Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  

Показать сообщение отдельно

Ветеран


Сообщения: 526
Благодарности: 27

Профиль | Отправить PM | Цитировать


Цитата freese:
причем тут NAT? »
я имею ввиду не тот NAT, котрый у меня на сервере, а тот, который у провайдера, к которому подключен начальник во время командировки с ноутбуком. Смотрите, что я имею ввиду: начальник инициирует подключение по OpenVPN (клиент), данные проходят через маршрутизатор провайдера, в котором работает NAT. В нем остается запись в таблице подключений, что пакет такой-то, адрес назначения такой-то (ISP1). Пакет доходит до моего сервера, опенвпн прослушивает два интерфейса, потом файервол перенаправляет ответ на второй интерфейс через (ISP2) - это без проблем. Пакет идет обратно к начальнику, но когда доходит до маршрутизатора (причем не факт, что дойдет до маршрутизатора, к которому подключен начальник), то в нем службой NAT проверяется ip адрес, если он есть в таблице то пакет пропускается как ответ на инициированное подключение, если нет, то считается входящим подключением и скорее всего обрубится. Адреса естественно совпадать не будут. А если пакет пройдет, то как винда начальника поймет, что входящее подключение это всего лишь ответ на запрос пользователя, но от другого провайдера?

Цитата freese:
нужно чтобы начальник подключался через один интерфейс по vpn »
нужно чтобы пакеты, идущие на сервер, шли по каналу ISP2 по отношению к серверу, а от сервера к начальнику по каналу ISP1.

Статью прочитал, там про разделение траффика со стороны сервера, но остается вопрос, как он будет приниматься клиентом?

Спасибо за ключевые слова "разделение траффика" вбил в гугл - изучаю, но как я и гуглил раньше - говорят, что невозможно и то же по этой причине в общем виде.
http://unixforum.org/index.php?showtopic=68015
http://rutracker.org/forum/viewtopic.php?t=1013585 - посты Uncle_Bop и vladimir32

Можно, конечно попробовать подменять IP адрес, чтобы ответ шел на другого провайдера но с адресом от кого от первого провайдера в пакете, но не уверен, что провайдер такое пропустит. Но зато проблема с NATом отпадает.

Прочитал насчет спуфинга, может использование UDP в OpenVPN поможет решить проблему с NAT клиента, путем замены src-ip?

Кондовый способ - это организация BGP и AS - что неоправданно сложно и дорого в данной ситуации.

Но думаю, что моя идея должна сработать - вроде никаких известных принципов она не нарушает. Просто может я изобретаю велосипед))

Последний раз редактировалось VictorSh, 21-03-2012 в 04:08.


Отправлено: 23:42, 20-03-2012 | #10