[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Проблема доступа по SSH к компьютеру, подуключенному к сети через 3G.

On Fri, Sep 27, 2013 at 10:14:46PM +0400, Artem Chuprina wrote:
> Eugene Berdnikov -> debian-russian@lists.debian.org  @ Fri, 27 Sep 2013 00:25:38 +0400:
> 
>  >> но зато все же какая-никакая, а
>  >> сессия.  Мы в свое время делали TCP, потому что было два канала,
>  >> основной и резервный, и ответ должен был уходить туда, откуда пришел
>  >> запрос.  TCP это позволял, а UDP - нет (точнее, мне не удалось тогда
>  >> быстро придумать, как его заставить).
> 
>  EB>  Элементарно, Ватсон: -j DNAT --to [ip.of.vpn.serv], после чего conntrack
>  EB>  делает штамповку правильного src_ip в обратных пакетах за вас.
> 
> Вот именно это с UDP и не работало.  Пакеты от сервера упорно шли с src
> основного канала.  Потому что sessionless.

 Проверил. Сервер на шлюзе, пакеты с правильным src_ip возвращаются как в
 тот канал, на который показывает default route, так и в остальные каналы.

 При чём тут вообще sessionless? Для контрака нужно понятие коннекции,
 а оно есть и для tcp, и для udp, icmp, esp и даже для таких кривуль
 как ftp или pptp.

 Хотя я не исключаю, что правила iptables и ip rules написать так, что
 будет ставиться неправильный src_ip или выбираться не тот канал, через
 который поступил запрос. К сожалению, мне уже нужно напрягаться, чтобы
 вспомнить, как искривить конфигурацию роутера... Старею, наверное. :)))

>  OpenVPN был на самом
> роутере, с двумя каналами.  Если б внутри сети, надо полагать, работало
> бы, а так - нет.

 У меня (так уж сложилось) все vpn-серверы нынче за шлюзами, и везде
 работает, тут и проверять нечего. Но раньше и на многоствольных шлюзах
 контрак работал, и я не вижу причин, которые мешали бы ему работать.
-- 
 Eugene Berdnikov
Reply to: