🌠 ✊🏾 👳🏿 होम मल्टीहोम सर्वर के लिए रूटिंग सेटअप 🙋🏾 📿 🚵🏿

अब, होम सर्वर सहित एक पर कई इंटरनेट कनेक्शन की उपस्थिति असामान्य नहीं है। सिटी लोकालाका, एडीएसएल, 3 जी मोडेम ... इस नेटवर्क को स्थानीय और बाहरी वर्चुअल (वीपीएन) होम में जोड़ें, और उन इंटरफेस का एक जोरदार मिश्रण प्राप्त करें जिनके बीच आपको ट्रैफ़िक को रूट करने की ज़रूरत है, इंटरनेट पर विभिन्न चैनलों के बीच ट्रैफ़िक को संतुलित करें (जब वे हों), और गैर-काम से स्विच करें श्रमिकों के लिए चैनल (जब वे गिर जाते हैं)।

इंटरनेट पर पोस्टों को देखते हुए, ज्यादातर लोग जो इस स्थिति में आते हैं, उनके बारे में बहुत खराब विचार है कि यह कैसे सेट किया गया है। यह ध्यान दिया जाना चाहिए कि linuh में वास्तव में प्रबंध मार्ग बहुत जटिल और भ्रामक है - (आंशिक) संगतता के लिए विकासवादी विकास और समर्थन का एक परिणाम। मैं एक विशिष्ट, बल्कि जटिल उदाहरण पर मल्टीहोम सर्वरों के रूटिंग को कॉन्फ़िगर करने के सिद्धांतों का वर्णन करना चाहता हूं: सर्वर पर तीन भौतिक नेटवर्क इंटरफेस (एक होम लैन और दो से एडीएसएल मोडेम), दो एडीएसएल कनेक्शन (पुल मोड में ADD मॉडेम) हैं, इसलिए pppd एक ही सर्वर) को अलग-अलग प्रदाताओं (स्थिर आईपी के साथ एक, डायनामिक के साथ दूसरा), और कंपनी के सर्वर पर एक वीपीएन - कुल छह इंटरफेस।

विषय काफी जटिल है, इसलिए सामग्री को समझने के लिए कम से कम रूटिंग (डिफ़ॉल्ट मार्ग और गेटवे क्या है) की कम से कम समझ की आवश्यकता होगी, फ़ायरवॉल (पैकेट लेबलिंग, कनेक्शन ट्रैकिंग, विभिन्न तालिकाओं और फ़ायरवॉल चेन और रूटिंग के बीच संचार), पीपीपीडी (आईपी-अप / स्क्रिप्ट आईपी-डाउन) और आईपी और टीसीपी प्रोटोकॉल।

सामान्य कॉन्फ़िगरेशन और समस्या कथन

इसलिए, हमारे पास तीन नेटवर्क इंटरफेस हैं:

eth0 (192.168.0.2), पहले ADSL मॉडेम से जुड़ा (192.168.0.1)
eth1 (192.168.1.2), दूसरे ADSL मॉडेम से जुड़ा (192.168.1.1)
eth2 (192.168.2.1), होम लैन (192.168.2.x) से जुड़ा है और इस LAN के लिए एक इंटरनेट गेटवे है

ADSL के माध्यम से इंटरनेट कनेक्शन स्थापित होने पर दो और इंटरफेस दिखाई देते हैं:

ppp0 (ssss), पहले प्रदाता के लिए ADSL मॉडेम के माध्यम से स्थिर IP ( 8Mbps )
ppp1 (dddd), डायनेमिक IP दूसरे ADSL मॉडेम के माध्यम से दूसरे प्रदाता (2Mbps) के लिए

और, अगर कम से कम एक इंटरनेट कनेक्शन है, तो एक और इंटरफ़ेस जोड़ा जाता है:

tun0 (vvvv), वीपीएन के माध्यम से कंपनी सर्वर पर स्थिर आईपी

इसे लागू करना आवश्यक है:

