Я сетевой нуб, и мне не помешала бы помощь.
Я пытаюсь настроить TAP-соединение с помощью OpenVPN для доступа к устройствам, которые находятся в VLAN на моем удаленном сервере. Прямо сейчас я могу подключиться и пропинговать интерфейс (172.20.0.101), но я не могу ничего пропинговать в VLAN (например, 172.20.0.2). Меня не волнует, что VLAN проходит через мое VPN-соединение, я просто хочу видеть эти устройства.
«Общедоступный» IP-адрес сервера — 10.249.2.93 (на самом деле это локальная сеть, к которой я подключаюсь через другую VPN).
Подсеть, с которой я хочу иметь возможность разговаривать, — 172.20.0.0/24, которая находится на vlan.3072, согласно ifconfig. Связанный физический интерфейс — enp3s0.
У меня это работало на другом сервере, который не использует VLAN, т.е. я смог успешно подключиться к устройствам в обычной локальной сети за этим сервером, поэтому я думаю, что проблема в VLAN.
Может кто-то указать мне верное направление? Любая помощь очень ценится, так как я схожу с ума = P
Сервер работает под управлением Ubuntu 18.04 LTS, OpenVPN 2.4.4.
Клиент работает под управлением Windows, графический интерфейс OpenVPN 11.14.0.0
сервер.конф:
порт 1194
прото удп
разработчик tap0
ca ca.crt
сервер сертификатов.crt
key server.key # Этот файл следует держать в секрете
ifconfig-pool-persist /var/log/openvpn/ipp.txt
сервер-мост 172.20.0.101 255.255.255.0 172.20.0.200 172.20.0.240
поддержка 10 120
tls-auth ta.key 0 # Этот файл является секретным
ключевое направление 0
шифр AES-256-CBC
аутентификация SHA256
постоянный ключ
упорный тун
статус /var/log/openvpn/openvpn-status.log
глагол 4
явное-выход-уведомление 1
tls-auth ta.key 0
ключевое направление 0
шифр AES-256-CBC
аутентификация SHA256
dh dh.pem
пользователь никто
группа
сервер сертификатов.crt
ключевой сервер.key
clinet.ovpn:
клиент
кран разработчика
прото удп
удаленный 10.249.2.93 1194
разрешить-повторить бесконечный
ни к чему
пользователь никто
группа
постоянный ключ
упорный тун
сервер удаленного сертификата tls
шифр AES-256-CBC
аутентификация SHA256
ключевое направление 1
скрипт-безопасность 2
глагол 4
# сертификат и ключи опущены
правила УФВ:
судо нано /etc/ufw/before.rules
#изменение:
*натуральный
:ОТПРАВКА ПРИНЯТИЯ [0:0]
-A ПОСТРОЕНИЕ -s 172.20.0.0/24 -o br0 -j МАСКАРАД
СОВЕРШИТЬ
переадресация:
судо нано /etc/sysctl.conf
#изменение:
сеть.ipv4.ip_forward=1
судо sysctl -p
обновления правил:
sudo ufw разрешить 1194/udp
sudo ufw разрешить OpenSSH
sudo ufw отключить
sudo ufw включить
sudo iptables -A INPUT -i tap0 -j ПРИНЯТЬ
sudo iptables -A INPUT -i br0 -j ПРИНЯТЬ
sudo iptables -A ВПЕРЕД -i br0 -j ПРИНЯТЬ
сценарий запуска моста:
# Определить интерфейс моста
бр="br0"
# Определить список TAP-интерфейсов, которые будут соединены мостом,
# например tap="tap0 tap1 tap2".
нажмите = «нажмите 0»
# Определить физический интерфейс Ethernet для моста
# с интерфейсом(ами) TAP выше.
эт="enp3s0"
eth_ip="fe80::a5a:11ff:fe33:e6e3"
eth_netmask="255.255.255.0"
eth_broadcast="172.20.0.255"
для t в $tap; делать
openvpn --mktun --dev $t
сделано
brctl addbr $br
brctl addif $br $eth
для t в $tap; делать
brctl addif $br $t
сделано
для t в $tap; делать
ifconfig $t 0.0.0.0 неразборчиво вверх
сделано
ifconfig $eth 0.0.0.0 неразборчиво вверх
ifconfig $br inet6 добавить fe80::a5a:11ff:fe33:e6e3/64 вверх
ifconfig br0:0 172.20.0.101 сетевая маска 255.255.255.0 широковещательная рассылка 172.20.0.255 вверх
ifconfig (не показывает br0 или tap0, потому что я не могу запустить их прямо сейчас, а также есть масса других veth*, которые я пропустил):
docker0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
инет 172.17.0.1 сетевая маска 255.255.0.0 широковещательная рассылка 172.17.255.255
inet6 fe80::42:60ff:fe8c:45de prefixlen 64 scopeid 0x20<ссылка>
эфир 02:42:60:8c:45:de txqueuelen 0 (Ethernet)
RX-пакеты 74394 байта 900967774 (900,9 МБ)
Ошибки RX 0 отброшено 0 переполнение 0 кадр 0
Пакеты TX 63778 байт 901066960 (901,0 МБ)
Ошибки передачи 0 отброшено 0 превышение пропускной способности 0 несущей 0 коллизий 0
eno1: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
инет 10.249.2.93 сетевая маска 255.255.240.0 широковещательный 10.249.15.255
