Маркировка VPN трафика
Добавлено: 22 сен 2022, 06:58
Здравствуйте.
Настроено подключение через два провайдера. Работает в режиме балансировки, PCC, сначала mark connection, затем mark routing, две таблицы, маршруты в IP-Routing.
Добавлю в эту схему интерфейс VPN, например модный WireGuard или классический OpenVPN, через него направляю трафик к определенным узлам - опять же mark connection по address list, затем mark routing в свою таблицу со своим маршрутом.
И вот тут призадумался - ведь у меня два "физических", так сказать, интерфейса (два провайдера), на правила VPN в Mangle приходят уже маркированные соединения, я их перемаркировываю, перезаписывая mark connection и mark routing.
Вопрос. Правильно сделать одну маркировку для VPN (не важно, чей пакет - IPS1 или IPS2), условно: сначала IPS1_route_mark и IPS2_route_mark, затем VPN_route_mark. Или сделать две маркировки VPN (и две таблицы) - условно: сначала IPS1_route_mark и IPS2_route_mark, затем IPS1-VPN_route_mark и IPS2-VPN_route_mark.
Меня смущает то, что по сути VPN-интерфейс работает поверх провайдера (точнее двух провайдеров).
Настроено подключение через два провайдера. Работает в режиме балансировки, PCC, сначала mark connection, затем mark routing, две таблицы, маршруты в IP-Routing.
Добавлю в эту схему интерфейс VPN, например модный WireGuard или классический OpenVPN, через него направляю трафик к определенным узлам - опять же mark connection по address list, затем mark routing в свою таблицу со своим маршрутом.
И вот тут призадумался - ведь у меня два "физических", так сказать, интерфейса (два провайдера), на правила VPN в Mangle приходят уже маркированные соединения, я их перемаркировываю, перезаписывая mark connection и mark routing.
Вопрос. Правильно сделать одну маркировку для VPN (не важно, чей пакет - IPS1 или IPS2), условно: сначала IPS1_route_mark и IPS2_route_mark, затем VPN_route_mark. Или сделать две маркировки VPN (и две таблицы) - условно: сначала IPS1_route_mark и IPS2_route_mark, затем IPS1-VPN_route_mark и IPS2-VPN_route_mark.
Меня смущает то, что по сути VPN-интерфейс работает поверх провайдера (точнее двух провайдеров).