OpenVPN TAP Bridge ARP Probleme



  • Hallo Zusammen,

    ich möchte eine Layer-2-VPN zwischen zwei pfSenses (2.3.1) herstellen.
    Das erste Gerät (FW01) hat drei Interfaces:

    1. WAN
    2. LAN/Mgmt
    3. DMZ (10.1.1.1/24)

    Das zweite Gerät in einer anderen Stadt (FW02) hat ursprünglich zwei Interfaces

    1. WAN
    2. LAN/Mgmt

    Die Geräte in der DMZ_FW01 sollen hinter der Firewall FW02 und der In-/Outboint soll weiterhin über FW01 gehen.

    Mein Vorgehen:
    Auf der FW01 habe ich einen OpenVPN-TAP-Server konfiguriert. Das Tunnelnetz ist 10.0.0.0/24.
    Anschließend habe ich eine Bridge über DMZ_FW01 und ovpns01 erstellt.
    Der Client läuft auf der FW02. Dort habe ich ein zusätzliches Interface erstellt (DMZ) ohne IP und dort wieder eine Bridge über DMZ_FW02 und ovpns01 erstellt.
    Schaut man sich die ARP-Table an, so werden die Server aus DMZ_FW01 welche nun unter DMZ_FW02 mit der MAC gelistet.
    Lässt man auf FW01, FW02 und (bspw.) Server01 tcpdump laufen und den Server pingen, wird folgendes erkenntlich:

    1. Der ARP-Request wird gesendet
    2. FW02 überträgt ARP-Request an FW01
    3. FW01 antwortet und sendet ARP-Respons an FW02
    4. FW02 erhält den ARP-Respons
      ….
      Der ARP-Resopons erhält aber nicht der Server… dessen ARP-Cache bleibt leer.

    Ich habe keinerlei Erfahrung mit OpenVPN bzw. Layer-2-VPN, daher entschuldigt meine Unwissenheit.  :-X
    Leider komme ich nicht weiter, wo kann der Fehler liegen? … hab ich ggf. einfach nur ein Logik Fehler drin?

    Danke für die Hilfe!  ;)



  • Hallo,

    erst einmal eine Standardfrage in deinem Konstrukt: Warum versuchst du an dieser Stelle Layer 2 zu tunneln? Es wäre viel einfacher und in der Regel generell robuster, übersichtlicher und sicherer hier einen Tunnel mit Routing aufzubauen. Gibt es hier eine spezielle Anforderung, weshalb du Layer 2 benötigst?


Log in to reply