Debian 10: la ruta estática no anula la predeterminada

tag-icon tag-icon linux networking routing lxc iproute2
Debian 10: la ruta estática no anula la predeterminada

Mi /etc/network/interfaces:

auto lo
iface lo inet loopback

auto wan
iface wan inet static
        address $myPublicIP
        netmask $ispSubnet
        gateway $ispGateway

auto vpn
iface vpn inet static
        address 10.102.1.194
        netmask 255.255.255.192
        up ip route add 192.168.10.32/27 via 10.102.1.196 dev vpn src 10.102.1.194 metric 10
        up ip route add 192.168.11.0/24 via 10.102.1.196 dev vpn src 10.102.1.194 metric 10

ip rmuestra como se esperaba:

default via $wanGateway dev wan onlink 
$wanGateway/$wanCIDR dev wan proto kernel scope link src $wanIP 
10.102.1.192/26 dev vpn proto kernel scope link src 10.102.1.194 
192.168.10.32/27 via 10.102.1.196 dev vpn src 10.102.1.194 metric 10 
192.168.11.0/24 via 10.102.1.196 dev vpn src 10.102.1.194 metric 10

Pero incluso después de reiniciar, el tráfico pasa a través de vpnla puerta de enlace LAN (también conocida como ), 10.102.1.193/27:

traceroute to 192.168.11.2 (192.168.11.2), 30 hops max, 60 byte packets
 1  10.102.1.193 (10.102.1.193)  368.435 ms  368.370 ms  368.316 ms^C

Este es el contenedor Debian 10 LXC bajo Proxmox VE 6.0-9. ¿Es el culpable o me falta algo? Lo intentéesta respuesta, pero no funcionó por alguna razón: agregar una tabla y/o una regla de IP no afecta el resultado.

Respuesta1

El hecho de que no haya ninguna ruta que tenga 10.102.1.193una puerta de enlace en la lista ip ry el hecho de que el nombre de la interfaz sea vpn, me hace preguntarme si en realidad es tun(o algo del nivel/capa 3). En ese caso, la viaparte de las rutas no haría ninguna diferencia ya que no hay ARP/MAC involucrado.

Por ejemplo, con OpenVPN (con tun), la forma de usar un cliente como puerta de enlace es habilitar client-to-clienty agregar lo correspondiente iroutepara un routepush (o configurado en un cliente), de modo que el servidor VPN sepa dónde (es decir, a qué cliente) dirigir el tráficos (en lugar de "dejarlo salir" en su propio host).

Aunque la VPN parece ser una configuración multicliente, con eso y OpenVPN normalmente no configuras la dirección de esta manera (de hecho, requiere que configures iroutela dirección, de lo contrario, el servidor ni siquiera respondería a tu ping). a través del túnel). Entonces, tal vez esto sea puramente mi suposición descabellada (o estás haciendo todo mal).

información relacionada