OpenVPN bridge

[milligan1]

Всем привет.
Помогите допилить OpenVPN bridge на freebsd 10

В ЯДРЕ options if_bridge

Server.conf

Код: Выделить всё

port 2000
proto tcp
dev tap0
#указываем файл CA
ca /usr/openvpn/keys/ca.crt
cert /usr/openvpn/keys/server.crt
key /usr/openvpn/keys/server.key
dh /usr/openvpn/keys/dh1024.pem

server-bridge

push "redirect-gateway def1"
push "route-gateway 172.18.0.10"


ifconfig 172.18.0.36 255.255.0.0

push "route 172.18.0.0 255.255.0.0"
route 172.18.0.0 255.255.0.0 172.18.0.10

tls-server
client-to-client
tls-auth /usr/openvpn/keys/ta.key 0
tls-timeout 120 
auth SHA1
cipher BF-CBC
keepalive 10 120
comp-lzo
max-clients 100
user nobody 
group nobody
daemon
persist-key

persist-tun

status /var/log/openvpn/openvpn-status.log
log /var/log/openvpn/openvpn.log
duplicate-cn
verb 4

Client.conf

Код: Выделить всё

dev tap0
proto tcp
remote ***
port 2000
client

route-method exe


resolv-retry infinite
pkcs12 client.p12
tls-client
tls-auth ta.key 1
auth SHA1
cipher BF-CBC
ns-cert-type server
comp-lzo
persist-key
persist-tun
verb 3

rc.conf

Код: Выделить всё

ifconfig_em0="DHCP"
sshd_enable="YES"

dumpdev="AUTO"
gateway_enable="YES"

openvpn_enable="YES"
openvpn_if="tap"
openvpn_configfile="/usr/openvpn/server.conf"
openvpn_dir="/usr/openvpn"

sysctl.conf

Код: Выделить всё

net.link.tap.up_on_open=1

При подключении с клиента пингуются все интерфесы OpenVPN сервера (em0 bridge0 tap0) но дальше не пускает, тоесть нет доступа дальше OPenVpn сервера.

tcpdump показывает что пакеты проходят через tap попадают на bridge и выходят с em0, но до адресата не доходят....
PS: Firewall не ставил

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Dmitriy_3206]

А что показывает ifconfig после поднятия tun на сервере?

Если честно я просто никогда на *nix не поднимал мост...
На винде в мост надо объединить tun и lan до того как устанавливаешь соединения.
Вообще tap нужен что бы ethernet кадры распространялись. Я всегда строю tun и маршрутизирую. Не прелставляю для чего нужен tap учитывая что tcp/ip покрывает все нужды.

[milligan1]

А что показывает ifconfig после поднятия tun на сервере?

Если честно я просто никогда на *nix не поднимал мост...
На винде в мост надо объединить tun и lan до того как устанавливаешь соединения.
Вообще tap нужен что бы ethernet кадры распространялись. Я всегда строю tun и маршрутизирую. Не прелставляю для чего нужен tap учитывая что tcp/ip покрывает все нужды.

Смотрите внимательней мой конфиг - я использую для моста TAP

Через TUN не получилось завести SIP на клиенте(сип масгарадинг тоже не помог).

Код: Выделить всё

root@OPENVPN:~ # ifconfig
em0: flags=8943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=98<VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM>
        ether 00:0c:29:04:96:68
        inet 172.18.0.94 netmask 0xffff0000 broadcast 172.18.255.255
        nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
        media: Ethernet autoselect (1000baseT <full-duplex>)
        status: active
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
        options=600003<RXCSUM,TXCSUM,RXCSUM_IPV6,TXCSUM_IPV6>
        inet6 ::1 prefixlen 128
        inet6 fe80::1%lo0 prefixlen 64 scopeid 0x2
        inet 127.0.0.1 netmask 0xff000000
        nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>
tap0: flags=8943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=80000<LINKSTATE>
        ether 00:bd:87:03:00:00
        inet 172.18.0.36 netmask 0xffff0000 broadcast 172.18.255.255
        nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
        media: Ethernet autoselect
        status: active
        Opened by PID 1629
bridge0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        ether 02:da:cc:d5:c3:00
        inet 172.18.0.95 netmask 0xffff0000 broadcast 172.18.255.255
        nd6 options=9<PERFORMNUD,IFDISABLED>
        id 00:00:00:00:00:00 priority 32768 hellotime 2 fwddelay 15
        maxage 20 holdcnt 6 proto rstp maxaddr 2000 timeout 1200
        root id 00:00:00:00:00:00 priority 32768 ifcost 0 port 0
        member: tap0 flags=153<LEARNING,DISCOVER,STICKY,AUTOEDGE,AUTOPTP>
                ifmaxaddr 0 port 3 priority 128 path cost 2000000
        member: em0 flags=143<LEARNING,DISCOVER,AUTOEDGE,AUTOPTP>
                ifmaxaddr 0 port 1 priority 128 path cost 20000

[Dmitriy_3206]

Я отметил что Вы используете TAP. Просто не правильно выразился. В windows опять же это один и тот же интерфейс что работает в зависимости от конфига.

Я с мостами не работал, но на сколько я понимаю у него должен быть один ip адрес.
Подглядев в гугл увидел что ip можно ставить хоть на любое устройство, хоть на сам мост.
Решения я не знаю но копал бы так
Закоментировать ifconfig 172.18.0.36 255.255.0.0
После пинга с клиента посмотреть mac адрес
А фильтрацию вы используете?
А мост поднимаете в какой момент?
Нашел рекомендацию, что мост надо поднимать одной командой.

Но честно говоря рекомендую отказаться от моста если есть возможность и настроить маршрутизацию.