On Fri, Sep 27, 2013 at 10:14:46PM +0400, Artem Chuprina wrote: > Eugene Berdnikov -> debian-russian@lists.debian.org @ Fri, 27 Sep 2013 > 00:25:38 +0400: > > >> но зато все же какая-никакая, а > >> сессия. Мы в свое время делали TCP, потому что было два канала, > >> основной и резервный, и ответ должен был уходить туда, откуда пришел > >> запрос. TCP это позволял, а UDP - нет (точнее, мне не удалось тогда > >> быстро придумать, как его заставить). > > EB> Элементарно, Ватсон: -j DNAT --to [ip.of.vpn.serv], после чего conntrack > EB> делает штамповку правильного src_ip в обратных пакетах за вас. > > Вот именно это с UDP и не работало. Пакеты от сервера упорно шли с src > основного канала. Потому что sessionless.
Проверил. Сервер на шлюзе, пакеты с правильным src_ip возвращаются как в тот канал, на который показывает default route, так и в остальные каналы. При чём тут вообще sessionless? Для контрака нужно понятие коннекции, а оно есть и для tcp, и для udp, icmp, esp и даже для таких кривуль как ftp или pptp. Хотя я не исключаю, что правила iptables и ip rules написать так, что будет ставиться неправильный src_ip или выбираться не тот канал, через который поступил запрос. К сожалению, мне уже нужно напрягаться, чтобы вспомнить, как искривить конфигурацию роутера... Старею, наверное. :))) > OpenVPN был на самом > роутере, с двумя каналами. Если б внутри сети, надо полагать, работало > бы, а так - нет. У меня (так уж сложилось) все vpn-серверы нынче за шлюзами, и везде работает, тут и проверять нечего. Но раньше и на многоствольных шлюзах контрак работал, и я не вижу причин, которые мешали бы ему работать. -- Eugene Berdnikov -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20130927204307.gl3...@sie.protva.ru