ADSL कनेक्शन की उपस्थिति में सर्वर और होम लैन से इंटरनेट तक पहुंच
यदि चैनल की चौड़ाई के अनुसार दोनों उपलब्ध हैं, तो ADSL कनेक्शन के बीच यातायात को संतुलित करना
वीपीएन को किसी भी एडीएसएल कनेक्शन के माध्यम से उठाया जाना चाहिए, और यदि दोनों उपलब्ध हैं, तो पहले प्रदाता के माध्यम से (चैनल व्यापक है)
मेल पहले प्रदाता के माध्यम से भेजा जाना चाहिए (मेरे डोमेन के लिए स्थिर आईपी है)
आंकड़ों के साथ वेबसाइट तक पहुंच और दूसरे प्रदाता के नियंत्रण कक्ष को दूसरे एडीएसएल के माध्यम से जाना चाहिए (प्रदाता ने बाहर से अपनी वेबसाइट तक पहुंच बंद कर दी है)

तो, आपने पहले से ही इन सभी कनेक्शनों को कॉन्फ़िगर किया है, आप उनमें से किसी एक को एक बार में बढ़ा सकते हैं / कम कर सकते हैं, यदि केवल एक एडीएसएल कनेक्शन उठाया जाता है, तो सब कुछ ठीक काम करता है ... यह केवल मल्टीहोमिंग को कॉन्फ़िगर करने के लिए रहता है।

सिद्धांत की बिट

रूटिंग को पहले (और अब - सरल मामलों में) कॉन्फ़िगर करने के लिए, रूट कमांड का उपयोग किया गया था। आप इसके बारे में भूल सकते हैं - ऐसी सेटिंग्स केवल आईपी कमांड (iproute2 पैकेज से) के माध्यम से की जाती हैं, और आईपी और मार्ग दोनों का एक साथ उपयोग परेशानी के अलावा कुछ भी नहीं लाएगा। रूट कमांड के समय, राउटिंग टेबल एक था। अब कई रूटिंग टेबल हैं (और उनमें से एक, मुख्य, वही है जिसके साथ रूट कमांड काम करता है)। इन तालिकाओं को / etc / iproute2 / rt_tables में सूचीबद्ध किया गया है:

# cat /etc/iproute2/rt_tables # # reserved values # 255 local 254 main 253 default 0 unspec # # local # #1 inr.ruhep

आप आईपी मार्ग सूची तालिका <तालिका नाम> कमांड के साथ उनकी सामग्री देख सकते हैं। स्थानीय तालिका में कुछ भी दिलचस्प नहीं है - उपलब्ध इंटरफेस के माध्यम से लिंक-स्थानीय रूटिंग नियम हैं; तालिका के मुख्य में, रूटिंग के बुनियादी नियम; डिफ़ॉल्ट तालिका डिफ़ॉल्ट रूप से खाली है; अनिर्दिष्ट तालिका (जिसे सभी के रूप में भी एक्सेस किया जा सकता है) सभी मौजूदा तालिकाओं से सभी रूटिंग नियमों को प्रदर्शित करती है।

नई तालिकाएँ बनाने के लिए, आपको उनके नामों को इस फ़ाइल में जोड़ना होगा (अधिक सटीक रूप से, यह केवल आपके तालिकाओं को नाम से एक्सेस करने के लिए आवश्यक है - आप उन्हें उनकी संख्या से भी संदर्भित कर सकते हैं)।

 # route -n Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 127.0.0.0 127.0.0.1 255.0.0.0 UG 0 0 0 lo 192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0 192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1 192.168.2.0 0.0.0.0 255.255.255.0 U 0 0 0 eth2 # ip route list table main 127.0.0.0/8 via 127.0.0.1 dev lo scope link 192.168.0.0/24 dev eth0 proto kernel scope link src 192.168.0.2 192.168.1.0/24 dev eth1 proto kernel scope link src 192.168.1.2 192.168.2.0/24 dev eth2 proto kernel scope link src 192.168.2.1

