1 Temat przez kolszak (edytowany przez kolszak 2013-10-30 13:55:44)

  • Skąd: CT
  • Zarejestrowany: 2012-12-09
  • Posty: 55

Temat: Openvpn w trybie bridge z vlanem.

Witam.

Może ktoś pomoże mi w uruchomieniu. Mianowicie chce zrobić VPN'a na openvpnie w trybie bridge. Na razie cały drugi router może pracować w bridgu (lan - tap0), potem dopnę konkretny vlan i port i wykorzystam reszte funkcjonalności. Ale mam problem z konfiguracją. Oczywiście oba router zestawiają VPN'a i na interfejsach tap0 się ładnie pingują komunikacja jest.

Problem zaczyna się gdy na routerze z klientem vpn'a chce zmostkować lan z tap0. Obecnie chciałem połączyć VLAN 3 z tap0 ale nie mogę nawet z komputera podłączonego do VLAN 3 (czy wcześniej do VLAN 1) dotknąć interfejsu vpn'a klienckiego nie mówiąc już o serwerze.

Bridge tworze:

brctl addbr br0
brctl addif br0 eth0,3
brctl addif br0 tap0

Adresacja

root@Gargoyle:~# ip addr
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 16436 qdisc noqueue state UNKNOWN 
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
    link/ether 64:70:02:b0:50:0a brd ff:ff:ff:ff:ff:ff
4: imq0: <NOARP> mtu 16000 qdisc noop state DOWN qlen 11000
    link/void 
5: imq1: <NOARP> mtu 16000 qdisc noop state DOWN qlen 11000
    link/void 
6: eth0.1@eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP 
    link/ether 64:70:02:b0:50:0a brd ff:ff:ff:ff:ff:ff
    inet 192.168.5.1/24 brd 192.168.5.255 scope global eth0.1
7: eth0.3@eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue master br0 state UP 
    link/ether 64:70:02:b0:50:0a brd ff:ff:ff:ff:ff:ff
    inet 192.168.13.1/24 brd 192.168.13.255 scope global eth0.3
8: eth0.2@eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP 
    link/ether 64:70:02:b0:50:0a brd ff:ff:ff:ff:ff:ff
    inet 10.1.1.20/24 brd 10.1.1.255 scope global eth0.2
10: br0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP 
    link/ether 32:91:1c:65:15:92 brd ff:ff:ff:ff:ff:ff
14: tap0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast master br0 state UNKNOWN qlen 100
    link/ether 32:91:1c:65:15:92 brd ff:ff:ff:ff:ff:ff
    inet 10.192.168.2/24 brd 10.192.168.255 scope global tap0

/etc/config/network

config interface 'loopback'
        option ifname 'lo'
        option proto 'static'
        option ipaddr '127.0.0.1'
        option netmask '255.0.0.0'

config interface 'lan'
        option ifname 'eth0.1'
#       option type 'bridge'
        option proto 'static'
        option ipaddr '192.168.5.1'
        option netmask '255.255.255.0'
        option dns '192.168.1.1'

config interface 'vlan3'
        option ifname 'eth0.3'
        option proto 'static'
        option ipaddr '192.168.13.1'
        option netmask '255.255.255.0'

config interface 'wan'
        option ifname 'eth0.2'
        option proto 'static'
        option ipaddr '10.1.1.20'
        option netmask '255.255.255.0'
        option gateway '127.0.0.1'

config switch
        option name 'rtl8366rb'
        option reset '1'
        option enable_vlan '1'

config switch_vlan
        option device 'rtl8366rb'
        option vlan '1'
        option ports '2 3 4 5t'

config switch_vlan
        option device 'rtl8366rb'
        option vlan '2'
        option ports '0 5t'

config switch_vlan
        option device 'rtl8366rb'
        option vlan '3'
        option ports '1 5t'
--
KO

kolszak's Strona

2 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,063

Odp: Openvpn w trybie bridge z vlanem.

brctl addif br0 eth0,3 <- tu ma być kropka jak już.

