OpenVPN s bridgem.

Snazim se rozchodit OpenVPN s bridgem(ne routovanou variantu). Ale bohuzel, kdyz pustim prilozeny skript na vytvoreni bridge sit padne.

* modul pro bridge v jadre mam
* openvpn v systemu taky

brctl addbr br0
openvpn --mktun --dev tap0
 >Thu Dec  8 22:56:38 2005 TUN/TAP device tap0 opened
 >Thu Dec  8 22:56:38 2005 Persist state set to: ON
brctl addif br0 tap0
brctl addif br0 eth0
ifconfig br0 up

eth0 ma spravnou ip adresu,ale uz se pres ni nikam nedostanu. dik za kazdou radu

Odpovědi

1. prvni co musi existovat, tak je zarizeni bridge = brctl addbr br0

2. zarizeni, ktere se pridava do bridge nesmi mit nastavenou adresu, masku ani broadcast, jinak to uz pak neni cisty bridge a bude se chovat jinak - treba jako brouter. vetsinou pomaha v uvedenem poradi: "ifdown eth0; ifconfig eth0 up; brctl addif br0 eth0", ale musi se ifdown povest a musi platit, ze na tom systemu(jadre) dojde k vymazani adresnich a dalsich informaci u zarizeni.

3. vysledna sit musi splnovat 802.* podminky jako treba unikatnost media access adres jinak se pri zaplem arp muzou neustale hedat o tom, kdo ma dostavat data.

9.12.2005 16:32 petr_p
Rozbalit Rozbalit vše Re: OpenVPN s bridgem.

Ad vymazani adres a route: na to slouzi ip addr flush dev $DEVICE.

13.12.2005 23:50 Tomas12
Rozbalit Rozbalit vše Re: OpenVPN s bridgem.

diky, je mi to trosku jasnejsi, poradne jsem netusil, jak takova vec funguje. Ted uz mam nastaveny ip u virtualni sitovky a je v bridgi se skutecnou. z venku si pingu na obe. Ale problem je, ze kdyz od sebe lezu ven, lezu pod adresou te virtualni sitovku a ne pod skutecnou. Nejsem schopnej to nastavit tak aby se pro odchozi spojeni pouzivala ta spravna adresa. (je mi jasny,ze tohle je asi zakladni neznalost:(ale nevim si s tim rady..ani pan google)

15.12.2005 21:12 asd
Rozbalit Rozbalit vše Re: OpenVPN s bridgem.

ip route change default src odchoziadresa

BFW: nastavuje se br0, jak udelas bridge VSE, jde pres nej, pokud chces filtrovat zvlast eth0 pouzij ebutils

tap0 i eth0 musi byt up v promisc. modu, jak tam das neco jineho tak to nepojede...

#nahodis eth0
ifconfig eth0 up
#nahodis tap0
openvpn --mktun --dev tap0
#udelas bridge
brctl addbr br0
brctl addif br0 tap0
brctl addif br0 eth0
#nastavis interface br0
ifconfig br0 "ip" "netmask" up

15.12.2005 19:15 Tomas12
Rozbalit Rozbalit vše Re: OpenVPN s bridgem.

Diky moc, myslim ze to uz chapu. Jen pro ujisteni: pokud rozjidim openvpnku tak mam eth0 bez ip a br0 nastavim ip jakou ma mit normalne eth. (jakej to ma smysli uz asi radsi resit nebudu). Na http://openvpn.net/bridge.html je vybornej navod, jen v nem bohuzel neni vysvetleni, proc to takto je a jakou ip adresu mam nastavit, na tom jsem se zasekl. Je tam i skript pro nahozeni bridge(ted je mi uz jasnej):


#!/bin/bash

#################################
# Set up Ethernet bridge on Linux

# Requires: bridge-utils
#################################

# Define Bridge Interface
br="br0"

# Define list of TAP interfaces to be bridged,
# for example tap="tap0 tap1 tap2".
tap="tap0"

# Define physical ethernet interface to be bridged
# with TAP interface(s) above.
eth="eth0"
eth_ip="192.168.8.4"
eth_netmask="255.255.255.0"
eth_broadcast="192.168.8.255"

for t in $tap; do
    openvpn --mktun --dev $t
done

brctl addbr $br
brctl addif $br $eth

for t in $tap; do
    brctl addif $br $t
done

for t in $tap; do
    ifconfig $t 0.0.0.0 promisc up
done

ifconfig $eth 0.0.0.0 promisc up

ifconfig $br $eth_ip netmask $eth_netmask broadcast $eth_broadcast

Rozchodil jsem openvpn2.0.5 server na linuxu(router s eth0(192.168.1.66) a eth1 pro pripojeni do netu) s bridgem, pripoju se z winxp. Server mi priradi pres DHCP ip adresu(192.168.1.20),ale tim to konci. Z win si nepingnu ani na openvpn server.

server.config

port 1194
proto udp
dev tap0
ca /root/certs_vpn/ca.crt
cert /root/certs_vpn/server.crt
key /root/certs_vpn/server.key  # This file should be kept secret
dh /root/certs_vpn/dh1024.pem
ifconfig-pool-persist ipp.txt
server-bridge 192.168.1.66 255.255.255.0 192.168.1.20 192.168.1.30
keepalive 10 120
comp-lzo
persist-key
persist-tun
status openvpn-status.log
verb 3


na firewallu mam povoleny prichozi spojeni na 1194 
i pro tap0
$IPTABLES -A KEEP_STATE -p udp --dport 1194 -j ACCEPT
$IPTABLES -A INPUT -i tap0 -j ACCEPT
$IPTABLES -A INPUT -i br0 -j ACCEPT
$IPTABLES -A FORWARD -i br0 -j ACCEPT


bridg tvorim pres:

br="br0"
tap="tap0"

# Define physical ethernet interface to be bridged
# with TAP interface(s) above.
eth="eth0"
eth_ip="10.1.0.66"
eth_netmask="255.255.255.0"
eth_broadcast="10.1.0.255"
echo "OpenVPN";
for t in $tap; do  openvpn --mktun --dev $t; done
echo "brctl";
brctl addbr $br
brctl addif $br $eth
for t in $tap; do brctl addif $br $t;done
for t in $tap; doifconfig $t 0.0.0.0 promisc up;done
ifconfig $eth 0.0.0.0 promisc up
ifconfig $br $eth_ip netmask $eth_netmask broadcast $eth_broadcast

Za kazdou radu sem moc vdecnej. Moc sitarine nerozumim.:(

Dotaz: OpenVPN s bridgem.

Odpovědi