Vou dar uma breve explicação não relacionada primeiro para dar sentido à minha pergunta:
Eu tenho 3 caixas Linux, cada uma com 2 NICs, 1 para a interface WAN e 1 para a interface LAN. Cada caixa Linux possui uma sub-rede pública completa do ISP configurada na interface WAN e posso acessar a "internet" com sucesso usando essa interface.
Quanto à interface LAN de cada caixa, elas estão configuradas na rede 192.168.50.0/24. No entanto, eles estão isolados da "internet" e só conseguem executar ping entre si com êxito. O ISP não fornece funcionalidade NAT/roteador para minha rede LAN.
Para resolver esse primeiro problema, comprei uma 4ª caixa Linux (com 2 x NIC) e instalei o OPNsense e agora tenho um "gateway" (192.168.50.1) para minha rede LAN. Configurei o OpenVPN via OPNsense com uma rede de túnel definida como 192.168.10.0/24 e consigo conectar-me a ele com êxito a partir de um cliente remoto e executar ping em meu servidor OPNsense em seu endereço IP privado (192.168.50.1). No entanto, só consigo executar ping em alguns clientes que possuem 1 NIC de LAN e sua configuração de gateway usando o IP privado do servidor OPNsense (192.168.50.1).
Para os três servidores iniciais (com 2 x NIC) ainda não consigo fazer ping, a única diferença é que a NIC da LAN não tem o IP do gateway (192.168.50.1) especificado. Porém, se eu tentar adicioná-lo, como funciona com os outros clientes, meu servidor ficará completamente inacessível e preciso me reconectar por meio do console para desfazer as alterações do gateway. Parece que o Linux não gosta de ter 2 gateways e não sei exatamente como consertar isso, porque preciso acessar esses três servidores também.
Observe que o problema não está relacionado ao OPNsense ou OpenVPN porque posso alcançar alguns clientes que possuem o gateway LAN instalado, é o fato de que configurar uma caixa Linux com dois gateways faz com que o servidor fique completamente inativo.
Li que em casos como esse preciso configurar uma rota estática, mas para mim isso não faz sentido. PS todas as três máquinas Linux usam Almalinux 8. \
Eu apreciaria qualquer contribuição neste assunto, obrigado.
Responder1
NENHUM sistema gosta de vários gateways DEFAULT ativos. Um gateway padrão é, por definição, o caminho padrão para alcançar todas as redes desconhecidas. Uma rede desconhecida é aquela para a qual o servidor não possui um caminho mais direto na tabela de roteamento.
Se você tiver mais de um gateway padrão, ambos os gateways DEVEM ter um caminho para todas as mesmas redes. Nesse caso, eles não o fazem e são, na verdade, dois gateways localizados em duas redes completamente separadas. Isso faz com que os pacotes de rede saiam das interfaces de rede erradas. Esta não é a maneira de implementar isso.
Mantenha o gateway padrão na interface WAN e remova todos os gateways da interface LAN. Em seguida, configure rotas estáticas para os intervalos de sub-redes privadas, que podem ser acessados pelo servidor VPN, para usar o próximo salto de 192.168.50.1. Neste caso, a rede que necessita de uma rota estática é 192.168.10.0/24. Isto é feito nos três servidores com interfaces duplas.
O comando nos 3 servidores é assim:
ip route add 192.168.10.0/24 via 192.168.50.1
Isso é temporário e será perdido após a reinicialização. Como adicionar uma rota estática permanente varia de acordo com os diferentes tipos de Linux, mas deve ser bastante simples de encontrar com o Google.