OpenVPN TAP Bridge ARP Probleme
-
Hallo Zusammen,
ich möchte eine Layer-2-VPN zwischen zwei pfSenses (2.3.1) herstellen.
Das erste Gerät (FW01) hat drei Interfaces:- WAN
- LAN/Mgmt
- DMZ (10.1.1.1/24)
Das zweite Gerät in einer anderen Stadt (FW02) hat ursprünglich zwei Interfaces
- WAN
- LAN/Mgmt
Die Geräte in der DMZ_FW01 sollen hinter der Firewall FW02 und der In-/Outboint soll weiterhin über FW01 gehen.
Mein Vorgehen:
Auf der FW01 habe ich einen OpenVPN-TAP-Server konfiguriert. Das Tunnelnetz ist 10.0.0.0/24.
Anschließend habe ich eine Bridge über DMZ_FW01 und ovpns01 erstellt.
Der Client läuft auf der FW02. Dort habe ich ein zusätzliches Interface erstellt (DMZ) ohne IP und dort wieder eine Bridge über DMZ_FW02 und ovpns01 erstellt.
Schaut man sich die ARP-Table an, so werden die Server aus DMZ_FW01 welche nun unter DMZ_FW02 mit der MAC gelistet.
Lässt man auf FW01, FW02 und (bspw.) Server01 tcpdump laufen und den Server pingen, wird folgendes erkenntlich:- Der ARP-Request wird gesendet
- FW02 überträgt ARP-Request an FW01
- FW01 antwortet und sendet ARP-Respons an FW02
- FW02 erhält den ARP-Respons
….
Der ARP-Resopons erhält aber nicht der Server… dessen ARP-Cache bleibt leer.
Ich habe keinerlei Erfahrung mit OpenVPN bzw. Layer-2-VPN, daher entschuldigt meine Unwissenheit. :-X
Leider komme ich nicht weiter, wo kann der Fehler liegen? … hab ich ggf. einfach nur ein Logik Fehler drin?Danke für die Hilfe! ;)
-
Hallo,
erst einmal eine Standardfrage in deinem Konstrukt: Warum versuchst du an dieser Stelle Layer 2 zu tunneln? Es wäre viel einfacher und in der Regel generell robuster, übersichtlicher und sicherer hier einen Tunnel mit Routing aufzubauen. Gibt es hier eine spezielle Anforderung, weshalb du Layer 2 benötigst?