Eu tenho uma configuração básica do Ubuntu 18.04 onde o computador tem duas interfaces - uma para interno (enp4s0) e outra para a internet (enp5s0). Na interface da internet, eu tenho uma VPN (tun0) com sucesso, que assume todo o tráfego de saída para enp5s0, para que o tráfego da Internet seja protegido pela VPN.
O que estou tentando resolver é - como faço para que um host dentro da minha rede (por exemplo, 192.168.1.220) fique fora da VPN e saia pelo enp5s0. Eu não quero que ele esteja dentro da VPN.
Alguém pode aconselhar sobre o que preciso fazer com minhas rotas? Acredito que tenho que configurar uma mesa via iproute2, mas não tive sorte em fazê-la funcionar.
Tabela de rotas (com VPN ativada)
Destination Gateway Genmask Flags Metric Ref Use Iface
0.0.0.0 10.8.8.1 128.0.0.0 UG 0 0 0 tun0
default _gateway 0.0.0.0 UG 0 0 0 enp5s0
10.8.8.0 0.0.0.0 255.255.255.0 U 0 0 0 tun0
45.248.79.198 _gateway 255.255.255.255 UGH 0 0 0 enp5s0
128.0.0.0 10.8.8.1 128.0.0.0 UG 0 0 0 tun0
link-local 0.0.0.0 255.255.0.0 U 1000 0 0 enp5s0
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 enp4s0
192.168.8.0 0.0.0.0 255.255.255.0 U 0 0 0 enp5s0
Tabela de rotas (VPN desativada)
Destination Gateway Genmask Flags Metric Ref Use Iface
default _gateway 0.0.0.0 UG 0 0 0 enp5s0
link-local 0.0.0.0 255.255.0.0 U 1000 0 0 enp5s0
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 enp4s0
192.168.8.0 0.0.0.0 255.255.255.0 U 0 0 0 enp5s0
Regra do UFW (para obter o tráfego de LAN para VPN)
-A POSTROUTING -s 192.168.1.0/24 -o tun0 -j MASQUERADE
Você precisa de roteamento de políticas , então algo como
ip route add table 250 default dev enp5s0
ip rule add from 192.168.1.220 table 250
Não sei ao certo para onde _gateway aponta, talvez você tenha que adicionar via a.b.c.d na primeira linha. Além disso, recomendo usar o mais recente ip route sobre o antigo route .
Sempre é preciso alguma intrigante para obter um layout de rede a partir dessas tabelas. Como eu vejo:
_gateway está em 192.168.8.0/24 A tabela de roteamento que você fornece tem algo estranho:
Destination Gateway Genmask Flags Metric Ref Use Iface
0.0.0.0 10.8.8.1 128.0.0.0 UG 0 0 0 tun0
128.0.0.0 10.8.8.1 128.0.0.0 UG 0 0 0 tun0
Você está dividindo a Internet em duas metades, ambas passando por tun0.
Destination Gateway Genmask Flags Metric Ref Use Iface
default _gateway 0.0.0.0 UG 0 0 0 enp5s0
Seu gateway padrão ainda é _gateway
Eu esperava que a tabela de roteamento tivesse a seguinte aparência:
Destination Gateway Genmask Flags Metric Ref Use Iface
default 10.8.8.1 0.0.0.0 UG 0 0 0 tun0
10.8.8.0 0.0.0.0 255.255.255.0 U 0 0 0 tun0
45.248.79.198 _gateway 255.255.255.255 UGH 0 0 0 enp5s0
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 enp4s0
192.168.8.0 0.0.0.0 255.255.255.0 U 0 0 0 enp5s0
127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
Para ir à sua pergunta: 192.168.1.220 está em uma rede conectada diretamente. Portanto, não será para um gateway, se for puro problema de roteamento.