Debian: 2 интерфейса, 2 шлюза

После прочтенияhttp://www.tldp.org/HOWTO/Adv-Routing-HOWTO/lartc.netfilter.htmlя проявил творческий подход к iptablesи iproute2, и, похоже, это работает для моего варианта использования:

1. Запустите клиент OpenVPN, чтобы убедиться, что tap0создан и L2 работает;
2. Назначьте 89.xxx.xxx.5устройству и установите связь:

ip addr add 89.xxx.xxx.5/24 broadcast 89.xxx.xxx.255 dev tap0
ip link set tap0 up

3. Создайте дополнительную таблицу маршрутизации и маркер для использования с IP-адресами в tap0и добавьте маршруты:

echo "1 BRIDGESERVER" >> /etc/iproute2/rt_tables

ip route add default via 89.xxx.xxx.1 dev tap0 table BRIDGESERVER

ip route add 89.xxx.xxx.8 via 85.xxx.xxx.1 dev eth0 # xxx.8 is the VPN server  and xxx.1 is the local gateway
ip route add 0.0.0.0/1 via 89.xxx.xxx.1 dev tap0 table BRIDGESERVER
ip route add 128.0.0.0/1 via 89.xxx.xxx.1 dev tap0 table BRIDGESERVER

ip route show table BRIDGESERVER
ip rule add from all fwmark 0x1 lookup BRIDGESERVER

4. Используйте iptables, чтобы пометить весь трафик tcp/udp, поступающий с/на наш назначенный IP-адрес (89.xxx.xxx.5), чтобы он использовал вторичную таблицу маршрутизации/шлюз по умолчанию:

iptables -t mangle -I PREROUTING -p tcp --destination 89.xxx.xxx.5 -j MARK --set-mark 1
iptables -t mangle -I OUTPUT -p tcp --source 89.xxx.xxx.5 -j MARK --set-mark 1

iptables -t mangle -I PREROUTING -p udp --destination 89.xxx.xxx.5 -j MARK --set-mark 1
iptables -t mangle -I OUTPUT -p udp --source 89.xxx.xxx.5 -j MARK --set-mark 1

Некоторые тесты:

• Без настройки исходного IP-адреса для привязки к -по умолчанию будут использоваться IP-адреса вeth0:

speedtest
Retrieving speedtest.net configuration...
Testing from xyz (85.xxx.49.100)...

• Привязка к ранее назначенному IPtap0:

speedtest --source=89.xxx.xxx.5
Retrieving speedtest.net configuration...
Testing from cpv (89.xxx.xxx.5)...