• Zarejestrowany: 2014-12-26
  • Posty: 6

Temat: Openvpn w trybie TAP - nie działa bridge

Witam

Próbuję skonfigurować openvpn w trybie bridge. Połączenie vpn nawiązuje się poprawnie, niestety klient nie dostaje IP.
Przy wykorzystaniu opcji server-bridge klient dostaje IP ale dalej nie ma komunikacji z serwerem - tak jakby mostek nie działał.
Szczegóły konfiguracji:

/etc/config/network

config interface 'lan1'
        option force_link '1'
        option type 'bridge'
        option proto 'static'
        option netmask '255.255.255.0'
        option ip6assign '60'
        option ipaddr '192.168.120.254'
        option ifname 'eth0.1 tap0'

/etc/config/openvpn

config openvpn 'ovpn'
        option config '/etc/openvpn/server.conf'
        option enable '1'

/etc/openvpn/server.conf

port 1194
proto udp
dev tap0
keepalive 10 120
status /tmp/openvpn-status.log
verb 3
tls-server
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
dh /etc/openvpn/dh1024.pem

ifconfig

root@router:~# ifconfig br-lan1
br-lan1   Link encap:Ethernet  HWaddr 90:F6:52:3E:C1:42
          inet addr:192.168.120.254  Bcast:192.168.120.255  Mask:255.255.255.0
          inet6 addr: fd3c:eb4c:79bb::1/60 Scope:Global
          inet6 addr: fe80::92f6:52ff:fe3e:c142/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:192 errors:0 dropped:0 overruns:0 frame:0
          TX packets:177 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:13629 (13.3 KiB)  TX bytes:17549 (17.1 KiB)

root@router:~# ifconfig tap0
tap0      Link encap:Ethernet  HWaddr 62:4F:0A:BA:41:91
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:4 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:0 (0.0 B)  TX bytes:264 (264.0 B)

root@router:~# brctl show
bridge name     bridge id               STP enabled     interfaces
br-lan1         7fff.90f6523ec142       no              eth0.1
                                                        wlan0
                                                        tap0
root@router:~#

2 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,909

Odp: Openvpn w trybie TAP - nie działa bridge

Konfigurację serwera dhcp i firewalla pokaż.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

3 Odpowiedź przez maciekm

  • Zarejestrowany: 2014-12-26
  • Posty: 6

Odp: Openvpn w trybie TAP - nie działa bridge

root@router:~# cat /etc/config/dhcp

config dnsmasq
        option domainneeded '1'
        option boguspriv '1'
        option filterwin2k '0'
        option localise_queries '1'
        option rebind_protection '1'
        option rebind_localhost '1'
        option local '/lan/'
        option domain 'lan'
        option expandhosts '1'
        option nonegcache '0'
        option authoritative '1'
        option readethers '1'
        option leasefile '/tmp/dhcp.leases'
        option resolvfile '/tmp/resolv.conf.auto'

config dhcp 'wan'
        option interface 'wan'
        option ignore '1'

config dhcp 'lan1'
        option interface 'lan1'
        option start '100'
        option limit '150'
        option dhcpv6 'server'
        option ra 'server'
        option leasetime '1h'
        option force '1'
        option ra_management '1'

config dhcp 'lan2'
        option interface 'lan2'
        option start '80'
        option limit '99'
        option leasetime '24h'
        option force '1'

config odhcpd 'odhcpd'
        option maindhcp '0'
        option leasefile '/tmp/hosts/odhcpd'
        option leasetrigger '/usr/sbin/odhcpd-update'
root@router:~# cat /etc/config/firewall

config defaults
        option syn_flood '1'
        option input 'ACCEPT'
        option output 'ACCEPT'
        option forward 'ACCEPT'

config zone
        option name 'lan'
        option input 'ACCEPT'
        option output 'ACCEPT'
        option forward 'ACCEPT'
        option network 'lan lan1'

config zone
        option name 'wan'
        option output 'ACCEPT'
        option masq '1'
        option mtu_fix '1'
        option network 'wan wan6'
        option input 'ACCEPT'
        option forward 'ACCEPT'

config forwarding
        option src 'lan'
        option dest 'wan'

config rule
        option name 'Allow-DHCP-Renew'
        option src 'wan'
        option proto 'udp'
        option dest_port '68'
        option target 'ACCEPT'
        option family 'ipv4'

config rule
        option name 'Allow-Ping'
        option src 'wan'
        option proto 'icmp'
        option icmp_type 'echo-request'
        option family 'ipv4'
        option target 'ACCEPT'

config rule
        option name 'Allow-DHCPv6'
        option src 'wan'
        option proto 'udp'
        option src_ip 'fe80::/10'
        option src_port '547'
        option dest_ip 'fe80::/10'
        option dest_port '546'
        option family 'ipv6'
        option target 'ACCEPT'

config rule
        option name 'Allow-ICMPv6-Input'
        option src 'wan'
        option proto 'icmp'
        list icmp_type 'echo-request'
        list icmp_type 'echo-reply'
        list icmp_type 'destination-unreachable'
        list icmp_type 'packet-too-big'
        list icmp_type 'time-exceeded'
        list icmp_type 'bad-header'
        list icmp_type 'unknown-header-type'
        list icmp_type 'router-solicitation'
        list icmp_type 'neighbour-solicitation'
        list icmp_type 'router-advertisement'
        list icmp_type 'neighbour-advertisement'
        option limit '1000/sec'
        option family 'ipv6'
        option target 'ACCEPT'

config rule
        option name 'Allow-ICMPv6-Forward'
        option src 'wan'
        option dest '*'
        option proto 'icmp'
        list icmp_type 'echo-request'
        list icmp_type 'echo-reply'
        list icmp_type 'destination-unreachable'
        list icmp_type 'packet-too-big'
        list icmp_type 'time-exceeded'
        list icmp_type 'bad-header'
        list icmp_type 'unknown-header-type'
        option limit '1000/sec'
        option family 'ipv6'
        option target 'ACCEPT'

config include
        option path '/etc/firewall.user'

config rule
        option name 'Allow-OpenVPN-Inbound'
        option target 'ACCEPT'
        option src '*'
        option proto 'udp'

root@router:~#

4 Odpowiedź przez maciekm

  • Zarejestrowany: 2014-12-26
  • Posty: 6

Odp: Openvpn w trybie TAP - nie działa bridge

Problem rozwiązany.
Klient miał włączoną opcję comp-lzo - na serwerze nieaktywną.

5 Odpowiedź przez andrewxxx

  • Zarejestrowany: 2012-02-18
  • Posty: 704

Odp: Openvpn w trybie TAP - nie działa bridge

maciekm czy możesz podesłać całą konfigurację: /etc/config/network ?
próbuje zestawić u siebie tap vpn ale po połączeniu widać że IP leci już z DHCP serwera i połączenie jest stabilne, ale po 1 nie idą pingi a po drugie brakuje internetu.

6 Odpowiedź przez andrewxxx

  • Zarejestrowany: 2012-02-18
  • Posty: 704

Odp: Openvpn w trybie TAP - nie działa bridge

Do zamknięcia juz działa smile