[freebsd] Мультихомед ipsec VPN

[Eugene Grosbein]

On 11.10.2018 14:03, Alexey Krylov wrote:

>> Конкретно в случае mpd5 вариант с несколькими таблицами маршрутизации
>> работать не будет, можно даже не пробовать, потому что mpd5 это просто оболочка
>> над ядерной подсистемой NETGRAPH и несколько копий mpd5 запустить не выйдет,
>> а одна копия будет работать только с одной таблицей маршрутизации.
> 
>> Да это и не нужно, так как достаточно одного правила пакетного фильтра.
> 
> Я запускал на прошлой работе именно 2 разных сервиса mpd в разных таблицах маршрутизации
> и это прекрасно работало. Где-то лежат законспектированные конфиги. Если интересно - могу поискать.
> 
> На счет правил пакетного фильтра - возможно, если есть возможность "помечать" трафик,
> который приходит со второго провайдера, чтобы после ответа сервиса mpd5 "завернуть" его
> во второй канал. Но это не ipfw... по моему он не хранит таблицу коннекшенов, хотя, там есть
> connection state, но это только флаг true/false. Если это не так - поправьте меня, пожалуйста.
> 
> Если есть возможность - отправте линк на статью, где подобный случай решается
> "пометкой-заворотом" трафика. Не знаю, как все, я был бы очень благодарен.

Ничего не нужно помечать в случае, когда mpd5 работает непосредственно на роутере
и речь идёт про l2tp/ipsec, который работает поверх IP. В исходных запросах
адрес назначения будет внешним адресом второго внешнего интерфейса,
а в ответах он же будет адресом источника. И достаточно одного правила:

ipfw fwd $gw2 ip from $ip2 to any out xmit $if1