inet6 fe80::c600:adff:fe94:e303 prefixlen 64 scopeid 0x20<ссылка>
эфир c4:00:ad:94:e3:03 txqueuelen 1000 (Ethernet)
Пакеты RX 960832 байт 1168467699 (1,1 ГБ)
Ошибки RX 0 отброшено 166 переполнение 0 кадр 0
Пакеты TX 535763 байт 73093159 (73,0 МБ)
Ошибки передачи 0 отброшено 0 превышение пропускной способности 0 несущей 0 коллизий 0
прерывание устройства 16 память 0xb2500000-b2520000
enp1s0: flags=4099<UP,BROADCAST,MULTICAST> mtu 1500
эфир 08:5a:11:33:e8:00 txqueuelen 1000 (Ethernet)
Пакеты RX 0 байт 0 (0,0 Б)
Ошибки RX 0 отброшено 0 переполнение 0 кадр 0
Пакеты TX 0 байт 0 (0,0 Б)
Ошибки передачи 0 отброшено 0 превышение пропускной способности 0 несущей 0 коллизий 0
enp3s0: flags=4419<UP,BROADCAST,RUNNING,PROMISC,MULTICAST> mtu 1500
inet6 fe80::a5a:11ff:fe33:e6e3 prefixlen 64 scopeid 0x20<ссылка>
эфир 08:5a:11:33:e6:e3 txqueuelen 1000 (Ethernet)
RX-пакеты 9900475 байт 7053325760 (7,0 ГБ)
Ошибки RX 0 отброшено 0 переполнение 0 кадр 0
Пакеты TX 10464489 байт 8238594873 (8,2 ГБ)
Ошибки передачи 0 отброшено 0 превышение пропускной способности 0 несущей 0 коллизий 0
kube-bridge: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1480
инет 10.244.0.1 сетевая маска 255.255.255.0 широковещательная рассылка 10.244.0.255
inet6 fe80::841:c2ff:fed1:3642 prefixlen 64 scopeid 0x20<ссылка>
эфир 0a:41:c2:d1:36:42 txqueuelen 1000 (Ethernet)
Пакеты RX 2110720 байт 234803960 (234,8 МБ)
Ошибки RX 0 отброшено 0 переполнение 0 кадр 0
Пакеты TX 2264621 байт 419964189 (419,9 МБ)
Ошибки передачи 0 отброшено 0 превышение пропускной способности 0 несущей 0 коллизий 0
lo: flags=73<UP,LOOPBACK,RUNNING> mtu 65536
инет 127.0.0.1 сетевая маска 255.0.0.0
inet6 ::1 prefixlen 128 scopeid 0x10<хост>
loop txqueuelen 1000 (локальная петля)
Пакеты RX 8383864 байт 4038115926 (4,0 ГБ)
Ошибки RX 0 отброшено 0 переполнение 0 кадр 0
Пакеты TX 8383864 байт 4038115926 (4,0 ГБ)
Ошибки передачи 0 отброшено 0 превышение пропускной способности 0 несущей 0 коллизий 0
veth83317517: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1480
inet6 fe80::d4c3:65ff:fe76:7592 prefixlen 64 scopeid 0x20<ссылка>
эфир d6:c3:65:76:75:92 txqueuelen 0 (Ethernet)
RX-пакеты 28251 байт 7794531 (7,7 МБ)
Ошибки RX 0 отброшено 0 переполнение 0 кадр 0
Пакеты TX 29314 байт 3608931 (3,6 МБ)
Ошибки передачи 0 отброшено 0 превышение пропускной способности 0 несущей 0 коллизий 0
vlan.2560: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
инет 172.19.0.1 сетевая маска 255.255.128.0 широковещательная рассылка 172.19.127.255
inet6 fe80::a5a:11ff:fe33:e6e3 prefixlen 64 scopeid 0x20<ссылка>
эфир 08:5a:11:33:e6:e3 txqueuelen 1000 (Ethernet)
Пакеты RX 70170 байт 25019840 (25,0 МБ)
Ошибки RX 0 отброшено 0 переполнение 0 кадр 0
Пакеты TX 179 байт 17252 (17,2 КБ)
Ошибки передачи 0 отброшено 0 превышение пропускной способности 0 несущей 0 коллизий 0
vlan.2816: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
инет 172.19.130.100 сетевая маска 255.255.255.0 широковещательная рассылка 172.19.130.255
inet6 fe80::a5a:11ff:fe33:e6e3 prefixlen 64 scopeid 0x20<ссылка>
эфир 08:5a:11:33:e6:e3 txqueuelen 1000 (Ethernet)
RX-пакеты 1243206 байт 65936318 (65,9 МБ)
Ошибки RX 0 отброшено 0 переполнение 0 кадр 0
Пакеты TX 1194999 байт 99652577 (99,6 МБ)
Ошибки передачи 0 отброшено 0 превышение пропускной способности 0 несущей 0 коллизий 0
vlan.3072: flags=4419<UP,BROADCAST,RUNNING,PROMISC,MULTICAST> mtu 1500
инет 172.20.0.100 сетевая маска 255.255.255.0 широковещательная рассылка 172.20.0.255
inet6 fe80::a5a:11ff:fe33:e6e3 prefixlen 64 scopeid 0x20<ссылка>
эфир 08:5a:11:33:e6:e3 txqueuelen 1000 (Ethernet)
RX-пакеты 8544935 байт 6820405811 (6,8 ГБ)
Ошибки RX 0 отброшено 511 переполнение 0 кадр 0
Пакеты TX 9265376 байт 8138226312 (8,1 ГБ)
Ошибки передачи 0 отброшено 0 превышение пропускной способности 0 несущей 0 коллизий 0
кроме как с ip a:
7: vlan.3072@enp3s0: <BROADCAST,MULTICAST,PROMISC,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
ссылка/эфир 08:5a:11:33:e6:e3 brd ff:ff:ff:ff:ff:ff
инет 172.20.0.100/24 brd 172.20.0.255 глобальная область vlan.3072
valid_lft навсегда
ссылка на область inet6 fe80::a5a:11ff:fe33:e6e3/64
valid_lft навсегда
