Eu tenho o openvpn rodando em um servidor openbsd que está atrás de um firewall, então é um membro local da LAN. O openvpn é uma configuração de ponte.
firewall interno 10.0.10.1 servidor openvpn 10.0.10.15 clientes vpn são atribuídos 10.0.10.240 - 10.0.10.244
Eu tenho o PF configurado para passar o tráfego entre as duas redes. O tráfego funciona nos dois sentidos. Eu posso pingar a lan de clientes vpn e eu posso pingar os clientes de outras máquinas na lan.
Tenho o uso do Bonjour para trabalhar nesta configuração. Eu poderia gerenciar a timecapsule quando vpn'd em e usar outros recursos do protocolo bonjour. Eu notei que não é e tentei levantá-lo novamente, e não está funcionando.
Meu pf.conf é como mostrado:
int_if="em0"
vpn_if="tun0"
br_if="bridge0"
all_if="{" $int_if $vpn_if $br_if "}"
local="10.0.10.0/24"
ssh="22"
dns="53"
ntp="123"
mdns_one=5353
mdns_two=5354
mdns="{" $mdns_one $mdns_two "}"
vpn="9999"
pub_tcp="{" $ssh $mdns_one "}"
pub_udp="{" $dns $ntp $mdns_two "}"
set skip on lo
scrub in
block in
pass in on $all_if proto tcp from any to any port $pub_tcp
pass in on $all_if proto udp from any to any port $pub_udp
pass in on $all_if inet proto icmp from any to $int_if
pass out on $all_if proto { tcp udp icmp } from any to any modulate state
#bonjour
pass in on $int_if dup-to $vpn_if proto { tcp udp } from any to any port $mdns
pass in on $vpn_if dup-to $br_if proto { tcp udp } from any to any port $mdns
#vpn/bridge info
pass in on $int_if proto udp from any to $int_if port $vpn
pass in on { $vpn_if $br_if } inet proto { tcp udp icmp } from $local to $local
pass in on $int_if dup-to $vpn_if proto { tcp udp icmp } from $local to $local
alguma ideia?
você precisa permitir o tráfego de / para 224.0.0.251/32 em sua interface de ponte. Eu não sei pf bem, mas você parece especificar apenas o tráfego de / para 10.0.10.0/24 lá. Supondo que você confie em ambas as extremidades da ponte, você pode simplesmente abri-la para trafegar de todos os IPs ou bloquear o tráfego de IP's excêntricos de outras interfaces.