I tak na marginesie - robienie tego na gargoyle jest średnim pomysłem. Wywaliłeś bridge z lanu, a całe gui zakłada że br-lan istnieje w systemie i dużo rzeczy się do niego odwołuje.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

3 Odpowiedź przez kolszak (edytowany przez kolszak 2013-10-30 14:17:56)

  • Skąd: CT
  • Zarejestrowany: 2012-12-09
  • Posty: 55

Odp: Openvpn w trybie bridge z vlanem.

Cezary napisał/a:

brctl addif br0 eth0,3 <- tu ma być kropka jak już.

I tak na marginesie - robienie tego na gargoyle jest średnim pomysłem. Wywaliłeś bridge z lanu, a całe gui zakłada że br-lan istnieje w systemie i dużo rzeczy się do niego odwołuje.

Tak tam jest kropka wpisując tu ręcznie źle wcisnąłem. GUI akurat mi do niczego nie potrzebne w sumie nie używam, ale jedno urządzenie chciałbym własnie zdalnie wpiąć po VPN zza gargoyl'a (1.5.10.14), potrzebuje to zrobić w jednej podsieci. Może jest sposób na dopięcie tap0 do "fabrycznego" br-lan?

--
KO

kolszak's Strona

4 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,063

Odp: Openvpn w trybie bridge z vlanem.

No jest, zobacz jak to ja zrobiłem: http://eko.one.pl/?p=openwrt-openvpn

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

5 Odpowiedź przez kolszak (edytowany przez kolszak 2013-10-30 16:28:51)

  • Skąd: CT
  • Zarejestrowany: 2012-12-09
  • Posty: 55

Odp: Openvpn w trybie bridge z vlanem.

Widzę przeczytałem, faktycznie nie urachamiałem karty w tryb nasłuchiwania. Ale mi server openvpn działa, mój główny problem to zrobienie klienta do tego servera na Gargoyle PL. Będe walczył może coś jeszcze wymyślę.

-

Cały czas osiągam taki stan, że jeden router z gargoyle jest serverem openvpn drugi jest klientem. Teraz tylko podpowiedź jest mi potrzebna czy tam gdzie mam klienta (i moge pobrać na tap0 adres z dhcp) istnieje możliwość wyrzucenia pakietów na konkretny port switcha. Czyli podłączam urządzenie ethernetem, ono wpada w vlan bridgowany z tap0 klienta openvpn i pobiera adresacje ze zdalnego serwera dhcp.

--
KO

kolszak's Strona

6 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,063

Odp: Openvpn w trybie bridge z vlanem.

A nie jest to to co chciałeś zrobić w pierwszym poście?

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

7 Odpowiedź przez kolszak (edytowany przez kolszak 2013-10-30 22:07:33)

  • Skąd: CT
  • Zarejestrowany: 2012-12-09
  • Posty: 55

Odp: Openvpn w trybie bridge z vlanem.

No nie jest. Masz opisaną konfigurację servera na Gargoyle i klientów (ale nie na Gargoyle, choć oczywiście to linux). Serwer cały czas mi działał konfigurację miałem taką jak u Ciebie. Ale chce zrealizować takie połączenie.

GARGOYLE(SERVER OVPN) ------ GARGOYLE (KLIENT OVPN) <----- RJ45(port 1) TRANSMITER


Cały problem mam w tym, że nie mogę ustawić klienta tak by mi przekazywał ruch do RJ45 TRANSMITERA. Włączam oczywiście na gargoyle (klient ovpn) 

brctl addbr br0
brctl addif eth0.3
brctl addif tap0

Mimo, że ten bridge jest zestawiony nie pobiorę adresu IP na TRANSMITERZE z SERVERA OVPN.

PS na tap0 (klient opvn) mam tryb promiscuous, jak ten tryb wyłącze to odpale dowolnego klineta dhcp i adresacje z lan'u servera ovpn pobiorę. Oczywiście normalnie na laptopie ovpn zestawia się z serverm i konfiguracja działa na tapX pobiorę adres. Tylko trzyma mnie w szachu ten bridge między jednym z portów routera a interfejsem tap0 klienta ovpn.

