Всем добрый день!
Вот какой вопрос - OpenVPN работает, все ок. Что нужно сделать, чтобы ipfw видел виртуальную сеть? у меня видит только все что связано с em0, все что с tun0 - не видит. Это нормально?
OpenVPN + ipfw
Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
-
razorback
- рядовой
- Сообщения: 10
- Зарегистрирован: 2013-08-12 10:29:33
OpenVPN + ipfw
Последний раз редактировалось f_andrey 2013-08-12 17:44:14, всего редактировалось 1 раз.
Причина: Автору. пожалуйста, выбирайте соответствующий раздел форума, если приведёте больше логов, это повысит вероятность ответов, а не флуда
Причина: Автору. пожалуйста, выбирайте соответствующий раздел форума, если приведёте больше логов, это повысит вероятность ответов, а не флуда
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
-
lazhu
- сержант
- Сообщения: 254
- Зарегистрирован: 2013-08-10 14:28:38
- Контактная информация:
Re: OpenVPN + ipfw
Непонятен вопрос. Чтобы трафик ходил свободно между сервером и клиентами, откройте any to any на tun0
-
razorback
- рядовой
- Сообщения: 10
- Зарегистрирован: 2013-08-12 10:29:33
Re: OpenVPN + ipfw
Вот как раз свободно то он и ходит через tun0. А я хочу, чтобы не свободно. Например, делаю "ipfw add deny tcp from any to any 22 via tun0" - пофиг, если сделать просто без "via tun0", это действует только на em0. Вопрос в том, могу ли я написать правила для виртуальной подсети 10.8.0.0/24, которая на интерфейсе tun0?
-
lazhu
- сержант
- Сообщения: 254
- Зарегистрирован: 2013-08-10 14:28:38
- Контактная информация:
Re: OpenVPN + ipfw
Значит неверный порядок правил, включайте лог и смотрите, по какому правилу проходит трафик, который надо зарубить.razorback писал(а):Вот как раз свободно то он и ходит через tun0. А я хочу, чтобы не свободно. Например, делаю "ipfw add deny tcp from any to any 22 via tun0" - пофиг, если сделать просто без "via tun0", это действует только на em0. Вопрос в том, могу ли я написать правила для виртуальной подсети 10.8.0.0/24, которая на интерфейсе tun0?
-
razorback
- рядовой
- Сообщения: 10
- Зарегистрирован: 2013-08-12 10:29:33
Re: OpenVPN + ipfw
Да вот нифига. Первое же правило на Deny: "ipfw add 100 deny tcp from any to any 22 via tun0" нифига не делает. Если сделать его без tun0, для всех как бы интерфйесов, то блин локально на 192.168.55.234 я не попаду на ssh, а вот в виртуалке на 10.8.0.1 без проблем. И кстати в tcpdump ничего про 10.8.0.0/24 ничего нет. Это же нормально? Что то вот тут я и не догоняю. Если ничего нет в tcpdump (и наверное и не должно?) то как ipfw должен сечь? Может что то надо сделать..?
-
razorback
- рядовой
- Сообщения: 10
- Зарегистрирован: 2013-08-12 10:29:33
Re: OpenVPN + ipfw
Все, разобрался, бросаю пить и курить по утрам. Спасибо!
-
kozanostra
- проходил мимо
- Сообщения: 1
- Зарегистрирован: 2017-01-26 16:29:05
OpenVPN + ipfw
ну емае!
Как разобрался? Что было?
Сам всю голову сломал, пускаю пинги на 10.8.* адресах в tcpdump тишина как в танке куда копать как ограничивать ipfw openvpn?
Отправлено спустя 1 минуту 25 секунд:
дополнение:
сеть есть все работает, но хотелось этот вопрос прояснить, а именно ограничения на виртуальной сети.
-
Гость
- проходил мимо
OpenVPN + ipfw
тоже разобрался
мож кому пригодиться на начальных этапах
если в tcpdump тишина на сеть openvpn (10.8.0.* или ваша указаная), то надо закоментировать строчку client-to-client в настройках сервера openvpn и тогда трафик будет виден и им можно будет управлять.
мож кому пригодиться на начальных этапах
если в tcpdump тишина на сеть openvpn (10.8.0.* или ваша указаная), то надо закоментировать строчку client-to-client в настройках сервера openvpn и тогда трафик будет виден и им можно будет управлять.