जैसे ही हमारे पास एक से अधिक राउटिंग टेबल थी, हमें एक ऐसे तंत्र की भी आवश्यकता थी जिसके द्वारा राउटिंग टेबल का उपयोग किया जाना संभव हो - इसे रूटिंग रूल्स (RPDB, रूटिंग पॉलिसी डेटाबेस) कहा जाता है। इस तंत्र का मुख्य लाभ न केवल गंतव्य पते के आधार पर रूटिंग का चयन करने की क्षमता है (जैसा कि रूट कमांड ने किया और आईपी मार्ग करता है ... ), लेकिन अन्य मानदंडों (स्रोत पते, इंटरफ़ेस, टोस, फ़्वार्क, ... फ़ील्ड्स) द्वारा भी। यह इस तरह से काम करता है: आप निर्दिष्ट करें ( आईपी नियम ... कमांड के माध्यम से) प्रारूप "मानदंड-> रूटिंग टेबल" में किसी भी नियम। यदि दिए गए पैकेट के लिए रूटिंग नियमों में मापदंड मेल खाते हैं, और निर्दिष्ट रूटिंग टेबल में इस पैकेट के लिए एक मार्ग है (गंतव्य पते के आधार पर), तो इसे निष्पादित किया जाएगा; और यदि नहीं, तो हम रूटिंग नियमों पर लौटते हैं और अन्य विकल्पों की जांच करते हैं। यहाँ डिफ़ॉल्ट रूटिंग नियम क्या हैं:

 # ip rule list 0: from all lookup local 32766: from all lookup main 32767: from all lookup default

पहला स्तंभ प्राथमिकता है; प्राथमिकता बढ़ाने के क्रम में नियमों को स्कैन किया जाता है। इन नियमों का मतलब है कि आप पहले स्थानीय तालिका (जहां लिंक-स्थानीय रूटिंग नियम हैं) को देखते हैं, फिर मुख्य तालिका (जिसे आप आमतौर पर रूट कमांड के माध्यम से नियंत्रित करते हैं) और जहां डिफ़ॉल्ट मार्ग आमतौर पर निर्दिष्ट किया जाता है - अर्थात इस पर, रूटिंग नियमों का निष्पादन बंद हो जाता है, फिर (यदि डिफ़ॉल्ट मार्ग मुख्य में निर्दिष्ट नहीं किया गया था) डिफ़ॉल्ट तालिका (डिफ़ॉल्ट रूप से खाली)।

यहां इस बात का एक सरल उदाहरण है कि इस सभी अर्थव्यवस्था का उपयोग कैसे किया जा सकता है ताकि घर के लैन पते से पैकेट 192.168.2.100 को अलग-अलग राउटिंग नियमों का उपयोग करके संसाधित किया जाए जो डिफ़ॉल्ट रूटिंग से अलग हैं (हम इसे केवल पहले एडीएसएल मॉडेम तक और पहले प्रदाता के माध्यम से इंटरनेट तक पहुंच देंगे। ):

 # echo '100 local100' >> /etc/iproute2/rt_tables # ip route add 192.168.0.0/24 dev eth0 table local100 # ip route add default via <__> dev ppp0 table local100 # ip rule add from 192.168.2.100 lookup local100 priority 5 # ip route list table local100 192.168.0.0/24 dev eth0 scope link default via <__> dev ppp0 # ip rule list 0: from all lookup local 5: from 192.168.2.100 lookup local100 32766: from all lookup main 32767: from all lookup default

अब थोड़ा फायरवॉल के बारे में। इसके साथ, रूटिंग को प्रभावित करना भी संभव है।

जैसा कि आप आरेख में देख सकते हैं, उदाहरण के लिए, स्थानीय अनुप्रयोग दो बार "रूटिंग निर्णय" चरण से गुजरते हैं। जैसा कि मैं इसे समझता हूं, पहली बार पैकेज के निर्माण के समय ऐसा होता है, ताकि आउटगोइंग इंटरफ़ेस और इसके लिए आउटगोइंग आईपी का निर्धारण किया जा सके (जो फ़ायरवॉल नियमों की जांच कर सकता है, ताकि पैकेट के फ़ायरवॉल में जाने पर उन्हें पहले से ही पता चल जाए), और फिर से रीरूटिंग के लिए इस पैकेट की गणना फ़ायरवॉल के MANGLE श्रृंखला को निष्पादित करने के बाद की जाती है, जो पैकेट के किसी भी क्षेत्र को बदल सकता है, जो इस पैकेट के मार्ग को प्रभावित कर सकता है।

