all packets are dropped, why? ovpn, bridge, dd-wrt

[hryamzik]

Настраиваю эту волшебну линуху клиентом, в режиме моста.
http://www.dd-wrt.com/wiki/index.php/Op ... wo_Routers
Вот по этому мануалу, немного другие конфиги впна, но хосты коннектятся и работают без проблем.
Везде пишут, что туториал рабочий.
У меня и на клиенте, и на сервере дхцп сервер, эти пакеты никак не фильтруются (как и в туториале). Пробовал в серверном конфиге добавлять и удалять строчку server bridge ip mask iprange, в общем-то особого эффекта нет.

Впн коннектится, но вот все пакеты

Код: Выделить всё

tap0      Link encap:Ethernet  HWaddr 00:FF:1E:99:19:BA  
          UP BROADCAST RUNNING PROMISC MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:863 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

ИМХО, лиюо это фаервол, либо они приходят с неожиданным destination address. Фарволу я прописал

Код: Выделить всё

# Allow TAP interface connections to OpenVPN server
iptables -A INPUT -i tap+ -j ACCEPT

# Allow TAP interface connections to be forwarded through other interfaces
iptables -A FORWARD -i tap+ -j ACCEPT

iptables -A INPUT -p udp --dport 1194 -j ACCEPT
iptables -A INPUT -i tap+ -j ACCEPT

Никакого тисипидампа сюда не водрузить. Как быть? Выдавать заранее заданный айпи, совпадающий с прописанным? Клиента даже в arp -a не появляется, да и мак-адреса у тапа каждый раз разные.
Понимаю, что решение где-то рядом, но безуспешно бьюсь уже третьи сутки.

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Alex Keda]

может поставить правильный ОС?

[hryamzik]

Правильный, это какой?

Вообще я уже разобрался, стартапный скрипт пришлось сильно модернизировать

[manefesto]

Правильный, это какой?

Вообще я уже разобрался, стартапный скрипт пришлось сильно модернизировать

FreeBSD

[hizel]

сначала допилите FreeBSD до это платформы, а потом предлагайте

по сабжу
текущий iptables -L -v было бы неплохо
и полный
ifconfig =|

[hryamzik]

Сабж решен уже, там в режиме туннеля все было хорошо и от этого я плясал дальше. То-ли route add в клиентском конфиге все портил, то-ли раздаваемый тап-ному адаптеру айпи, то-ли все вместе. В итоге скрипт клиента такой:

Код: Выделить всё

cd /tmp
ln -s /usr/sbin/openvpn /tmp/myvpn
./myvpn --mktun --dev tap0
brctl addif br0 tap0
ifconfig tap0 promisc

cat <<EOF> /tmp/up.sh
/sbin/ifconfig tap0 0.0.0.0
EOF

chmod +x /tmp/up.sh

echo "
daemon            # Become a daemon after all initialization
client
dev tap0
proto udp
remote site.site 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client.crt
key client.key
comp-lzo
verb 3
mssfix 1200
up \"/tmp/up.sh\"
" > client.conf

echo "
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
" > ca.crt
echo "
-----BEGIN RSA PRIVATE KEY-----
-----END RSA PRIVATE KEY-----
" > /tmp/client.key
chmod 600 /tmp/client.key

echo "
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
" > /tmp/client.crt

./myvpn --config client.conf 

route add -net 192.168.76.0/24 dev br0

Есть ли в серверном конфиге строчка
server-bridge или нет, получает ли тап адрес от серверного дхцп – тут уже не важно, это работает.

[Alex Keda]

сначала допилите FreeBSD до это платформы, а потом предлагайте

а что - во фре опенвпн нет чтоли? )

[hryamzik]

А что, фря уже держит нужный проц и весит 4 метра?
Это ж рутеры, вполне вкусное решение при стоимости, например, линксиса wrt54gl в 2кр. Ресурсов ему хватает.

[Alex Keda]

какой проц?
======
про 4 метра - вполне реально.