Eu tenho uma máquina Linux que está configurada para conectar automaticamente um túnel VPN a uma rede corporativa. Esta máquina é configurada para tráfego NAT da rede local destinada a 194.1.0.0/16** e 10.0.0.0/8 através do túnel para máquinas com a rede corporativa.
Os clientes na rede local estão configurados para ter o IP deste servidor como seu gateway padrão, conforme emitido via dhcp.
Isso tudo funciona muito bem, exceto que o tráfego destinado à Internet também está sendo encaminhado por esse host. ou seja, o cliente A (192.168.1.144) quer falar com o servidor DNS do Google (8.8.8.8). O que acontece atualmente é que ele envia o pacote para o host da VPN (192.168.1.108), que o envia para o roteador ADSL (192.168.1.254), que o encaminha pela Internet. A resposta então (presumivelmente) retorna através do host da VPN antes de atingir A.
O que eu gostaria é que o servidor VPN, ao receber um pacote não destinado às redes no final da VPN, responda com um redirecionamento ICMP instruindo A a enviar via 192.168.1.254 . Isso deve tirar a carga do servidor VPN.
Eu tentei configurar rotas estáticas no servidor DHCP (ISC DHCPD no Ubuntu 16.04.1 LTS) para que o gateway padrão para tudo seja 192.168.1.254 e os hosts VPN sejam acessados via 192.168.1.108, mas eu também configurei incorretamente ele ou os vários clientes não conseguem pegar as opções. Os clientes são uma variedade de máquinas Windows (7 e 10), máquinas Linux (principalmente Ubuntu) e dispositivos Android.
O servidor VPN está executando o Ubuntu 16.04.1 LTS. O script a seguir configura o NAT:
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables-restore <<EOF
*nat
-A POSTROUTING -j MASQUERADE
COMMIT
EOF
As rotas na máquina são:
Destination Gateway Genmask Flags Metric Ref Use Iface
0.0.0.0 192.168.1.254 0.0.0.0 UG 0 0 0 ens2
10.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 ppp0
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 ens2
194.1.0.0 0.0.0.0 255.255.0.0 U 0 0 0 ppp0
194.1.1.220 0.0.0.0 255.255.255.255 UH 0 0 0 ppp0
Qualquer ajuda para obter este trabalho seria apreciada. Se eu perdi alguma informação que poderia ser pertinente, por favor me avise.
** - por favor, não questione porque seções da minha rede interna não estão em intervalos de endereços IP privados. Eu herdei isso e vou corrigi-lo uma vez que o resto dos problemas que eu herdei também seja classificado ***.
*** - isso pode demorar um pouco.