FreeBSD 6.4 + OpenVPN + bridge + VMWare 4.1
Ivo Hazmuk
ivo at vutbr.cz
Thu May 3 21:53:48 CEST 2012
Ahoj,
muj problem se tyka stareho FreeBSD 6.4, na kterem bezi OpenVPN s
rozhranim tap, ktere je propojene bridgem:
'ifconfig bridge0 addm tap0 addm em0'.
Pokud je tento VPN stroj v samostatnem hw, bezi vse spravne.
Pokud bezi ve VMWare 4.1, nevraci pripojenym klientum ARP reply - popisi
pozdeji. Konfigurace obou systemu jsou identicke s vyjimkou IP adresy.
Tato sluzba ma velmi malo uzivatelu a jeste pred casem bezela, ale pred
neznamo jak dlouhou dobou prestala. Nedokazi tudiz urcit seznam zmen,
ktere mohly v celem soustroji nastat. Strycek Google neporadil. VMWare
ma klonovani MAC adres a dalsi vlastnosti povolene.
Na tomtez serveru bezi PPTP server, ktery pouziva pro sireni MAC adres
smerem k pripojenym klientum proxy ARP. Zde problem neni.
Popis problemu:
Uzivatel se pres OpenVPN pripoji, je mu pridelena IP adresa z rozsahu
lokalni site. Klient vysle ARP request na default router. Default router
odpovi, ale ARP reply k OVPN klientovi nedorazi. Naposledy je videt na
rozhrani em0, ktere je pripojeno do lokalni site. Na rozhranich bridge0
a tap0 uz videt neni.
Takto se chova i pri ARP pro IP adresu rozhrani em0 OVPN serveru.
Topologie:
+----bridge0----+
| |
+----------+ em0 +---------+ tap0 +--------+
--| def. rout|---------|OVPN srv.|-----------| klient |
+----------+ +---------+ +--------+
ifconfig em0 192.168.0.3/24 ip ze site 192.168.0.0/24
defaultrouter 192.168.0.1 defaultrouter 192.168.0.1
<------------------------------ ARP request z klienta
-------> ARP reply od defaultrouteru
Zkousel jsem i logovani pomoci ipfw layer2. Zde take vidim, ze ARP reply
dorazi na rozhrani em0 a dale ne.
Pokusy se sysctl bridgem dopadly stejne.
Mate nekdo nejaky, jakkoliv sileny napad, co zkusit? Me v tuto chvili
invence dosla.
Dekuji
Ivo Hazmuk
More information about the Users-l
mailing list