हमारे मामले में, फ़ायरवॉल के माध्यम से रूटिंग को प्रभावित करने का सबसे आसान तरीका है, MANGLE श्रृंखला में पैकेट fwmark फ़ील्ड को बदलना, और फिर पैकेट fwmark फ़ील्ड के मान के आधार पर एक रूटिंग तालिका का चयन करने के लिए रूटिंग नियमों का उपयोग करें (इसके लिए आपको विभिन्न नियमों के साथ कई रूटिंग टेबल बनाने की आवश्यकता है - उदाहरण के लिए, उदाहरण के लिए) एक प्रदाता के माध्यम से एक तालिका में डिफ़ॉल्ट मार्ग रजिस्टर करें, और दूसरे में - दूसरे प्रदाता के माध्यम से)।

रूटिंग सेटअप: अंतिम परिणाम

इस अंतिम परिणाम का मार्ग कुछ स्थानों पर कांटेदार है (पीपीडी और ओपनवपन की विशेषताएं आपको आराम करने की अनुमति नहीं देती हैं) और इसलिए नीचे वर्णित किया जाएगा। इस बीच, आइए देखें कि हमें क्या हासिल करना है।

दो प्रदाताओं के बीच संतुलन

शुरू करने के लिए, हम दोनों प्रदाताओं के एक साथ उपयोग को कॉन्फ़िगर करेंगे, जिसमें 8 से 2 के अनुपात में लोड संतुलन होगा (क्रमशः, चैनल की चौड़ाई)। यह विधि प्रत्येक व्यक्तिगत गंतव्य पते के लिए एक मार्ग का चयन करती है - अर्थात यदि कनेक्शन शुरू में पहले प्रदाता के माध्यम से चला गया, तो उसके सभी पैकेट केवल पहले प्रदाता के माध्यम से जाएंगे, और कुछ समय के लिए इस पते के सभी बाद के कनेक्शन केवल इस प्रदाता के माध्यम से जाएंगे। कनेक्शन से नहीं बल्कि एक पैकेज द्वारा संतुलन अलग तरीके से किया जाता है, और केवल तभी काम करेगा जब हमारे पास एक प्रदाता के कई कनेक्शन होंगे।

 # ip route replace default scope global \ nexthop via <_isp1> dev ppp0 weight 8 \ nexthop via <_isp2> dev ppp1 weight 2

क्योंकि चूंकि कर्नेल को गंतव्य पते और उनके लिए चयनित डिफ़ॉल्ट रूटिंग के बीच संबंध के बारे में जानकारी है, इसलिए आपको इस कैश को रीसेट करने की आवश्यकता हो सकती है (ताकि कर्नेल फिर से 8 से 2 की संभावना के साथ, इस गंतव्य पते के लिए डिफ़ॉल्ट रूटिंग का चयन करें:

 # ip route flush cache

विशिष्ट कनेक्शन के लिए मैनुअल चैनल चयन

क्योंकि कुछ मामलों में, हमें पैकेट भेजने के लिए किस बाहरी चैनल के माध्यम से नियंत्रित करना होगा, हम प्रत्येक चैनल के लिए एक डिफ़ॉल्ट मार्ग के साथ एक अलग रूटिंग टेबल बनाएंगे:

 # echo '1 isp1' >> /etc/iproute2/rt_tables # echo '2 isp2' >> /etc/iproute2/rt_tables # echo '3 vpn' >> /etc/iproute2/rt_tables # ip route add default via <_isp1> dev ppp0 table isp1 # ip route add default via <_isp2> dev ppp1 table isp2 # ip route add default via <_vpn> dev tun0 table vpn

अब रूटिंग नियम जोड़ें ताकि फ़ायरवॉल का उपयोग करके, वांछित fwmark मान सेट करें, हम वांछित राउटिंग टेबल का चयन कर सकते हैं:

 # ip rule add priority 100 fwmark 0x4/0x4 lookup vpn # ip rule add priority 101 fwmark 0x1/0x1 lookup isp1 # ip rule add priority 102 fwmark 0x2/0x2 lookup isp2