Chce zrobić coś takiego jak tu http://coderazzi.net/howto/openwrt/tl84 … bridge.htm z tym, że interfejsy tap+ na obu sprzętach nie muszą mieć u mnie adresacji.

--
KO

kolszak's Strona

8 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,063

Odp: Openvpn w trybie bridge z vlanem.

Nie smile Opis dotyczył zwykłego openwrt, nie gargoyle. Grargoyle sam nie wspiera tap'a.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

9 Odpowiedź przez kolszak (edytowany przez kolszak 2013-10-31 09:17:51)

  • Skąd: CT
  • Zarejestrowany: 2012-12-09
  • Posty: 55

Odp: Openvpn w trybie bridge z vlanem.

Rozumiem, że powinienem wymienić firmware na openwrt. Nie wspieranie tap'a sprowadza się do nie kompilowania programów z jego obsługą? Bo serwer i klient na tap'ie mi działa na gargoyl'u od Ciebie, ale w sumie to mam dwie różne platformy sprzętowe, serwer stoi na WDR3600, klient na 1043ND

--
KO

kolszak's Strona

10 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,063

Odp: Openvpn w trybie bridge z vlanem.

Nie wspieranie tapa w sensie konfiguracji z gui. Ręcznie przecież możesz ustawić co chcesz, nie jest to związane w żaden sposób z kompilacją.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

11 Odpowiedź przez kolszak

  • Skąd: CT
  • Zarejestrowany: 2012-12-09
  • Posty: 55

Odp: Openvpn w trybie bridge z vlanem.

GUI spokojnie, nie korzystałem z niego do obecnej konfiguracji, a nie wspieranie tapa w Gargoyle potraktowałem jako większą myśl smile. Będę próbował rozwiązanie jakieś musi być smile kluczem będzie jednak extroot i tcpdump na Gargoylu z klientem opvn, bo na razie to błądzę na ślepo.

--
KO

kolszak's Strona

12 Odpowiedź przez kolszak (edytowany przez kolszak 2013-10-31 12:40:46)

  • Skąd: CT
  • Zarejestrowany: 2012-12-09
  • Posty: 55

Odp: Openvpn w trybie bridge z vlanem.

Jest jakiś sukces, mam chyba problem z routingiem, CPE podłączony do klienta openvpn pobiera adres IP, ale mam dosyć duże straty pakietów raz ICMP idzie raz cisza. Wygląda ewentualnie na zrywane połączenie VPN. Ale już jestem bliżej niż dalej smile

Uakutalnienie:

Problem jest ewidentnie z ARP'ami, zobacze czy włączenie proxy arp na kliencie uzdrowi sytuację.

--
KO

kolszak's Strona

13 Odpowiedź przez kolszak

  • Skąd: CT
  • Zarejestrowany: 2012-12-09
  • Posty: 55

Odp: Openvpn w trybie bridge z vlanem.

Mam już problem zdiagnozowany, jednak nie mogę go rozwiązać. Problem polega na tym, że po obu końcówkach VPN'a podłączam dwa konwertery (do których nie ma dostępu do modyfikacji na sztywno tabeli ARP itd). Teraz jak dwa konwertery pójdą włączone do prądu i zapiszą sobie na wzajem swoje tablice ARP poprawnie wszystko działa. Jednak gdy dołączę kolejny jest już problem. Na tcpdumpie widzę, że na zapytania o adres IP jednego z konwerterów, odpowiada router z openwrt ze swoim makiem interfejsu zmostkowanego. No i jak już taką odpowiedź sobie w pamięci konwerter zapisze to już jest kicha. Myślałem o ebtables i modyfikacji odpowiedzi na arp request (do jednego routera z gargoyle podłączony tylko jeden konwerter) macie jakieś pomysły? Szukam w dokumentacji  i nie widzę opcji by na zapytanie o arp np. dla adresu 192.168.1.200 najbliższy gargoyle z bridgem odpowiadał sam z moim zdefiniowanym makiem urządzenia.

--
KO

kolszak's Strona