Есть сервер OpenVPN с несколькими инстансами, раздающими, соответственно, каждый свою подсеть (topology subnet).
Маршрут в 0.0.0.0 для одной из подсетей средствами source-based routing завернут на клиента другой подсети
ip route add default via 172.16.245.4 dev tun1 table 120
ip rule add from 172.16.247.0/24 table 120
Здесь все хорошо, на tun1 я эти пакеты tcpdump-ом вижу.
Этот клиент другой подсети готов принимать пакеты и натить их во внешний мир, но tcpdump-ом на его tun пакетов не видно.
Как я понимаю, так происходит потому, что сервер OpenVPN не знает, куда (кому конкретно) девать исходящие пакеты в 0.0.0.0, если к нему подключены только 172.16
Вопрос: как с этим недоразумением бороться?
Пока приходят на ум следующие варианты:
1. Рассказать ему об этом через iroute (но он же, зараза, попытается их в системной таблице маршрутизации прописать, и получится неведомое)
2. Вместо topology subnet поднять этому клиенту-шлюзу туннель p2p, возможно даже tap.
Есть у кого мысли по ситуации?
Updated: 28 December 2025, 07:32:32
1. Рассказать ему об этом через iroute (но он же, зараза, попытается их в системной таблице маршрутизации прописать, и получится неведомое)
iroute управляет чисто внутренней маршрутизацией OpenVPN, системную не трогает
Так что написал в ccd/client
iroute 0.0.0.0 128.0.0.0
iroute 128.0.0.0 128.0.0.0
И всё заверте.