0x4 / 0x4 (मान / मास्क) के एक मान का अर्थ है कि 0w मास्क (यानी, केवल तीसरा बिट) से बिट्स को fwmark फ़ील्ड से लिया जाएगा, जिसका मूल्य 0x4 से मेल खाना चाहिए। यानी fwmark में, तीसरे बिट को vpn तालिका के काम करने के लिए नियम के लिए सेट किया जाना चाहिए, और शेष बिट्स कोई मायने नहीं रखते। यह दृष्टिकोण आपको फ़ायरवॉल में fwmark में कई बिट्स सेट करने की अनुमति देता है, इस प्रकार इस पैकेज के लिए कई "उपयुक्त" चैनलों को दर्शाता है। इन चैनलों की प्राथमिकता (यदि वे सभी उपलब्ध हैं) रूटिंग नियमों की प्राथमिकता से निर्धारित होती हैं। यदि कोई चैनल अनुपलब्ध है, तो संबंधित राउटिंग टेबल को अभी भी देखा जाएगा, लेकिन इसका कोई डिफ़ॉल्ट मार्ग नहीं होगा, इसलिए आप निम्नलिखित रूटिंग नियमों पर लौटेंगे और अगला उपयुक्त चैनल मिलेगा।

इन सभी आदेशों ने अभी तक कुछ भी प्रभावित नहीं किया है - fwmark फ़ायरवॉल को उजागर नहीं करता है, इसलिए तालिका isp1 , isp2 और vpn के लिए रूटिंग नियम काम नहीं करते हैं, और डिफ़ॉल्ट रूप से, रूटिंग से पहले मुख्य तालिका द्वारा निर्धारित किया जाता है:

 # ip route list ### "table main"    <_vpn> dev tun0 proto kernel scope link src <vvvv> <_isp1> dev ppp0 proto kernel scope link src <ssss> <_isp2> dev ppp1 proto kernel scope link src <dddd> 192.168.2.0/24 dev eth2 proto kernel scope link src 192.168.2.1 192.168.1.0/24 dev eth1 proto kernel scope link src 192.168.1.2 192.168.0.0/24 dev eth0 proto kernel scope link src 192.168.0.2 127.0.0.0/8 via 127.0.0.1 dev lo scope link default nexthop via <_isp1> dev ppp0 weight 8 nexthop via <_isp2> dev ppp1 weight 2 # ip route list table isp1 default via <_isp1> dev ppp0 # ip route list table isp2 default via <_isp2> dev ppp1 # ip route list table vpn default via <_vpn> dev tun0 # ip rule list 0: from all lookup local 100: from all fwmark 0x4/0x4 lookup vpn 101: from all fwmark 0x1/0x1 lookup isp1 102: from all fwmark 0x2/0x2 lookup isp2 32766: from all lookup main 32767: from all lookup default

अब हम संकेत दे सकते हैं कि आंकड़ों के साथ वेबसाइट तक पहुंच और दूसरे प्रदाता के नियंत्रण कक्ष को दूसरे एडीएसएल के माध्यम से जाना चाहिए:

 # iptables -t mangle -A OUTPUT -d <ip__isp2>/32 -j MARK --set-mark 0x2

यदि यह आवश्यक है कि ये नियम न केवल हमारे सर्वर से आउटगोइंग पैकेट के लिए काम करते हैं, बल्कि होम लैन से पैकेट के लिए भी हैं, तो आपको इन सभी नियमों को न केवल OUTPUT श्रृंखला में, बल्कि FORWW श्रृंखला में फ़ायरवॉल से भी जोड़ना होगा।

