https://www.opennet.ru/openforum/vsluhforumID1/95733.html Доброго всем времени суток!<br><br>Пришел на новое место, где имеется приличное количество нерешенных задач. Понятное дело, что разбираться в чужом сложнее, чем настраивать с нуля. Но в этом вопросе я оказался бессилен в обоих случаях, потому как с OpenSource-системами начал работать совсем недавно. За основу взял те системы, на которых пытался выполнить задачу мой предшественник. Перечитал множество статей, пока не решился попросить помощи :) Имеется ESXi 5.1, на нем с нуля поднял 2 виртуалки: первая - с ClearOS (которая планируется использоваться в качестве шлюза), вторая - с Debian (на которой поднят OpenVPN). Все ничего, но на шлюзе - 12 различных провайдеров(!!!). Задача в том, чтобы каждый удаленный пользователь подключался к OpenVPN, а дальше весь его траффик заворачивался на определенный интерфейс шлюза. <br><br>Использование OpenVPN обязательно.<br>Возможно ли это физически, если да - то что нужно добавить в конфиг (и что может быть неверно)? И если есть решение проще, то подскажите, пожалуйста - какое? Мозг у https://www.opennet.ru/openforum/vsluhforumID1/95733.html#9 Mon, 25 Aug 2014 05:21:22 GMT &gt;&gt; т.е., насколько я понял - после подключения у клиента default route должен <br>&gt;&gt; быть через <br>&gt;&gt; tun/tap впна ? правильно ?<br>&gt; По идее так планировалось раньше. Задачу поменяли. Сейчас OpenVPN-сервер работает под Win2008r2... <br>&gt; конфиг тот же. Если поменять метрику интерфейса, чтобы дефолтным шлюзом была <br>&gt; машина с ClearOS в локальной сети - "redirect-gateway def1" поможет (соотв <br>&gt; мудрить с натом на шлюзе)? Или же нужно будет локальный интерфейс <br>&gt; заменить на туннель?<br><br>опять ничего не понял.<br>клиенту не получится выдать default route через шлюз с clearos, т.к. он напрямую не подсоединен к клиенту, т.е. все default routes должны идти через vpn сервер, да и то<br>с некоторой оговоркой, т.к. вполне возможно маршрутизацией снести маршрут до провайдера.<br>а вот на clearos как раз придется прописывать через какого провайдера кого маршрутизировать.<br> https://www.opennet.ru/openforum/vsluhforumID1/95733.html#8 Fri, 22 Aug 2014 19:00:56 GMT &gt; т.е., насколько я понял - после подключения у клиента default route должен <br>&gt; быть через <br>&gt; tun/tap впна ? правильно ?<br><br>По идее так планировалось раньше. Задачу поменяли. Сейчас OpenVPN-сервер работает под Win2008r2... конфиг тот же. Если поменять метрику интерфейса, чтобы дефолтным шлюзом была машина с ClearOS в локальной сети - "redirect-gateway def1" поможет (соотв мудрить с натом на шлюзе)? Или же нужно будет локальный интерфейс заменить на туннель? <br> https://www.opennet.ru/openforum/vsluhforumID1/95733.html#7 Fri, 22 Aug 2014 08:35:41 GMT т.е., насколько я понял - после подключения у клиента default route должен быть через <br>tun/tap впна ? правильно ?<br><br><br> https://www.opennet.ru/openforum/vsluhforumID1/95733.html#6 Thu, 21 Aug 2014 21:02:35 GMT &gt; не совсем понял, трафик откуда должен заворачиваться - со стороны клиента <br>&gt; или сервера.<br>&gt; если со стороны сервера, то см. в сторону параметров --up, --down, --client-connect, <br>&gt; --client-disconnect в зависимости от конфигурации сервера.<br>&gt; со стороны клиента чуть сложнее, но тоже возможно.<br><br>Клиент подключается к серверу с OpenVPN, а дальше ему выдается ип с заданного для него интерфейса и весь траффик пользователя идет через этот интерфейс.<br> https://www.opennet.ru/openforum/vsluhforumID1/95733.html#5 Thu, 21 Aug 2014 10:14:08 GMT не совсем понял, трафик откуда должен заворачиваться - со стороны клиента или сервера.<br>если со стороны сервера, то см. в сторону параметров --up, --down, --client-connect, --client-disconnect в зависимости от конфигурации сервера.<br>со стороны клиента чуть сложнее, но тоже возможно.<br> https://www.opennet.ru/openforum/vsluhforumID1/95733.html#4 Mon, 18 Aug 2014 13:28:23 GMT &gt;&gt;&gt; http://gentoo.ru/node/17538 <br>&gt;&gt;&gt; под клиента забиваешь фиксированный ип и дальше натишь весь траф от клиента <br>&gt;&gt;&gt; через определенного прова <br>&gt; Правила ната мне где писать и какие?<br>&gt;&gt; openvpn висит сразу на всех 12-ти ip, каждый клиент сразу коннектится к <br>&gt;&gt; своему прову, и клиенту выдается фиксированный ip который натится через этого <br>&gt;&gt; прова <br>&gt; Не совсем понял...<br>&gt; OpenVPN должен иметь 1 внешний ип...<br><br>ну можно и через один канал чтоб все ходили а выходили натом<br>iptables masquerade в гугле забейте<br> https://www.opennet.ru/openforum/vsluhforumID1/95733.html#3 Mon, 18 Aug 2014 12:25:13 GMT &gt;&gt; http://gentoo.ru/node/17538 <br>&gt;&gt; под клиента забиваешь фиксированный ип и дальше натишь весь траф от клиента <br>&gt;&gt; через определенного прова <br><br>Правила ната мне где писать и какие?<br><br><br>&gt; openvpn висит сразу на всех 12-ти ip, каждый клиент сразу коннектится к <br>&gt; своему прову, и клиенту выдается фиксированный ip который натится через этого <br>&gt; прова <br><br>Не совсем понял...<br>OpenVPN должен иметь 1 внешний ип... <br> https://www.opennet.ru/openforum/vsluhforumID1/95733.html#2 Mon, 18 Aug 2014 10:51:23 GMT &gt; http://gentoo.ru/node/17538 <br>&gt; под клиента забиваешь фиксированный ип и дальше натишь весь траф от клиента <br>&gt; через определенного прова <br><br>openvpn висит сразу на всех 12-ти ip, каждый клиент сразу коннектится к своему прову, и клиенту выдается фиксированный ip который натится через этого прова<br><br> https://www.opennet.ru/openforum/vsluhforumID1/95733.html#1 Mon, 18 Aug 2014 10:43:41 GMT http://gentoo.ru/node/17538<br>под клиента забиваешь фиксированный ип и дальше натишь весь траф от клиента через определенного прова<br>