Sunt un noob în rețele și mi-ar fi nevoie de ajutor.
Încerc să configurez o conexiune TAP folosind OpenVPN pentru a accesa dispozitivele care se află pe un VLAN pe serverul meu la distanță. În acest moment, pot să mă conectez și să dau ping la interfață (172.20.0.101), dar nu pot trimite ping la nimic pe VLAN (cum ar fi 172.20.0.2). Nu-mi pasă de VLAN-ul care vine prin conexiunea mea VPN, vreau doar să pot vedea acele dispozitive.
IP-ul „public” pentru server este 10.249.2.93 (acesta este de fapt un LAN la care mă conectez printr-un alt VPN).
Subrețeaua cu care vreau să pot vorbi este 172.20.0.0/24, care este pe vlan.3072, conform ifconifg. Interfața fizică asociată este enp3s0.
Am avut asta lucrând pe un alt server care nu folosește un VLAN, adică am putut să mă conectez cu succes la dispozitive de pe un LAN obișnuit din spatele acelui server, așa că cred că VLAN-ul este problema.
Poate cineva să mă îndrume în direcția corectă? Orice ajutor este foarte apreciat, deoarece o să-mi pierd mințile =P
Serverul rulează Ubuntu 18.04 LTS, OpenVPN 2.4.4
Clientul rulează Windows, OpenVPN GUI 11.14.0.0
server.conf:
portul 1194
proto udp
dev tap0
ca ca.crt
cert server.crt
cheie server.key # Acest fișier trebuie păstrat secret
ifconfig-pool-persist /var/log/openvpn/ipp.txt
server-bridge 172.20.0.101 255.255.255.0 172.20.0.200 172.20.0.240
menține în viață 10 120
tls-auth ta.key 0 # Acest fișier este secret
direcția tastei 0
cifrul AES-256-CBC
auth SHA256
cheie-persiste
persist-tun
stare /var/log/openvpn/openvpn-status.log
verbul 4
explicit-exit-notify 1
tls-auth ta.key 0
direcția tastei 0
cifrul AES-256-CBC
auth SHA256
dh dh.pem
utilizator nimeni
grup fără grup
cert server.crt
cheie server.cheie
clinet.ovpn:
client
dev tap
proto udp
telecomandă 10.249.2.93 1194
rezoluție-reîncercare infinit
nobind
utilizator nimeni
grup fără grup
cheie-persiste
persist-tun
server remote-cert-tls
cifrul AES-256-CBC
auth SHA256
direcția cheii 1
script-securitate 2
verbul 4
# cert și cheile au fost omise
reguli ufw:
sudo nano /etc/ufw/before.rules
#Schimbare:
*nat
: POSTROUTING ACCEPT [0:0]
-A POSTROUTING -s 172.20.0.0/24 -o br0 -j MASQUERADE
COMMIT
expediere:
sudo nano /etc/sysctl.conf
#Schimbare:
net.ipv4.ip_forward=1
sudo sysctl -p
actualizări de reguli:
sudo ufw permit 1194/udp
sudo ufw permit OpenSSH
sudo ufw dezactivare
sudo ufw enable
sudo iptables -A INPUT -i tap0 -j ACCEPT
sudo iptables -A INPUT -i br0 -j ACCEPT
sudo iptables -A FORWARD -i br0 -j ACCEPT
script de pornire a podului:
# Definiți interfața Bridge
br="br0"
# Definiți lista de interfețe TAP care trebuie conectate,
# de exemplu tap="tap0 tap1 tap2".
tap="tap0"
# Definiți interfața ethernet fizică care trebuie conectată
# cu interfețele TAP de mai sus.
eth="enp3s0"
eth_ip="fe80::a5a:11ff:fe33:e6e3"
eth_netmask="255.255.255.0"
eth_broadcast="172.20.0.255"
pentru t în $tap; do
openvpn --mktun --dev $t
Terminat
brctl addbr $br
brctl addif $br $eth
pentru t în $tap; do
brctl addif $br $t
Terminat
pentru t în $tap; do
ifconfig $t 0.0.0.0 promisc sus
Terminat
ifconfig $eth 0.0.0.0 promisc up
ifconfig $br inet6 adăugați fe80::a5a:11ff:fe33:e6e3/64 sus
ifconfig br0:0 172.20.0.101 netmask 255.255.255.0 difuzare 172.20.0.255 up
ifconfig (nu afișează br0 sau tap0 pentru că nu le pot porni chiar în acest moment și, de asemenea, există o mulțime de alte veth* pe care le-am omis):
docker0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 172.17.0.1 netmask 255.255.0.0 difuzare 172.17.255.255
inet6 fe80::42:60ff:fe8c:45de prefixlen 64 scopeid 0x20<link>
ether 02:42:60:8c:45:de txqueuelen 0 (Ethernet)
Pachete RX 74394 octeți 900967774 (900,9 MB)
Erori RX 0 a scăzut 0 depășiri 0 cadru 0
Pachete TX 63778 octeți 901066960 (901,0 MB)
Erori TX 0 a scăzut 0 depășiri 0 purtător 0 coliziuni 0
eno1: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 10.249.2.93 netmask 255.255.240.0 difuzare 10.249.15.255
