[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

маршрутизация по порту назначения + stateful nat

День добрый!

Вопрос такой - можно ли в зависимости от порта назначения направлять
пакеты через различные интерфейсы и nat'ить stateful на обоих?

Вот более развернутая ситуация :)

	Есть локальная сеть и шлюз с маршрутом по умолчанию (через тоннель
спутникового провайдера). Есть филиалы (в другиих городах и областях) с
установленным radmin. Если нужно к ним цепляться - добавляется маршрут
(через наземный канал, т.к. он более быстрый, а трафик интерактивный) и
всё работает. Для некоторых областей удалось установить статический ip
адрес, для некоторых смогли выяснить диапазоны адресов модемных пулов. А
для некоторых - не удалось ни того ни другого.  В таких случаях филиалы
сообщают нам айпи по интернету, мы прописываем маршрут и работаем. Очень
неудобно получается. Выхода пока видится 2:
1. установить на клиентских машинах vpn. Они цепляются к нам, получают
статический айпи и мы к ним заходим радмином. Неплохое решение,  сервак
openvpn уже поднят :) Одна загвоздка - не удалось запустить openvpn под
обычным пользователем (не администратором), т.к. windows не позволяет
добавить маршруты под пользователем. Может и можно обойти, но пока затею
бросили, появился вариант №2.

2. Маршрутизировать по портам назначения. Филиал сообщает нам айпи, мы
забиваем его в radmin и цепляемся (порт одинаковый, для всех, поэтому не
 нужно каждый раз цепляться к линуксу и добавлять маршрут).
Порывшись в интернете, нашли доку по "iproute2", там такое есть.
Помечаем пакеты в iptables (mangle), потом добавляем правило, которое
будет ловить эти пакеты и заворачивать на определенную цепочку. Сделано так:
ip rule add fwmark 4899 table dsl-link (таблица dsl-link создана ранее)
ip route add default via <ip нашего наземного соединения ppp0> dev ppp0
table dsl-link

все добавляется. Начинаем цепляться (с машины внутри сети, за шлюзом),
пакеты идут в филиал как надо, т.е. не через спутниковый тоннель, а по
"наземке", через ppp0. От филиала пакеты возвращаются обратно, но внутрь
сети не проходят. Получается они не проходят через нат. Начал рыть,
выходит, что с пом. iproute2 можно сделать только stateless nat.
Выходит, цепляться можно будет только с одной машины в сети, а это очень
 неудобно, т.к. доступ нужен то админу, то одному из программистов.
Подскажите пожалуйста, как можно решить проблему?
			Владимир.
Reply to: