Soru Aynı IP'ye sahip fakat farklı arayüzlere sahip farklı ağ geçitleri üzerinden OpenBSD yolu


Aynı ağ geçidi IP'sini kullanan birden çok VPN bağlantım var (bunu kontrolüm dışında olduğu için değiştirme olanağım yok). Bu VPN'lerin hepsi farklı ağlara erişim sağlar ve ağlar en az bir veya iki atlamadır, bu yüzden tüm durumlarda bir ağ geçidi IP'si gereklidir. Linux ile ağlara yönlendirmek için şunları yapabilirim:

ip route add $destination_1 via $gateway_ip dev $interface_1
ip route add $destination_2 via $gateway_ip dev $interface_2
ip route add $destination_3 via $gateway_ip dev $interface_3

vb.

Linux daha sonra her bir hedef ağ için trafiği doğru ağ geçidine doğru doğru arayüzlere yerleştirecektir, böylece ağ geçidi IP'nin her arabirim için aynı olması önemli değildir.

Sorum şu: OpenBSD'de bunu nasıl başarabilirim? Denedim ve başaramadım. Bulgularım, belirli bir hedef için şunları yapabilir:

  • Bir arabirim belirtin (hedefe o bağlantıda doğrudan ulaşılabiliyorsa - benim durumumda değil)
  • hedef doğrudan bağlantıda olmadığından bir ağ geçidi IP belirtin

Ama ikisini de nasıl belirleyeceğimi bilemiyorum.


9
2017-08-02 08:20


Menşei


Bir ağ geçidinin gerekli olduğundan emin misin? Bağlantı Ethernet ise ve hedef bir atlamadan daha fazla ise bir ağ geçidi gereklidir. Fakat VPN'ler genellikle bir ağ geçidine ihtiyaç duymayan noktadan noktaya arayüzler olarak davranırlar. - kasperd
Evet, arayüzlerin noktadan noktaya kadar olmasına rağmen, hedef ağların hepsinin birden fazla atlamadan uzakta olduğu ve ip iletme ve NAT'ın dahil olduğu kesinlikle gereklidir. - bao7uo
Noktadan noktaya bağlantılar ağ geçitlerini umursamıyor. - kasperd
Tamam, ama o zaman işe nasıl alabilirim? - bao7uo
Nasıl kullanılır? -T seçeneği route ve her hedef için bir yönlendirme tablosu tanımlamak? Arabirim kuralları için daha iyi "yalıtım" sağladığını düşünüyorum. - gmelis


Cevaplar:


Kullan -mümkünse değiştirici rota. İtibaren adam sayfası:

In a change or add command where the destination and gateway are not
sufficient to specify the route, the -ifp or -ifa modifiers may be 
used to determine the interface name or interface address.

Yani böyle bir şey çalışır:

# for  arg in tun0 tun1 tun2; do ifconfig $arg  192.168.11.1/24; done
# route add 10/8 -iface 192.168.11.1 -ifp tun0
add net 10/8: gateway 192.168.11.1
# route add 172.16/12 -iface 192.168.11.1 -ifp tun1
add net 172.16/12: gateway 192.168.11.1
# route add 192.168.254/24 -iface 192.168.11.1 -ifp tun2
add net 192.168.254/24: gateway 192.168.11.1
# route show -inet
Routing tables

Internet:
Destination        Gateway            Flags   Refs      Use   Mtu  Prio 
Iface
10/8               192.168.11.1       GS         0        0     -     8 tun0
localhost          localhost          UHl        0       22 32768     1 lo0
172.16/12          192.168.11.1       S          0        0     -     8 tun1
192.168.11.1       192.168.11.1       UHhl       1        4     -     1 tun0
[...my real routes omitted...]
192.168.254/24     192.168.11.1       S          0        0     -     8 tun2

Hedef rotalarınız çakışıyorsa kullanabilirsiniz pf ve eşleşecek etiketleri veya yönlendirme alanları.


1
2017-08-06 13:07



Bunun için teşekkürler. Denedim ve işe yaramayacaktım. Ben düşünmüyorum -iface ağ geçidi adresi bir upstream yönlendirici (sonraki atlama), openbsd kutusunun kendisinde bir arabirimin IP'si olmadığı için geçerlidir. -Yüzeyi çıkardığımda işe yaradı, ama sadece ilk VPN arayüzü için. Yani yapabilirim -ifp tap0 ve çalışır, ama yaparsam -ifp tap1 ile başarısız no route to host rotayı eklemeye çalıştığımda. - bao7uo
Sorunu çözmese de, size ödül verdim çünkü yardım etmeye çalıştığınız için minnettarım. - bao7uo
Ben orada linux altında ne yapıyor tarafından dürüst şaşkınım var ... BSD yerel olma gw hakkında şikayet ederek "doğru" bir şey yapıyor. Denedin mi -link -llinfo rota komutuna bayraklar mı? Ayrıca bence -iface uygular (not aldığınız gibi tabloları / domileri yönlendirmeden hatayı alırsınız, çünkü ağ yolu çakışır ve tekrar eklenemez). OpenVPN / dokunun? Sahte bir p-t-p ise, “diğer” uçun sağlanmasının ne olduğunu merak ediyorum. - quadruplebucky