Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    OpenVPN TAP Bridge ARP Probleme

    Scheduled Pinned Locked Moved Deutsch
    2 Posts 2 Posters 1.3k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • B
      BigLin
      last edited by

      Hallo Zusammen,

      ich möchte eine Layer-2-VPN zwischen zwei pfSenses (2.3.1) herstellen.
      Das erste Gerät (FW01) hat drei Interfaces:

      1. WAN
      2. LAN/Mgmt
      3. DMZ (10.1.1.1/24)

      Das zweite Gerät in einer anderen Stadt (FW02) hat ursprünglich zwei Interfaces

      1. WAN
      2. LAN/Mgmt

      Die Geräte in der DMZ_FW01 sollen hinter der Firewall FW02 und der In-/Outboint soll weiterhin über FW01 gehen.

      Mein Vorgehen:
      Auf der FW01 habe ich einen OpenVPN-TAP-Server konfiguriert. Das Tunnelnetz ist 10.0.0.0/24.
      Anschließend habe ich eine Bridge über DMZ_FW01 und ovpns01 erstellt.
      Der Client läuft auf der FW02. Dort habe ich ein zusätzliches Interface erstellt (DMZ) ohne IP und dort wieder eine Bridge über DMZ_FW02 und ovpns01 erstellt.
      Schaut man sich die ARP-Table an, so werden die Server aus DMZ_FW01 welche nun unter DMZ_FW02 mit der MAC gelistet.
      Lässt man auf FW01, FW02 und (bspw.) Server01 tcpdump laufen und den Server pingen, wird folgendes erkenntlich:

      1. Der ARP-Request wird gesendet
      2. FW02 überträgt ARP-Request an FW01
      3. FW01 antwortet und sendet ARP-Respons an FW02
      4. FW02 erhält den ARP-Respons
        ….
        Der ARP-Resopons erhält aber nicht der Server… dessen ARP-Cache bleibt leer.

      Ich habe keinerlei Erfahrung mit OpenVPN bzw. Layer-2-VPN, daher entschuldigt meine Unwissenheit.  :-X
      Leider komme ich nicht weiter, wo kann der Fehler liegen? … hab ich ggf. einfach nur ein Logik Fehler drin?

      Danke für die Hilfe!  ;)

      1 Reply Last reply Reply Quote 0
      • A
        aku2k2
        last edited by

        Hallo,

        erst einmal eine Standardfrage in deinem Konstrukt: Warum versuchst du an dieser Stelle Layer 2 zu tunneln? Es wäre viel einfacher und in der Regel generell robuster, übersichtlicher und sicherer hier einen Tunnel mit Routing aufzubauen. Gibt es hier eine spezielle Anforderung, weshalb du Layer 2 benötigst?

        1 Reply Last reply Reply Quote 0
        • First post
          Last post
        Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.