2 připojení, 2 VPN tunely, OpenVPN přes HTTP proxy

[czatlantis]

Ahoj, mám tu jeden trochu složitější požadavek jak bych chtěl mít udělané připojení:
Začnu popisem míst:
"Doma" - veřejná IP, na MK běží PPTP a OpenVPN server, adresní rozsah v místní síti 192.168.40.0/24

"pryč" - Jedna linka do netu (ADSL)Adresní rozsah 192.168.41.0/0
běžící PPTP klient na IP "domů".
Takže teď se z domu dostanu na jakoukoliv IP "pryč" a zase naopak

Teď mi přibyla v té lokaci "pryč" ještě jedna linka co bych chtěl využít. Bohužel musím jít přes proxy, takže mě napadlo použít OpenVPN. Server jsem si doma nakonfiguroval a když to testnu z PCčka přímo, tak se v pohodě připojím domů. Ale nedaří se mi to nakonfigurovat v té lokaci "pryč".

Takže zatím hlavní otázka: Jak nakonfigurovat OpenVPN klienta na MK, aby šel přes jinou než primární linku a ještě přes proxy?

Zkoušel jsem manglovat routing podle portu (tuším 1194) a pak v routes dát tu druhou jen pro tady tenhle routing mark, ale pořád se to připojovalo přes primární net.
Zbytek zatím nemá smysl řešit, dokud není pořešený tohle....

Díky moc

[Majklik]

To máš jednu IP, na tu se jednou spojuješ pomocí PPTP přes primární linku a pak i na tu samou IP chceš pomocí OpenVPN přes druhou linku? Tohle, aby fungovalo na 100%, je v ROSu kapánek problém.
To manglování by v podstatě fungovat mělo, ale musíš to značkovat v output, ne v prerouting.

K druhé půli - implementace klienta OpenVPN v ROS nepodporuje průchod skrz HTTP proxy server (normální linux/windows OpenVPN klient to umí).
Skrz proxinu (pokud nevyžaduje autorizaci klienta), umí se spojit SSTP klient, takže můžeš zkusit použít SSTP místo OpenVPN.

[czatlantis]

Aha, to je pěkně naprd že to ROS neumí....

Proč by nemělo 100% fungovat připojení na stejnou IP? Jako že se nemají rády dva tunely vedle sebe?

EDIT: už to mám snad, zatím to nemám moc vyzkoušený. Udělal jsem to trochu prasácky, ale tak na moje účely to stačí - na serveru jsem si nahodil další virtuálku, která mi dělá OpenVPN a sdílí net pro MK. V tom se vytočí tunel v tunelu od toho openVPN a pak v NATu mám nastaven 1:1 převod IPček. Takže doma když dám IP 192.168.41.10 tak to jede přes linku 1 a když dám 192.168.42.10, tak přes linku 2
Časem by to ale chtělo nějak pořešit přímo z MK, aby tam nemusel být další PC a bylo to spolehlivější, ale zatím na testy stačí tohle

[Majklik]

Ne, nevadí, že máš dva tunely vedle sebe na jednu IP. Vadí to, že policy routing se chová trošku jinak, než se na pohled jeví. Respektive to jde udělat spolehlivě, ale musí se použít aspoň na jednom připojení tunel, kde se dá specifikovat i zdrojová IP adresa (GRE, IPIP, ...), ne jen adresa cíle (což je případ PPTP, OVPN, ...) a místo holého policy routingu použít VRF.
Jinak pokud tma máš tu proinu, tka se ji neboj a použij to SSTP. Používám na pár místech SSTP skrz proxy a je to OK. A proxina ti vyřeší i tne problém, že se spojuješ na jednu IP vícero cestama, nahradí to rozhodování o správném směru pro SSTP tunel (PPTP ti půjde přímo ven).
Možná zbytečné používat ten OpenVPN in OpenVPN, asi stačí ti udělat dstnat na tom serveru.

[czatlantis]

Aha, to jsem nevěděl...a mám pocit, že teď s tím mám problém - chová se to nějak divně. Zkusil jsem udělat teda ten SSTP tunel (díky, funguje to určitě líp než to tahat ještě přes jeden PC), ten funguje, ale když ho nahodím, tak mi přijde že i všechen traffic co by měl jít normálním primárním tunelem přes primární linku jde tím nově navázaným, ikdyž tam žádná routa není. Prostě jakmile vytočím SSTP, tak vylítnou pingy (záložní linka je wireless) a jak začnu přenášet data, tak jsou naprosto zasekaný i IP co by měly jet přes normální rozsah.

Nechápu proč se to tak chová, když je jasně dáno že tenhle rozsah má routu tudy a ten druhej tama... Bože, proč to nemůže fungovat jak na první pohled vypadá že by mělo...

EDIT: zkusil jsem udělat pro druhou VPN naprosto jinej rozsah IP a zatím se to tváří OK, uvidíme...