Debian 10 – rota estática não substitui o padrão

tag-icon tag-icon linux networking routing lxc iproute2
Debian 10 – rota estática não substitui o padrão

Meu /etc/network/interfaces:

auto lo
iface lo inet loopback

auto wan
iface wan inet static
        address $myPublicIP
        netmask $ispSubnet
        gateway $ispGateway

auto vpn
iface vpn inet static
        address 10.102.1.194
        netmask 255.255.255.192
        up ip route add 192.168.10.32/27 via 10.102.1.196 dev vpn src 10.102.1.194 metric 10
        up ip route add 192.168.11.0/24 via 10.102.1.196 dev vpn src 10.102.1.194 metric 10

ip rmostra como esperado:

default via $wanGateway dev wan onlink 
$wanGateway/$wanCIDR dev wan proto kernel scope link src $wanIP 
10.102.1.192/26 dev vpn proto kernel scope link src 10.102.1.194 
192.168.10.32/27 via 10.102.1.196 dev vpn src 10.102.1.194 metric 10 
192.168.11.0/24 via 10.102.1.196 dev vpn src 10.102.1.194 metric 10

Mas mesmo após a reinicialização, o tráfego passa pelo vpngateway LAN (também conhecido como ), 10.102.1.193/27:

traceroute to 192.168.11.2 (192.168.11.2), 30 hops max, 60 byte packets
 1  10.102.1.193 (10.102.1.193)  368.435 ms  368.370 ms  368.316 ms^C

Este é o contêiner Debian 10 LXC no Proxmox VE 6.0-9. É o culpado ou estou faltando alguma coisa aí? tenteiesta resposta, mas não funcionou por algum motivo - adicionar tabela e/ou regra de IP não afeta o resultado.

Responder1

O fato de não haver nenhuma rota que tenha 10.102.1.193como gateway listado em ip r, e o fato de o nome da interface ser vpn, me faz pensar se é realmente um tun(ou algo do nível/camada 3). Nesse caso a viaparte das rotas não faria diferença, pois não há ARP/MAC envolvido.

Por exemplo, com OpenVPN (com tun), a maneira de usar um cliente como gateway é habilitar client-to-cliente adicionar o correspondente iroutepara um routepush (ou configurado em um cliente), para que o servidor VPN saiba para onde (ou seja, qual cliente) direcionar o tráfegos (em vez de "liberá-los" em seu próprio host).

Embora a VPN pareça ser uma configuração multi-cliente, com ela e o OpenVPN você normalmente não configura o endereço dessa maneira (pois, na verdade, exige que você defina irouteo endereço, caso contrário, o servidor nem responderia ao seu ping atraves do tunel). Então, talvez este seja apenas meu palpite (ou você está fazendo tudo errado).

informação relacionada