1 Temat przez rufik

  • rufik
  • Użytkownik
  • Nieaktywny
  • Skąd: Łódź
  • Zarejestrowany: 2011-12-20
  • Posty: 260

Temat: OpenVPN w trybie TAP (bridge)

Próbuje zestawić sobie drugą instancję OpenVPN w trybie bridge/tap (bo pierwsza działa w trybie TUN i nie chcę tego ruszać), ładnie się wspieram wpisami na forum oraz opisem Cezarego: http://eko.one.pl/?p=openwrt-openvpn

Wszystko spoko, tylko jedna rzecz mnie męczy - czy rzeczywiście trzeba tworzyć skrypt usługi do wykonania mostu między interfejsami jak niżej zacytowałem? Bo zauważyłem, że openvpn sam tworzy iface tap0, więc mktun już odpada. Ale czy też "brctl addif" jest zbędne, gdy mamy dopisany iface tap0 do sekcji "lan" w /etc/config/network?

#!/bin/sh /etc/rc.common
    
    START=94
    
    start() {
        openvpn --mktun --dev tap0
        brctl addif br-lan tap0
        ifconfig tap0 0.0.0.0 promisc up
    }
                                                                                                            
    stop() {
        ifconfig tap0 0.0.0.0 down
        brctl delif br-lan tap0
        openvpn --rmtun --dev tap0
    }

2 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,915

Odp: OpenVPN w trybie TAP (bridge)

Jak już sam dopisałeś to oczywiście nie ma sensu wołać brctl jeszcze raz.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

3 Odpowiedź przez rufik (edytowany przez rufik 2019-03-22 17:11:32)

  • rufik
  • Użytkownik
  • Nieaktywny
  • Skąd: Łódź
  • Zarejestrowany: 2011-12-20
  • Posty: 260

Odp: OpenVPN w trybie TAP (bridge)

A czy potrzebne jest dodanie tych reguł blokujących DHCP do /etc/firewall.user? Czy też separacja zakresów przydzielanych adresów IP w DHCP na poszczególnych routerach wystarczy?

ebtables -I FORWARD -i tap0 -p IPv4 --ip-protocol udp --ip-destination-port 67:68 -j DROP
ebtables -I FORWARD -o tap0 -p IPv4 --ip-protocol udp --ip-destination-port 67:68 -j DROP
ebtables -I INPUT -i tap0 -p IPv4 --ip-protocol udp --ip-destination-port 67:68 -j DROP
ebtables -I OUTPUT -o tap0 -p IPv4 --ip-protocol udp --ip-destination-port 67:68 -j DROP

4 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,915

Odp: OpenVPN w trybie TAP (bridge)

To już zależy jak sobie sieć połączysz.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

5 Odpowiedź przez Gr4nd0

  • Gr4nd0
  • Użytkownik
  • Nieaktywny
  • Skąd: Swarzędz
  • Zarejestrowany: 2016-10-06
  • Posty: 276

Odp: OpenVPN w trybie TAP (bridge)

rufik napisał/a:
ebtables -I FORWARD -i tap0 -p IPv4 --ip-protocol udp --ip-destination-port 67:68 -j DROP
ebtables -I FORWARD -o tap0 -p IPv4 --ip-protocol udp --ip-destination-port 67:68 -j DROP
ebtables -I INPUT -i tap0 -p IPv4 --ip-protocol udp --ip-destination-port 67:68 -j DROP
ebtables -I OUTPUT -o tap0 -p IPv4 --ip-protocol udp --ip-destination-port 67:68 -j DROP

Ciekawe podejście. Protokół IP to warstwa 3 w modelu ISO/OSI. Bridge to warstwa 2.
Proszę pokaż wynik polecenia:

# ifconfig tap0
GUI jest przereklamowane

ASUS WL-500gP v2, TP-Link TL-MR3420 v2, TP-Link TL-WR1043ND v3, TP-Link TL-WDR4300 v1, D-Link DWR-921 C3,
Netgear R6220

6 Odpowiedź przez rufik

  • rufik
  • Użytkownik
  • Nieaktywny
  • Skąd: Łódź
  • Zarejestrowany: 2011-12-20
  • Posty: 260

Odp: OpenVPN w trybie TAP (bridge)

Zastanawiałem się nad tym, bo w sumie połączyłem dwie sieci (dwa routery) i każda ma swój serwer DHCP, na wypadek, gdyby bridge się z jakiegoś powodu nie zestawił i nie było DHCP w drugiej sieci. No i wychodzi na to, że w takim przypadku warto zablokować ruch DHCP pomiędzy sieciami.
Wszystko mi bangla jak należy teraz smile

7 Odpowiedź przez Gr4nd0

  • Gr4nd0
  • Użytkownik
  • Nieaktywny
  • Skąd: Swarzędz
  • Zarejestrowany: 2016-10-06
  • Posty: 276

Odp: OpenVPN w trybie TAP (bridge)

Rozumiem co chciałeś zrobić. Twoje reguły są czytelne. Zastanawiam się czy potrzebne.
Chciałem zrozumieć jak to działa.

GUI jest przereklamowane

ASUS WL-500gP v2, TP-Link TL-MR3420 v2, TP-Link TL-WR1043ND v3, TP-Link TL-WDR4300 v1, D-Link DWR-921 C3,
Netgear R6220

8 Odpowiedź przez rufik

  • rufik
  • Użytkownik
  • Nieaktywny
  • Skąd: Łódź
  • Zarejestrowany: 2011-12-20
  • Posty: 260

Odp: OpenVPN w trybie TAP (bridge)

Gr4nd0 napisał/a:

Chciałem zrozumieć jak to działa.

Co dokładnie, która część?

9 Odpowiedź przez Gr4nd0

  • Gr4nd0
  • Użytkownik
  • Nieaktywny
  • Skąd: Swarzędz
  • Zarejestrowany: 2016-10-06
  • Posty: 276

Odp: OpenVPN w trybie TAP (bridge)

Uważam, że te reguły są zbędne. Dokładniej: nie mają szansy zadziałać.
A jeśli działają to znaczy, że ja czegoś nie rozumiem.

GUI jest przereklamowane

ASUS WL-500gP v2, TP-Link TL-MR3420 v2, TP-Link TL-WR1043ND v3, TP-Link TL-WDR4300 v1, D-Link DWR-921 C3,
Netgear R6220

10 Odpowiedź przez rufik

  • rufik
  • Użytkownik
  • Nieaktywny
  • Skąd: Łódź
  • Zarejestrowany: 2011-12-20
  • Posty: 260

Odp: OpenVPN w trybie TAP (bridge)

Dlaczego nie mają szans zadziałać?

11 Odpowiedź przez Gr4nd0

  • Gr4nd0
  • Użytkownik
  • Nieaktywny
  • Skąd: Swarzędz
  • Zarejestrowany: 2016-10-06
  • Posty: 276

Odp: OpenVPN w trybie TAP (bridge)

Skoro to tap0 jest włączony do bridge to blokowanie na tym interface powinno być realizowane na poziomie warstwy łącza danych. Bo bridge jest urządzeniem warstwy łącza danych. Twoje reguły dotyczą warstwy sieciowej i transportowej, które są powyżej łącza danych. Jeżeli bridge jest prawidłowo zaimplementowany to każda ramka, która pojawi się na tap0 musi być przekazana do br-lan bez analizowania co zawierają pakiety wewnątrz ramki.

GUI jest przereklamowane

ASUS WL-500gP v2, TP-Link TL-MR3420 v2, TP-Link TL-WR1043ND v3, TP-Link TL-WDR4300 v1, D-Link DWR-921 C3,
Netgear R6220