Bug 23658

Summary: в multihomed конфигурации ответы на udp уходят через default gw без опции --multihome
Product: Sisyphus Reporter: fr.butch
Component: openvpnAssignee: Nikolay A. Fetisov <naf>
Status: CLOSED NOTABUG QA Contact: qa-sisyphus
Severity: normal    
Priority: P3 CC: naf
Version: unstable   
Hardware: all   
OS: Linux   

Description fr.butch 2010-06-23 13:14:51 MSD 
прошу добавить в init скрипты в старт каналов опцию
--multihome
которая позволяет openvpn корректно работать на хостах с 2+ кол-вом каналов в интернет, и как я понимаю, не мешает работе при 1 канале.
собственно проблема выглядит так (при верно настроенном роутинге на iproute2):
пакет приходит на ифейс резервного канала, а ответы - с ифейса на котором установлен дефулт гейтвей.
при этом все остальные сервисы отвечают корректно на обоих каналах.

в conntrack -L -p udp | grep 1194 
udp      17 26 src=CLIENT_IP dst=PROV2_IP sport=38877 dport=1194 packets=30 bytes=1260 [UNREPLIED] src=192.168.1.101 dst=CLIENT_IP sport=1194 dport=38877 packets=0 bytes=0 mark=17 secmark=0 use=2 
udp      17 26 src=PROV1_IP dst=CLIENT_IP sport=1194 dport=38877 packets=48 bytes=2292 [UNREPLIED] src=CLIENT_IP dst=PROV1_IP sport=38877 dport=1194 packets=0 bytes=0 mark=0 secmark=0 use=2 

проблема решается добавлением ключа --multihome в init в start_channel
Comment 1 Nikolay A. Fetisov 2010-06-23 16:40:19 MSD 
Данная опция - это настройка OpenVPN в условиях конкретной системы. Т.е., её место - в файле конфигурации нужного канала OpenVPN.

По "всем остальным сервисам" - они, по-видимому, работают через TCP. Для OpenVPN 
рекомендовано использование UDP, что и приводит к необходимости дополнительных действий при работе с двумя и более каналами во внешнюю сеть.


Итого: опцию multihome в данном случае надо просто добавить в файл конфигураци OpenVPN.
Comment 2 fr.butch 2010-06-23 17:07:21 MSD 
(В ответ на комментарий №1)
> Данная опция - это настройка OpenVPN в условиях конкретной системы. Т.е., её
> место - в файле конфигурации нужного канала OpenVPN.

пожалуйста, добавьте тогда хотя бы коммент об этом параметре в sample серверной конфигурации.
/usr/share/doc/openvpn-$version/server.conf