OpenVPN tap + dhcp в сети

0

1

Доброго времени суток.

Имею следующую инфраструктуру

(dhcp)---([eth0]-ovpn-srv-[eth1])--/internet/--([eth0]-ovpn-cli)

Пытаюсь настроить OpenVPN в режиме tap. Нужно что бы машина ovpn-cli получила ip-адрес от dhcp за ovpn-srv.

Конфиг сервера:

mode server
port 1234
proto udp
dev tap0

ifconfig-pool-persist /etc/openvpn/ccd/ipp.txt
server-bridge 10.8.0.4 255.255.255.0 10.8.0.50 10.8.0.100
#server-bridge
client-config-dir ccd
client-to-client
keepalive 10 120
persist-key
persist-tun

Конфиг клиента:

client
dev tap0
proto udp

remote XXX.XXX.XXX.XXX 1234
resolv-retry infinite
nobind
persist-key
persist-tun

При такой конфигурации клиент получает ip 10.8.0.50 как и задано в конфиге сервера.

Но мне нужно, что бы он получил ip от dhcp за openvpn-srv. Комментируем строку «server-bridge 10.8.0.4 255.255.255.0 10.8.0.50 10.8.0.100», вместо нее раскомментируем строку «server-bridge». В этом случае tap-интерфейс не создается вовсе.

Кроме того, беда со скриптами bridge-start и bridge-stop из sample-scripts. Мало того, что утилиты net-tools уже в Debian 9, так и скрипты сами не отрабатывают. В документации сказано, что их нужно положить в /etc/openvpn, но это не помогает.

Используется Debian 9, openvpn из стандартный реп.

Ссылка

←	ProxMox web

Postfix. Письма с одного домена висят в очереди без ошибки.

→

https://community.openvpn.net/openvpn/wiki/323-i-want-to-set-up-an-ethernet-b...

~~zgen~~ ★★★★★
(14.10.19 14:20:53 MSK)

Ответ на: комментарий от zgen 14.10.19 14:20:53 MSK

Проблема в том, что если я не использую «server-bridge 10.8.0.4 255.255.255.0 10.8.0.50 10.8.0.100» как указанно в FAQ по ссылке, то tap0 вообще не поднимается. Вот в чем беда. А никакого моста без tap быть не может.

Есть более подробный мануал про указанный способ?

ivanlex ★★★★★
(14.10.19 15:19:27 MSK) автор топика

Мой вариант (сервер с несколькими внешними ip)

local MY_EXT_IP

daemon
mode server
tls-server
port XXXX
dev tapXXXX
proto tcp-server

duplicate-cn

persist-key
persist-tun
verb 4
cipher AES-256-CBC

tun-mtu 1500
mssfix


ca /etc/openvpn/vpnserver_ca.crt
cert /etc/openvpn/vpnserver.crt
key /etc/openvpn/vpnserver.key

log /var/log/openvpn-vpnserver.log
status /var/log/openvpn-vpnserver-status.log
dh /etc/openvpn/vpnserver/dh.pem

client-to-client
keepalive 60 240
comp-lzo

hand-window 400
tran-window 86400
status-version 2
reneg-sec 86400

sndbuf 262144
rcvbuf 262144
push "sndbuf 262144"
push "rcvbuf 262144"

push "explicit-exit-notify 3"
push "redirect-gateway def0"

Atlant ★★★★★
(14.10.19 17:33:39 MSK)

Ответ на: комментарий от Atlant 14.10.19 17:33:39 MSK

P.S. ещё и бридж поверх tapXXX и ethX

Atlant ★★★★★
(14.10.19 17:47:26 MSK)

Ссылка

Ответ на: комментарий от ivanlex 14.10.19 15:19:27 MSK

tap0 вообще не поднимается

Его надо вручную создать перед стартом ovpn

openvpn --mktun --dev $TAP
brctl addif $BRIF $TAP
ip link set promisc on dev $TAP

Где $BRIF - имя бриджа в который включен eth0, $TAP - имя tap интерфейса прописанного в конфиге ovpn например tap100

anc ★★★★★
(14.10.19 18:01:43 MSK)

Ответ на: комментарий от anc 14.10.19 18:01:43 MSK

Как ты загружаешь bash-скрипт перед запуском openvpn?

В документации сказано, что нужно положить скрипты bridge-start и bridge-stop из sample-scripts в директорию с конфигом openvpn, но у меня они почему то не отрабатывают.

ivanlex ★★★★★
(15.10.19 14:31:31 MSK) автор топика

Ответ на: комментарий от ivanlex 15.10.19 14:31:31 MSK

Как ты загружаешь bash-скрипт перед запуском openvpn?

Угу самописный. Сначала то что я привел, потом старт самого ovpn. Но только по тому что мне так удобно. А так вполне можно и при поднятии интерфейса бриджа все тоже самое прописать.

anc ★★★★★
(15.10.19 15:14:51 MSK)
Последнее исправление: anc 15.10.19 15:19:06 MSK (всего исправлений: 1)