उसी इंटरफ़ेस से उत्तर दें

यह सब तब तक ठीक रहेगा जब तक हम केवल आउटगोइंग कनेक्शन के बारे में बात कर रहे हैं। लेकिन हमारे पास एक सर्वर है ... और सर्वर के लिए आने वाले कनेक्शन हैं। मान लें कि हमारे पास स्थैतिक आईपी ssss (पहले प्रदाता का चैनल) पर एक वेबसाइट है। अब, यदि सर्वर से दूसरे प्रदाता का व्यवस्थापक <ip_site_isp2> हमारी वेबसाइट पर (lynx के माध्यम से) देखना चाहता है, तो कुछ भी काम नहीं करेगा! तथ्य यह है कि वह हमारे पहले प्रदाता के चैनल के माध्यम से हमारे आईपी ssss (जिस पर वेबसाइट) को एक अनुरोध भेजेगा, और हमारा सर्वर दूसरे प्रदाता के चैनल के माध्यम से इस अनुरोध का जवाब भेजेगा (और, तदनुसार, dddd पते से - हमारे पास,) बेशक, SNAT / MASQUERADE ppp0 , ppp1 और tun0 इंटरफेस के माध्यम से आने वाले पैकेट के लिए कॉन्फ़िगर किया गया है) - फ़ायरवॉल सेटिंग्स के अनुसार हमने अभी बनाया: पैकेट को दूसरे प्रदाता के चैनल के माध्यम से <ip_site_isp22 के पते पर भेजें। व्यवस्थापक वेब ब्राउज़र जिसने ssss पते पर अनुरोध भेजा है, उसे dddd पते से प्रतिक्रिया प्राप्त करने की उम्मीद नहीं है, इसलिए यह काम नहीं करेगा।

इस समस्या को हल करने के लिए, इंटरफ़ेस से आने वाले कनेक्शनों के लिए प्रतिक्रियाओं की गारंटी देना आवश्यक है जिसमें से पैकेट मूल रूप से प्राप्त किए गए थे। ऐसा करने के लिए, दुर्भाग्य से, आपको फ़ायरवॉल (कॉनट्रैक) के साथ कनेक्शन ट्रैकिंग का उपयोग fwmark (कॉन्मार्क) सेट करने के लिए करना होगा। दुर्भाग्य से - क्योंकि कॉनट्रैक एक बड़ा जटिल और छोटी गाड़ी कचरा है, लेकिन कोई विकल्प नहीं है। यह निम्नानुसार किया जाता है (इन नियमों को पहले फ़ायरवॉल में जोड़ा जाना चाहिए, पहले से ऊपर वर्णित नियमों को स्थापित करने वाले नियम:)

 # iptables -t mangle -A INPUT -i ppp0 -j CONNMARK --set-mark 0x1 # iptables -t mangle -A INPUT -i ppp1 -j CONNMARK --set-mark 0x2 # iptables -t mangle -A INPUT -i tun0 -j CONNMARK --set-mark 0x4 # iptables -t mangle -A INPUT -i eth+ -j CONNMARK --set-mark 0x8 # iptables -t mangle -A OUTPUT -j CONNMARK --restore-mark # iptables -t mangle -A OUTPUT -m mark ! --mark 0x0 -j ACCEPT

यहां हम आने वाले पैकेटों को चिह्नित करते हैं (अधिक सटीक रूप से, जिनके संबंध वे हैं) उन इंटरफेस के अनुसार जहां से वे आए थे। इसके अलावा, fwmark वैल्यू (अधिक सटीक रूप से, कॉनमार्क) को चुना जाता है ताकि यह राउटिंग टेबल से मेल खाती हो, जिसके माध्यम से आपको इन पैकेट्स के लिए प्रतिक्रियाएं भेजने की जरूरत है (1,2,4 - isp1, isp2 और vpn; 8;) इसका उपयोग fwmark रूटिंग नियमों, t में नहीं किया जाता है। .ई। इस फव्वारे के साथ पैकेट मुख्य तालिका में सामान्य मार्ग के अनुसार भेजा जाएगा - यह स्थानीय नेटवर्क से पैकेट के लिए काफी उपयुक्त है)।

यह लेबलिंग आने वाले पैकेटों के मार्ग को प्रभावित नहीं करता है, लेकिन यह हमें इस कनेक्शन के सभी पैकेटों के साथ वास्तव में इस लेबलिंग को जोड़ने की अनुमति देता है, जिसमें शामिल हैं बाहर जाने वाले पैकेट। इसके अलावा, उसी कनेक्शन पर आने वाले पैकेटों (आने वाले पैकेटों के लिए प्रतिक्रियाएं) के लिए, हम आने वाले पैकेटों के समान मूल्य के लिए fwmark मान सेट करते हैं और जो इस कनेक्शन से जुड़ा होता है (अधिक सटीक रूप से, मान को fwmark करने के लिए कॉपी करें)। और यदि, परिणामस्वरूप, आउटगोइंग पैकेट में fwmark मान सेट है (0 नहीं), तो निवर्तमान चैनल को चुनने के लिए निम्नलिखित सभी फॉकमार्क इंस्टॉलेशन नियमों का उपयोग नहीं किया जा सकता है - इस पैकेट को उसी इंटरफ़ेस के माध्यम से भेजा जाना चाहिए जिसके माध्यम से आने वाला पैकेट आया था, इसलिए stop -j ACCEPT )।

