https://opennet.ru/openforum/vsluhforumID1/93403.html Здравствуйте. <br><br>Не могу понять как управлять трафиком внутри vpn тоннеля, голову сломал не знаю с чего начать.<br><br>Есть три интерфеса:<br>eth0 - лок.сеть<br>tun0 - сетевой интерфейс openvpn<br>eth1 - интернет интерфейс<br><br>Когда пакет отправяется из локальной сети в удаленную он проходит по пути:<br>-&gt; eth0 -&gt; tun0 -&gt; OpenVPN (при этом не является исходящим пакетом для tun0 - интерфейса)<br>Затем процесс OpenVPN создает новый пакет, который содержит шифрованное содержимое исходного, и отправляет его на удаленный сервер:<br><br>OpenVPN - tun0 -&gt; eth1 -&gt; интернет. -тут я уже ничего не могу делать т.к. пакет шифрован.<br><br>Получается я должен ловить пакеты предназначенные для тоннеля на интерфейсе eth0? т.е. для него они будут исходящими (а для корректным будет iptables -t filter -А FORWARD)?<br><br>Правильно ли я понимаю все понимаю в ближайшем приближении?<br> https://opennet.ru/openforum/vsluhforumID1/93403.html#4 Wed, 23 May 2012 10:23:40 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;&gt;(при этом не является исходящим пакетом для tun0 - интерфейса) <br>&gt;&gt;&gt; не верно.<br>&gt;&gt; Я воспользовался tcpdump'ом - <br>&gt;&gt; tcpdump -i tun0 -n -s 0 port 5060 -vvv -w /root/capturefilename <br>&gt;&gt; Он видит пакеты <br>&gt;&gt; source 192.168.2.201 destination 192.168.254.1 <br>&gt;&gt; source 192.168.254.1 destination 192.168.2.201 <br>&gt; Я тоже с 50% вероятностью не угадаю, где какие сети - на <br>&gt; каком конце 254-я, на каком - 2-я. Но я думаю, вы <br>&gt; знаете топологию сети и где какая сеть.<br><br>Простите, ступил. Кажеться я составил программу экспориментов.<br>Спасибо. Думаю больше нет смысла отвечать на мои глупые вопросы)<br><br>&gt; Команда будет влиять на трафик, исходящий В устройство tun0.<br>&gt;&gt; Пожалуйста, разьясните. https://opennet.ru/openforum/vsluhforumID1/93403.html#3 Wed, 23 May 2012 10:00:00 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt; Когда пакет отправяется из локальной сети в удаленную он проходит по пути: <br>&gt;&gt;&gt; -&gt; eth0 -&gt; tun0 -&gt; OpenVPN <br>&gt;&gt; верно <br>&gt;&gt;&gt;(при этом не является исходящим пакетом для tun0 - интерфейса) <br>&gt;&gt; не верно.<br>&gt; Я воспользовался tcpdump'ом - <br>&gt; tcpdump -i tun0 -n -s 0 port 5060 -vvv -w /root/capturefilename <br>&gt; Он видит пакеты <br>&gt; source 192.168.2.201 destination 192.168.254.1 <br>&gt; source 192.168.254.1 destination 192.168.2.201 <br><br>Я тоже с 50% вероятностью не угадаю, где какие сети - на каком конце 254-я, на каком - 2-я. Но я думаю, вы знаете топологию сети и где какая сеть.<br><br>&gt; Вроде бы этот трафик "транзитный" для tun0 т.к. tun0 в имеет ip <br>&gt; 10.8.0.6 <br>&gt; Посему не понятно на какой из этих пакетов будет влиять комманда почему <br>&gt; (пример комманды взят от сюда http://www.opennet.ru/docs/RUS/LARTC/x852.html, параграф <br>&gt; 9.2.2.2.): <br>&gt; tc qdisc add dev tun0 root tbf rate 220kbit latency 50ms burst <br>&gt; 1540 <br><br>Команда будет влиять на трафик, исходящий В устройство tun0.<br><br>&gt; Пожалуйста, https://opennet.ru/openforum/vsluhforumID1/93403.html#2 Wed, 23 May 2012 09:34:10 GMT PavelR, cпасибо за внятный ответ.<br><br>&gt;&gt; Когда пакет отправяется из локальной сети в удаленную он проходит по пути: <br>&gt;&gt; -&gt; eth0 -&gt; tun0 -&gt; OpenVPN <br>&gt; верно <br>&gt;&gt;(при этом не является исходящим пакетом для tun0 - интерфейса) <br>&gt; не верно.<br><br>Я воспользовался tcpdump'ом - <br><br>tcpdump -i tun0 -n -s 0 port 5060 -vvv -w /root/capturefilename<br><br>Он видит пакеты <br>source 192.168.2.201 destination 192.168.254.1<br>source 192.168.254.1 destination 192.168.2.201<br><br>Вроде бы этот трафик "транзитный" для tun0 т.к. tun0 в имеет ip 10.8.0.6<br><br>Посему не понятно на какой из этих пакетов будет влиять комманда почему (пример комманды взят от сюда http://www.opennet.ru/docs/RUS/LARTC/x852.html, параграф 9.2.2.2.):<br>tc qdisc add dev tun0 root tbf rate 220kbit latency 50ms burst 1540 <br><br>Пожалуйста, разьясните.<br> https://opennet.ru/openforum/vsluhforumID1/93403.html#1 Wed, 23 May 2012 07:33:47 GMT &gt; Когда пакет отправяется из локальной сети в удаленную он проходит по пути: <br>&gt; -&gt; eth0 -&gt; tun0 -&gt; OpenVPN <br><br>верно<br><br>&gt;(при этом не является исходящим пакетом для tun0 - интерфейса) <br><br>не верно. <br><br><br>&gt; Затем процесс OpenVPN создает новый пакет, который содержит шифрованное содержимое исходного, и отправляет его на удаленный сервер: <br><br>да, но не так, как описано ниже.<br><br>&gt; OpenVPN - tun0 -&gt; eth1 -&gt; интернет. <br><br>OpenVPN -&gt; eth1 (или куда там смотрит маршрут к удаленному серверу)<br><br>&gt; -тут я уже ничего не могу делать т.к. пакет шифрован.<br><br>можно делать очень многое, а не "ничего", но содержимое пакета шифровано, да.<br><br>&gt; Получается я должен ловить пакеты предназначенные для тоннеля на интерфейсе eth0?<br><br>Слово "должен" слабо употребимо. Зависит от потребностей и целей реализации.<br><br>&gt; т.е. для него они будут исходящими <br><br>с какого бы %; если они через этот интерфейс (eth0) ВОШЛИ ?<br><br>(а для корректным будет iptables -t filter -А FORWARD)?<br><br>ась ?<br><br>&gt; Правильно ли я понимаю все понимаю в ближайшем приближении