OpenVPN Access Server multihoming

OpenVPN Access Server позволяет выделить отдельный сетевой интерфейс для управления. Но доступ будет только из этой подсети, т. к. маршрут по-умолчанию указывает на шлюз в сервисной сети. Чтобы этого избежать, будем отправлять пакеты через тот интерфейс, с которого они пришли.

Проблема

Решение

Для каждого интерфейса нужно создать свои таблицы маршрутизации и направить трафик через них.

Для обработки правил маршрутизации NetworkManager’ом установим пакет NetworkManager-config-routing-rules и запустим сервис:

yum install NetworkManager-config-routing-rules
systemctl enable NetworkManager-dispatcher.service

Создадим таблицы маршрутизации — в /etc/iproute2/rt_tables добавим:

101     mgmt
102     svc

Наполним таблицу mgmt в файле /etc/sysconfig/network-scripts/route-eth0:

192.0.2.0/30 dev eth0 table mgmt
default via 192.0.2.1 dev eth0 table mgmt

Наполним таблицу svc в файле /etc/sysconfig/network-scripts/route-eth1:

192.0.2.4/30 dev eth1 table svc
default via 192.0.2.5 dev eth1 table svc

В файле /etc/sysconfig/network-scripts/rule-eth0 создадим правила маршрутизации для сети управления:

from 192.0.2.2 table mgmt

В файле /etc/sysconfig/network-scripts/rule-eth1 создадим правила маршрутизации для сервисной сети:

from 192.0.2.6 table svc

Перезагружаемся, и готово.

Список использованных материалов

1. Policy-based routing using NetworkManager on CentOS 7
2. How do I create CentOS 7 Persistent Policy-Based-Routing Rules?