ip route на основе src и dst

Автор zCirill, 25 сентября 2013, 23:45:08

« назад - далее »

0 Пользователи и 1 гость просматривают эту тему.

zCirill

Добрый день.

Нужно рулить проходящим трафиком, и основываясь на src и dts заруливать в нужный тоннель.
...

Или документ с примерами почитать?

apollyon

для начала можно выставлять марки в iptables (-t mangle -s $SRC -d $DST -m mark --mark $MARK), а потом уже по этим маркам распихивать по таблицам маршрутизации, для каждого туннеля своя (ip rule add fwmark $MARK lookup $TABLE)
как-то так..

zCirill

спасибо.
не подскажете еще толковой доки по route ?
или LARTC всеобемлющ ? )) http://www.opennet.ru/docs/RUS/LARTC/

apollyon


zCirill

ага, спс, понятная статья ))

еще подскажите, есть ли возможность управлять трафиком от маршрутизатора?
есть сервер с астериском и openvpn и несколько туннелей.
астериск слушает адрес назначенный на lo
трафик от астериска убегает в тоннели и приходит к получателям с адресом ovpn туннеля, но не адресом назначенном на lo.
возможно ли эээ, зафиксировать адрес в отправляемых пакетах?

apollyon

ужос, ну и схема.. намучаетесь с НАТом в сипе, да и вроде как качество голоса проседает в vpn

zCirill

нат для сипа сейчас не проблема.
внутри vpn вполне нормально голос бегает, надо только полосу гарантировать, вот с этим сейчас некоторые неурядицы )

apollyon

ну тогда чуть поподробнее про схему, а то не особо понятно.. и почему нельзя повесить астериску на впн-интерфейс вместо lo?

zCirill

сервер на дебиане, дедик в каком то цоде, один физический интерфейс с внешним адресом, xxx.xxx.xxx.xxx
lo - 192.168.10.1
openvpn c тремя тоннелями по причинам разнородного подключения ))
пять или шесть sip аккаунтов.
центр звезды.
lo нужен для упрощения переезда из цода в цод. не нужно перенастраивать телефоны.

в маленьких офисах микротики с 2-3 телефонами, в двух больших дебиан с ovnp и :-X windows с ovnp 
микротики не умеют ovpn по udp, гоню по tcp, а на винде ovpn с tcp - прерывания связи, а вот udp + lzo (как не странно) работает нормально.

третий тоннель будет для резервных туннелей, когда управление трафиком осилю.

и вот такая чехарда получается. трафик от астериска приходит с src адресом тоннеля, а не lo
в приниципе, это понятная ситуация, подставляется в пакет адрес ближайшего интерфейса. хотел бы и это изменить.

apollyon

а vpn-сервер выдаёт клиентам роут на сетку 192.168.10.0? в самих SIP/RTP сообщениях адрес астрериски не должен меняться на туннельный. тогда только остаётся нат разруливать

zCirill

vpn выдается из другой сети. в сипе все ок. и разговоры бегают корректно.
да собсно меня это волнует постольку поскольку нужно будет делать два марка - один для 192.168.10.1 и адрес впн тоннеля.
.. забейте вообщем )