Ponte OpenVPN. Não é possível acessar máquinas na rede local

Question

Ponte OpenVPN. Não é possível acessar máquinas na rede local

#1 resposta do (3 votos)
#2 resposta do (1 votos)

3

Seguiu este guia: link

Esta é a minha configuração: Eu tenho um roteador sem fio (192.168.2.1) que se conecta à Internet através de uma conexão PPPoE e atua como um gateway e servidor DHCP para a rede local. Eu estou tentando fazer uma VPN em uma máquina (192.168.2.201).

Eu conectei a VPN tap0 com eth0 a br0, como no guia. A conexão funciona bem e o cliente recebe o IP correto, mas não consigo acessar outras máquinas na rede local (o ping funciona apenas no servidor e no cliente).

Este é o meu server.conf:

port 1194
proto tcp
dev tap0
ca ca.crt
cert server.crt
key server.key  # This file should be kept secret
dh dh1024.pem
ifconfig-pool-persist ipp.txt
server-bridge 192.168.2.1 255.255.255.0 192.168.2.202 192.168.2.210
push "route 192.168.2.0 255.255.255.0"
keepalive 10 120
comp-lzo
persist-key
persist-tun
status openvpn-status.log
verb 6

Este é meu client.conf:

client
dev tap
proto tcp
remote hostname.com 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client.crt
key client.key
ns-cert-type server
comp-lzo
verb 6

Se precisar de mais alguma informação, basta perguntar. Obrigado.

networking openvpn bridge

por laleshii 20.10.2011 / 20:22

2 respostas

Tags networking openvpn bridge

Devo atualizar meu Fedora ou não? Como corrigir um prompt bash estranho em um servidor Debian (Squeeze)?

score 3 · Answer 1

O servidor openvpn é uma máquina virtual vmware em um servidor ESX / ESXi / VSphere?

Se sim, você pode precisar ativar o modo promíscuo no vmswitch.

O problema é que o comutador virtual vmware ESX não "aprende" o novo endereço MAC por padrão, ele apenas aceita o endereço MAC da VM e nada mais.

No modo bridge o endereço MAC do cliente TAP é usado na rede do servidor openvpn e se o vmswitch não estiver configurado corretamente, ele nunca funcionará (tcpdump mostrará o pedido ARP, mas nenhuma resposta ARP para os pedidos vpn na rede eth0 Até que um tcpdump não mostre as respostas do arp chegando para as requisições vpn, o vmware vmwitch ainda não está configurado corretamente (em algumas configurações, é necessário configurar o promíscuo para ativar em dois lugares)

mude o modo promíscuo seguindo este URL

Finalmente, o modo de ponte openvpn NÃO requer que o ip_forward seja habilitado. uma bridge de configuração correta openvpn requer uma ponte linux (digamos br0) com eth0 e tap0. Ambas são obrigadas a estar no modo promíscuo (geralmente configure a eth0 na configuração de rede da máquina e a tap0 no script up.sh). Se configurado assim, os pacotes vpn são simplesmente bridge e o linux ip_forward nunca é chamado.

score 1 · Answer 2

O servidor (o ponto de extremidade da VPN) deve atuar como um roteador para encaminhar pacotes entre a rede local e a rede VPN - ou reformulado: você precisa ativar o encaminhamento de IP no servidor
O servidor se anuncia como um roteador para a rede local (se algum protocolo de roteamento estiver ativo) ou todos os clientes precisam ser configurados para que o servidor seja um gateway para a rede VPN (melhor configurado em um DHCP configuração, se houver uma)