я имею ввиду не тот NAT, котрый у меня на сервере, а тот, который у провайдера, к которому подключен начальник во время командировки с ноутбуком. Смотрите, что я имею ввиду: начальник инициирует подключение по OpenVPN (клиент), данные проходят через маршрутизатор провайдера, в котором работает NAT. В нем остается запись в таблице подключений, что пакет такой-то, адрес назначения такой-то (ISP1). Пакет доходит до моего сервера, опенвпн прослушивает два интерфейса, потом файервол перенаправляет ответ на второй интерфейс через (ISP2) - это без проблем. Пакет идет обратно к начальнику, но когда доходит до маршрутизатора (причем не факт, что дойдет до маршрутизатора, к которому подключен начальник), то в нем службой NAT проверяется ip адрес, если он есть в таблице то пакет пропускается как ответ на инициированное подключение, если нет, то считается входящим подключением и скорее всего обрубится. Адреса естественно совпадать не будут. А если пакет пройдет, то как винда начальника поймет, что входящее подключение это всего лишь ответ на запрос пользователя, но от другого провайдера?
Цитата freese:
|
нужно чтобы начальник подключался через один интерфейс по vpn »
|
нужно чтобы пакеты, идущие на сервер, шли по каналу ISP2 по отношению к серверу, а от сервера к начальнику по каналу ISP1.
Статью прочитал, там про разделение траффика со стороны сервера, но остается вопрос, как он будет приниматься клиентом?
Спасибо за ключевые слова "разделение траффика"
вбил в гугл - изучаю, но как я и гуглил раньше - говорят, что невозможно и то же по этой причине в общем виде.
http://unixforum.org/index.php?showtopic=68015
http://rutracker.org/forum/viewtopic.php?t=1013585 - посты Uncle_Bop и vladimir32
Можно, конечно попробовать подменять IP адрес, чтобы ответ шел на другого провайдера но с адресом от кого от первого провайдера в пакете, но не уверен, что провайдер такое пропустит. Но зато проблема с NATом отпадает.
Прочитал насчет спуфинга, может использование UDP в OpenVPN поможет решить проблему с NAT клиента, путем замены src-ip?
Кондовый способ - это организация BGP и AS - что неоправданно сложно и дорого в данной ситуации.
Но думаю, что моя идея должна сработать - вроде никаких известных принципов она не нарушает. Просто может я изобретаю велосипед))
