src и dst
« Ответ #10 : 27 Сентября 2013, 23:54:31 »
vpn выдается из другой сети. в сипе все ок. и разговоры бегают корректно.
да собсно меня это волнует постольку поскольку нужно будет делать два марка - один для 192.168.10.1 и адрес впн тоннеля.
.. забейте вообщем )
 

Теги: