Tengo varias conexiones VPN que usan la misma puerta de enlace IP (no tengo la capacidad de cambiar esto, ya que está fuera de mi control). Todas estas VPN proporcionan acceso a diferentes redes, y las redes tienen al menos uno o dos saltos aguas arriba, por lo que se requiere una IP de puerta de enlace en todos los casos. Con Linux, para enrutar a las redes, simplemente puedo hacer:
ip route add $destination_1 via $gateway_ip dev $interface_1
ip route add $destination_2 via $gateway_ip dev $interface_2
ip route add $destination_3 via $gateway_ip dev $interface_3
etc.
Linux colocará el tráfico para cada red de destino en las interfaces correctas, en dirección a la puerta de enlace correcta, por lo que no importa que la IP de la puerta de enlace sea la misma para cada interfaz.
Mi pregunta es, ¿cómo puedo lograr esto en OpenBSD? Lo he intentado y he fallado. Mis hallazgos son que para un destino en particular, puedo:
- especificar una interfaz (si el destino es directamente accesible en ese enlace, que no es en mi caso)
- especifique una IP de puerta de enlace porque el destino no está directamente en el enlace
Pero no puedo entender cómo especificar ambos.
-T
opciónroute
y definir una tabla de enrutamiento para cada destino? Creo que proporciona un mejor "aislamiento" para las reglas por interfaz.Respuestas:
Use el modificador -ifp para enrutar . Desde la página del manual :
Entonces algo como esto funciona:
Si sus rutas de destino se superponen, puede usar etiquetas de ruta y pf para unir o enrutar dominios .
fuente
-iface
aplique porque la dirección de la puerta de enlace es para un enrutador ascendente (siguiente salto), no una IP de una interfaz en el cuadro openbsd en sí. Cuando eliminé la cara, funcionó, pero solo para la primera interfaz VPN. Entonces puedo hacerlo-ifp tap0
y funciona, pero si lo hago-ifp tap1
, fallano route to host
cuando trato de agregar la ruta.-link -llinfo
banderas del comando de ruta? Además, creo que-iface
sí se aplica (se obtiene el error sin enrutar tablas / dominios, como notó, porque la ruta de red entra en conflicto y no se puede agregar nuevamente). OpenVPN / tap? Preguntándose qué está aprovisionando el "otro" extremo, si es un ptp falso