Страница 1 из 1
OpenVPN + ipfw
Добавлено: 2013-08-12 10:34:35
razorback
Всем добрый день!
Вот какой вопрос - OpenVPN работает, все ок. Что нужно сделать, чтобы ipfw видел виртуальную сеть? у меня видит только все что связано с em0, все что с tun0 - не видит. Это нормально?
Re: OpenVPN + ipfw
Добавлено: 2013-08-12 10:50:05
lazhu
Непонятен вопрос. Чтобы трафик ходил свободно между сервером и клиентами, откройте any to any на tun0
Re: OpenVPN + ipfw
Добавлено: 2013-08-12 10:59:42
razorback
Вот как раз свободно то он и ходит через tun0. А я хочу, чтобы не свободно. Например, делаю "ipfw add deny tcp from any to any 22 via tun0" - пофиг, если сделать просто без "via tun0", это действует только на em0. Вопрос в том, могу ли я написать правила для виртуальной подсети 10.8.0.0/24, которая на интерфейсе tun0?
Re: OpenVPN + ipfw
Добавлено: 2013-08-12 11:12:35
lazhu
razorback писал(а):Вот как раз свободно то он и ходит через tun0. А я хочу, чтобы не свободно. Например, делаю "ipfw add deny tcp from any to any 22 via tun0" - пофиг, если сделать просто без "via tun0", это действует только на em0. Вопрос в том, могу ли я написать правила для виртуальной подсети 10.8.0.0/24, которая на интерфейсе tun0?
Значит неверный порядок правил, включайте лог и смотрите, по какому правилу проходит трафик, который надо зарубить.
Re: OpenVPN + ipfw
Добавлено: 2013-08-12 11:20:50
razorback
Да вот нифига. Первое же правило на Deny: "ipfw add 100 deny tcp from any to any 22 via tun0" нифига не делает. Если сделать его без tun0, для всех как бы интерфйесов, то блин локально на 192.168.55.234 я не попаду на ssh, а вот в виртуалке на 10.8.0.1 без проблем. И кстати в tcpdump ничего про 10.8.0.0/24 ничего нет. Это же нормально? Что то вот тут я и не догоняю. Если ничего нет в tcpdump (и наверное и не должно?) то как ipfw должен сечь? Может что то надо сделать..?
Re: OpenVPN + ipfw
Добавлено: 2013-08-12 11:50:45
razorback
Все, разобрался, бросаю пить и курить по утрам. Спасибо!
OpenVPN + ipfw
Добавлено: 2017-01-26 16:35:04
kozanostra
razorback писал(а): Все, разобрался, бросаю пить и курить по утрам. Спасибо!
ну емае!
Как разобрался? Что было?
Сам всю голову сломал, пускаю пинги на 10.8.* адресах в tcpdump тишина как в танке куда копать как ограничивать ipfw openvpn?
Отправлено спустя 1 минуту 25 секунд:
дополнение:
сеть есть все работает, но хотелось этот вопрос прояснить, а именно ограничения на виртуальной сети.
OpenVPN + ipfw
Добавлено: 2017-02-23 2:12:06
Гость
тоже разобрался
мож кому пригодиться на начальных этапах
если в tcpdump тишина на сеть openvpn (10.8.0.* или ваша указаная), то надо закоментировать строчку client-to-client в настройках сервера openvpn и тогда трафик будет виден и им можно будет управлять.