VPN pripojenia / OpenVPN bridge

Miroslav Lachman 000.fbsd at quip.cz
Fri Jan 8 15:40:28 CET 2010

Previous message: VPN pripojenia
Next message: cvsup na FreeBSD.cz
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

DadAN wrote:
> Zdravim,
>
> akurat som poriesil OpenVPN v bridge mode,
> zatial funguje ako vino, odporucam.

Kdyz uz se tady to tema nakouslo, tak se zeptam, nez se tim zacnu vic 
zabyvat sam :)
Nedavno jsem ve spechu na testovacim stroji rozbehl OpenVPN v bridge 
rezimu, ale byl jsem tam trosku zaskoceny v souvislosti firewallem (PF).

Do internetu je ten stroj pripojeny pres bge1, do LAN smeruje nfe0
Jako bridge je slouzi bridge0 ktery nema zadnou svoji IP a obsahuje 
cleny tap0 a nfe0:

nfe0: flags=8943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST> metric 
0 mtu 1500
         options=88<VLAN_MTU,VLAN_HWCSUM>
         ether 00:1a:24:bd:e2:0f
         inet 192.168.1.56 netmask 0xffffff00 broadcast 192.168.1.255
         media: Ethernet autoselect (100baseTX <full-duplex,flag0,flag1>)
         status: active

tap0: flags=8943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST> metric 
0 mtu 1500
         ether 00:bd:47:d9:39:00
         Opened by PID 36477

bridge0: flags=8943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST> 
metric 0 mtu 1500
         ether aa:86:61:75:0d:a7
         id 00:00:00:00:00:00 priority 32768 hellotime 2 fwddelay 15
         maxage 20 holdcnt 6 proto rstp maxaddr 100 timeout 1200
         root id 00:00:00:00:00:00 priority 32768 ifcost 0 port 0
         member: tap0 flags=143<LEARNING,DISCOVER,AUTOEDGE,AUTOPTP>
                 ifmaxaddr 0 port 8 priority 128 path cost 2000000
         member: nfe0 flags=143<LEARNING,DISCOVER,AUTOEDGE,AUTOPTP>
                 ifmaxaddr 0 port 1 priority 128 path cost 200000

A ted je otazkou, na jakem interface co vlastne filtrovat / povolovat, 
pokud chci, aby se klienti skrz tuhle VPN mohli pripojovat ke sluzbam v 
LAN, ale ne ke vsemu, co zrovna bezi na tom serveru, ktery vytvari VPN?

Jelikoz mi tam porad neco firewall blokoval a ja to potreboval narychlo 
rozbehat jen pro sve potreby, tak jsem v te dobe zkratka nastavil "set 
skip on" na vsechny 3 zarizeni (nfe0, tap0, bridge0)

Coz je samozrejme spatne, ale nejedna se o produkcni sit, potreboval 
jsem zprovoznit to nastaveni OpenVPN a pak teprve poresit spravne PF... 
A ten okamzik nastal prave ted ;)
Do ted jsem mel vsude OpenVPN jen routovanou s tun, takze si mile rad 
necham poradit od nekoho, kdo se timhle bezne zabyva.

A informace pro ostatni, postupoval jsem podle nasledujiciho navodu
http://www.mired.org/home/mwm/papers/FreeBSD-OpenVPN-Bridging.html

Vlastne bych tu mel jeste jeden dotaz ohledne klientu za tou VPN.
Momentalne dostavaji IP adresy z rozsahu 192.168.1.101-199 podle direktivy:

server-bridge 192.168.1.1 255.255.255.0 192.168.1.101 192.168.1.199

Lze tu bridgovanou OpenVPN nakonfigurovat tak, aby klienti dostavali IP, 
GW a DNS od DHCP, beziciho v cilove LAN, nebo to nelze?

Mirek

Previous message: VPN pripojenia
Next message: cvsup na FreeBSD.cz
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

More information about the Users-l mailing list