inet6 fe80::c600:adff:fe94:e303 prefixlen 64 scopeid 0x20<link>
ether c4:00:ad:94:e3:03 txqueuelen 1000 (Ethernet)
Pachete RX 960832 octeți 1168467699 (1,1 GB)
Erori RX 0 a scăzut 166 depășiri 0 cadru 0
Pachete TX 535763 octeți 73093159 (73,0 MB)
Erori TX 0 a scăzut 0 depășiri 0 purtător 0 coliziuni 0
dispozitiv întrerupere 16 memorie 0xb2500000-b2520000
enp1s0: flags=4099<UP,BROADCAST,MULTICAST> mtu 1500
ether 08:5a:11:33:e8:00 txqueuelen 1000 (Ethernet)
Pachete RX 0 octeți 0 (0,0 B)
Erori RX 0 a scăzut 0 depășiri 0 cadru 0
Pachete TX 0 octeți 0 (0,0 B)
Erori TX 0 a scăzut 0 depășiri 0 purtător 0 coliziuni 0
enp3s0: flags=4419<UP,BROADCAST,RUNNING,PROMISC,MULTICAST> mtu 1500
inet6 fe80::a5a:11ff:fe33:e6e3 prefixlen 64 scopeid 0x20<link>
ether 08:5a:11:33:e6:e3 txqueuelen 1000 (Ethernet)
Pachete RX 9900475 octeți 7053325760 (7,0 GB)
Erori RX 0 a scăzut 0 depășiri 0 cadru 0
Pachete TX 10464489 octeți 8238594873 (8,2 GB)
Erori TX 0 a scăzut 0 depășiri 0 purtător 0 coliziuni 0
kube-bridge: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1480
inet 10.244.0.1 netmask 255.255.255.0 difuzare 10.244.0.255
inet6 fe80::841:c2ff:fed1:3642 prefixlen 64 scopeid 0x20<link>
ether 0a:41:c2:d1:36:42 txqueuelen 1000 (Ethernet)
Pachete RX 2110720 octeți 234803960 (234,8 MB)
Erori RX 0 a scăzut 0 depășiri 0 cadru 0
Pachete TX 2264621 octeți 419964189 (419,9 MB)
Erori TX 0 a scăzut 0 depășiri 0 purtător 0 coliziuni 0
lo: flags=73<UP,LOOPBACK,RUNNING> mtu 65536
inet 127.0.0.1 netmask 255.0.0.0
inet6 ::1 prefixlen 128 scopeid 0x10<gazdă>
loop txqueuelen 1000 (Loopback local)
Pachete RX 8383864 octeți 4038115926 (4,0 GB)
Erori RX 0 a scăzut 0 depășiri 0 cadru 0
Pachete TX 8383864 octeți 4038115926 (4,0 GB)
Erori TX 0 a scăzut 0 depășiri 0 purtător 0 coliziuni 0
veth83317517: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1480
inet6 fe80::d4c3:65ff:fe76:7592 prefixlen 64 scopeid 0x20<link>
eter d6:c3:65:76:75:92 txqueuelen 0 (Ethernet)
Pachete RX 28251 octeți 7794531 (7,7 MB)
Erori RX 0 a scăzut 0 depășiri 0 cadru 0
Pachete TX 29314 octeți 3608931 (3,6 MB)
Erori TX 0 a scăzut 0 depășiri 0 purtător 0 coliziuni 0
vlan.2560: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 172.19.0.1 netmask 255.255.128.0 difuzare 172.19.127.255
inet6 fe80::a5a:11ff:fe33:e6e3 prefixlen 64 scopeid 0x20<link>
ether 08:5a:11:33:e6:e3 txqueuelen 1000 (Ethernet)
Pachete RX 70170 octeți 25019840 (25,0 MB)
Erori RX 0 a scăzut 0 depășiri 0 cadru 0
Pachete TX 179 octeți 17252 (17,2 KB)
Erori TX 0 a scăzut 0 depășiri 0 purtător 0 coliziuni 0
vlan.2816: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 172.19.130.100 netmask 255.255.255.0 difuzare 172.19.130.255
inet6 fe80::a5a:11ff:fe33:e6e3 prefixlen 64 scopeid 0x20<link>
ether 08:5a:11:33:e6:e3 txqueuelen 1000 (Ethernet)
Pachete RX 1243206 octeți 65936318 (65,9 MB)
Erori RX 0 a scăzut 0 depășiri 0 cadru 0
Pachete TX 1194999 octeți 99652577 (99,6 MB)
Erori TX 0 a scăzut 0 depășiri 0 purtător 0 coliziuni 0
vlan.3072: flags=4419<UP,BROADCAST,RUNNING,PROMISC,MULTICAST> mtu 1500
inet 172.20.0.100 netmask 255.255.255.0 difuzare 172.20.0.255
inet6 fe80::a5a:11ff:fe33:e6e3 prefixlen 64 scopeid 0x20<link>
ether 08:5a:11:33:e6:e3 txqueuelen 1000 (Ethernet)
Pachete RX 8544935 octeți 6820405811 (6,8 GB)
Erori RX 0 a scăzut 511 depășiri 0 cadru 0
Pachete TX 9265376 octeți 8138226312 (8,1 GB)
Erori TX 0 a scăzut 0 depășiri 0 purtător 0 coliziuni 0
cu exceptia de la ip a:
7: vlan.3072@enp3s0: <BROADCAST,MULTICAST,PROMISC,UP,LOWER_UP> mtu 1500 qdisc noqueue stare UP grup implicit qlen 1000
link/ether 08:5a:11:33:e6:e3 brd ff:ff:ff:ff:ff:ff
inet 172.20.0.100/24 brd 172.20.0.255 scope global vlan.3072
valid_lft pentru totdeauna preferred_lft pentru totdeauna
inet6 fe80::a5a:11ff:fe33:e6e3/64 scope link
valid_lft pentru totdeauna preferred_lft pentru totdeauna
