Есть VE, внутри неё поднят OpenVPN и NAT:
# uname -srv
Linux 2.6.18-8.1.4.el5.028stab035.1 #1 SMP Fri Jun 8 21:14:18 MSD 2007
# ip a s
[...]
3: venet0: <BROADCAST,POINTOPOINT,NOARP,UP,10000> mtu 1500 qdisc noqueue
[...]
inet 192.168.159.15/32 scope global venet0:6
5: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,10000> mtu 1500 qdisc pfifo_fast qlen 500
link/[65534]
inet 192.168.159.8 peer 192.168.159.9/32 scope global tun0
# iptables -t nat -L POSTROUTING -v -n |grep 159.15
91 5276 SNAT all -- * venet0 10.15.0.0/16 0.0.0.0/0 to:192.168.159.15
Проблема заключается в том, что vpn-юзер обращается, например, к DNS, его запрос NAT'ится, приходит ответ. А после обратного прохождения NAT пакет для vpn-юзера появляется почему-то опять на venet0! А не на tun0.
# tcpdump -i venet0 'udp port 53'
19:49:21.192107 IP 192.168.159.15.1582 > core2.domain: 5502+ A? mail.authorit.ru. (34)
19:49:21.192998 IP core2.domain > 192.168.159.15.1582: 5502 2/2/0 CNAME[|domain]
19:49:21.193011 IP core2.domain > 10.15.0.93.1582: 5502 2/2/0 CNAME[|domain]
Соответственно, на tun0 в ответ тишина.
# tcpdump -i tun0 'udp port 53'
19:51:29.995683 IP 10.15.0.93.1582 > core2.domain: 54142+ A? authorit.ru. (29)
19:51:31.002795 IP 10.15.0.93.1582 > core2.domain: 54142+ A? authorit.ru. (29)
vpn-юзеров много, но такой глюк возникает только для некоторых и иногда. В основном всё OK.
Как лечить?
[Updated on: Tue, 17 July 2007 10:11] by Moderator
Report message to a moderator
OpenVZ Forum
Members
Search
Help
Register
Login
Home