कुल मिलाकर, हमारी समस्या कथन के अनुसार सही फ़ायरवॉल विन्यास विकल्प इस तरह दिखता है:

 # iptables -t mangle -A INPUT -i ppp0 -j CONNMARK --set-mark 0x1 # iptables -t mangle -A INPUT -i ppp1 -j CONNMARK --set-mark 0x2 # iptables -t mangle -A INPUT -i tun0 -j CONNMARK --set-mark 0x4 # iptables -t mangle -A INPUT -i eth+ -j CONNMARK --set-mark 0x8 # iptables -t mangle -A OUTPUT -j CONNMARK --restore-mark # iptables -t mangle -A OUTPUT -m mark ! --mark 0x0 -j ACCEPT # iptables -t mangle -A OUTPUT -p tcp -m tcp --dport 25 -j MARK --set-mark 0x1 # iptables -t mangle -A OUTPUT -d <ip__vpn>/32 -p udp -m udp --dport 1130 -j MARK --set-mark 0x1 # iptables -t mangle -A OUTPUT -d <ip__isp2>/32 -j MARK --set-mark 0x2

नियमों और राउटिंग टेबल सेटिंग्स के साथ, हमें वही मिलता है जो हमें चाहिए था। यह पता लगाने के लिए रहता है कि इन सेटिंग्स को डायनेमिक्स में कैसे सेट किया जाए, इस तथ्य को ध्यान में रखते हुए कि चैनल गिर सकते हैं और बढ़ सकते हैं।

अंतिम परिणाम के लिए कांटेदार मार्ग

ईमानदारी से, लेख बहुत बड़ा हो गया है, इसलिए मैं अपनी आईपी-अप / डाउन स्क्रिप्ट के साथ इसे अव्यवस्थित नहीं करूंगा जैसा कि मैं करने जा रहा था। यदि कोई टिप्पणी में पूछता है - बाद में लेख में जोड़ें। और अब मैं उपरोक्त सेटिंग्स के कार्यान्वयन के दौरान उत्पन्न होने वाले मुख्य कार्यों और समस्याओं का संक्षेप में वर्णन करूंगा।

