Перейти к содержанию
Как правильно добавить self-test и прочую отладку в тему
Официальное хранилище ПО в виде файлов

раздельная маршрутизация OpenVPN и ISP

SerjioS
 Поделиться

Рекомендуемые сообщения

SerjioS Новичок

SerjioS

Опубликовано
Опубликовано

Доброго дня,

Есть работающий OpenVPN сервер (pfSense). Используется в режиме Remote Access TLS для доступа из нескольких магазинов (Keenetic 4G) к серверам в офисе (пусть будет 192.168.2.0/24).

Типовая конфигурация магазина:

  • Keenetic 4G (KN-1210) ver. 3.5.6;
  • Настройки OpenVPN - TUN, subnet, 10.11.12.0/24;
  • Домашняя сеть магазина - 192.168.172.0/24;
  • Весь трафик из домашней сети магазина заворачивается в OpenVPN - redirect-gateway def1,route-gateway 10.11.12.1;
  • Хосты в офисе и в магазинах видят друг-друга;
  • Локальный NAT на Keenetic отключен (no ip nat Home, no ip nat OpenVPN0) - NAT выполняется на Firewall в офисе.
  • Приоритеты подключений:
  1. OpenVPN
  2. ISP
  3. LTE

Всё было хорошо и тут возник вопрос: есть ли возможность трафик на некоторые IP - эквайринг, ОФД и т.п. (н-р 185.15.172.18) таки выпускать через локальный NAT на Keenetic?

Пробовал включить NAT для Home и вместо IP из домашней сети магазина (н-р 192.168.117.4) в офис стал отдаваться IP назначенный самому Keenetic в OpenVPN (н-р 10.11.12.14). Т.е. было Касса -> Keenetic -> OpenVPN -> pfSense -> NAT+Firewall -> Internet, а стало Касса -> Keenetic+NAT -> OpenVPN -> pfSense -> ??? 
Так же пробовал указать в настройках OpenVPN - push "route 185.15.172.18 255.255.255.255 net_gateway"; но в логах на Keenetic "Фев 3 01:53:04 ndm Network::RoutingTable: gateway is unreachable." =(
 

Настройки интерфейсов Home и OpenVPN. 

Interface, name = "Home"
               id: Bridge0
            index: 0
             type: Bridge
      description: *Shop
   interface-name: Home
             link: up
        connected: yes
            state: up
              mtu: 1500
         tx-queue: 0
          address: 192.168.117.1
             mask: 255.255.255.0
           uptime: 740
           global: no
   security-level: private
              mac: *:*:*:*:*:*
        auth-type: none
           bridge:
            interface, link = yes, inherited = yes: FastEthernet0/Vlan1

Interface, name = "OpenVPN0"
               id: OpenVPN0
            index: 0
             type: OpenVPN
      description: *Gate
   interface-name: OpenVPN0
             link: up
        connected: yes
            state: up
             role: misc
              mtu: 1500
         tx-queue: 0
          address: 10.11.12.14
             mask: 255.255.255.0
           uptime: 6430
           global: yes
        defaultgw: yes
         priority: 33117
   security-level: private
              mac: *:*:*:*:*:*
        auth-type: none
          country: RU
     organization: *Retail
      common-name: *Retail Server Cert
  tunnel-protocol: udp
              via: UsbLte0

 

r13 Старожил

r13

Опубликовано
Опубликовано

Выборочный нат вот так:

ip static Home ISP

Ну а целевые ip можно через статические маршруты прописать через желаемый интерфейс.

SerjioS Новичок

SerjioS

Опубликовано
  • Автор
Опубликовано
2 часа назад, r13 сказал:

Выборочный нат вот так:

ip static Home ISP

Ну а целевые ip можно через статические маршруты прописать через желаемый интерфейс.

Да, вроде то, что надо, спасибо! Т.е. получается, что для работы split nat надо прописать на каждом Keenetic

ip nat ISP
ip nat LTE
ip static Home ISP
ip static Home LTE

Плюс для каждого конкретного хоста что-то вроде.
ip route 185.15.172.18 ISP auto !OFD.RU
ip route 185.15.172.18 LTE auto !OFD.RU
 

Жаль, конечно, что не получается централизовано, через OpenVPN, раздавать маршруты. И/или что нельзя использовать группы IP-адресов/подсетей при настройке маршрутизации и фаервола. А то, ведь, то у Сбера адрес эквайринга изменится, то новый ОФД начнут использовать...

r13 Старожил

r13

Опубликовано
Опубликовано
41 минуту назад, SerjioS сказал:

Да, вроде то, что надо, спасибо! Т.е. получается, что для работы split nat надо прописать на каждом Keenetic

ip nat ISP
ip nat LTE
ip static Home ISP
ip static Home LTE

Плюс для каждого конкретного хоста что-то вроде.
ip route 185.15.172.18 ISP auto !OFD.RU
ip route 185.15.172.18 LTE auto !OFD.RU
 

Жаль, конечно, что не получается централизовано, через OpenVPN, раздавать маршруты. И/или что нельзя использовать группы IP-адресов/подсетей при настройке маршрутизации и фаервола. А то, ведь, то у Сбера адрес эквайринга изменится, то новый ОФД начнут использовать...

Не, ip nat не нужны их как раз все надо убрать, только ip static

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.
Примечание: Ваш пост будет проверен модератором, прежде чем станет видимым.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Поделиться
Перейти к списку тем

  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
×
×
  • Создать...

Важная информация

На этом сайте используются файлы cookie. Нажимая "Я принимаю" или продолжая просмотр сайта, вы разрешаете их использование: Политика конфиденциальности.

  Я принимаю