pppd को स्वयं पता नहीं है कि कई डिफ़ॉल्ट मार्ग को कैसे उठाया जाए, इसलिए आपको इसे नोडफॉल्ट्राउट विकल्प के साथ चलाने की आवश्यकता है और डिफ़ॉल्ट मार्ग को / etc / ppp / ip- {up, down} लिपियों (या इन लिपियों से स्वचालित रूप से कहे जाने वाले उपयोगकर्ता स्क्रिप्ट) को अलग-अलग वितरणों में सेट करना होगा। इसे अलग तरीके से कॉन्फ़िगर किया गया है)।
- चूंकि चैनल एक समय में एक ऊपर जाते हैं, जिस समय आईपी-अप स्क्रिप्ट कहा जाता है, कोई भी डिफ़ॉल्ट मार्ग नहीं हो सकता है (यह चैनल पहले चला गया था) और फिर उसे इस चैनल के माध्यम से सामान्य एकल डिफ़ॉल्ट मार्ग सेट करना चाहिए; या एक डिफ़ॉल्ट मार्ग पहले से ही किसी अन्य चैनल के माध्यम से मौजूद हो सकता है (यह चैनल दूसरा गया), और फिर इसे एक एकल डिफ़ॉल्ट मार्ग को एक डबल नेक्सथॉप्स और वजन के साथ बदलने की आवश्यकता है - यह मुख्य मार्ग तालिका में किया जाता है।
- इस चैनल के माध्यम से संबंधित रूटिंग टेबल ( isp1 या isp2 ) के लिए एक डिफ़ॉल्ट मार्ग जोड़ना भी आवश्यक है।
- आईपी-डाउन स्क्रिप्ट में, तार्किक रूप से, आपको रिवर्स ऑपरेशन करने की आवश्यकता है (यदि दो चैनलों में से एक डिस्कनेक्ट हो गया है, तो आपको शेष चैनल के माध्यम से सामान्य रूप से डबल डिफ़ॉल्ट मार्ग को बदलने की आवश्यकता है, यदि अंतिम चैनल डिस्कनेक्ट हो गया है, तो आपको डिफ़ॉल्ट मार्ग को पूरी तरह से हटाने की आवश्यकता है) ... लेकिन व्यवहार में, खुद को pppd डिफ़ॉल्ट मार्ग को हटा देता है , भले ही यह डबल था और भले ही pppd को नोडफॉल्ट्राउट विकल्प के साथ शुरू किया गया था (यह शायद pppd में बग है)। इसलिए, आईपी-डाउन में कार्य इसके विपरीत है: यदि यह एकमात्र चैनल नहीं था, तो शेष चैनल के माध्यम से सामान्य डिफ़ॉल्ट मार्ग बढ़ाएं। दुर्भाग्य से, यह आसान नहीं है: pppd आईपी-डाउन स्क्रिप्ट के साथ समानांतर मार्ग को हटा देता है, अर्थात। दौड़ की स्थिति होती है ! इसलिए आईपी-डाउन में आपको पहले इंतजार करना होगा जब तक pppd डिफ़ॉल्ट मार्ग को हटा नहीं देता, और उसके बाद ही इसे फिर से बढ़ाएं।
- रूटिंग (आईपी-अप और आईपी-डाउन दोनों में) बदलाव करने के बाद, यह आईपी मार्ग फ्लश कैश बनाने के लिए चोट नहीं पहुंचाएगा।
- एक और बात: दोनों चैनल एक ही समय में उठ / गिर सकते हैं, और उनके आईपी-अप / डाउन स्क्रिप्ट भी एक साथ काम कर सकते हैं। अक्सर यह एक दौड़ की स्थिति और डिफ़ॉल्ट मार्ग को नुकसान पहुंचाएगा। :) इसलिए, इन लिपियों की शुरुआत में एक लॉक प्रदान करना आवश्यक है , यह सुनिश्चित करना कि उनमें से केवल एक ही समय में काम करेगा - ऐसा करने का सबसे आसान तरीका रनट पैकेज से चैपस्ट उपयोगिता या डेमोंटोलस पैकेज से सेटलॉक उपयोगिता है।
Openvpn कस्टम अप / डाउन स्क्रिप्ट को कॉल करने में सक्षम है ...
- ऊपर, आपको इस चैनल के माध्यम से संबंधित रूटिंग टेबल ( वीपीएन ) के लिए एक डिफ़ॉल्ट मार्ग जोड़ना होगा।
- रूटिंग (ऊपर और नीचे दोनों) में परिवर्तन करने के बाद, यह आईपी मार्ग फ्लश कैश बनाने के लिए चोट नहीं पहुंचाएगा।
- नीचे, इस कॉन्फ़िगरेशन में कुछ भी आवश्यक नहीं है (vpn तालिका से डिफ़ॉल्ट मार्ग कर्नेल द्वारा स्वचालित रूप से हटा दिया जाएगा जब यह चैनल गिरता है), लेकिन अगर कुछ करने की आवश्यकता है, तो ध्यान रखें कि अप स्क्रिप्ट रूट के रूप में चलाया जाता है, और उपयोगकर्ता ओपनवैप से नीचे () या आपने ओपनवपएन सेटिंग्स में जो कुछ भी निर्दिष्ट किया है) (यह शायद एक बग भी है), और ओपनवैप उपयोगकर्ता के पास आमतौर पर रूटिंग का प्रबंधन करने के लिए पर्याप्त अधिकार नहीं होते हैं (आपको sudo का उपयोग करना होगा)।

होम मल्टीहोम सर्वर के लिए रूटिंग सेटअप