Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Openvpn tap

    Scheduled Pinned Locked Moved Russian
    20 Posts 3 Posters 8.7k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • A
      alexandrnew
      last edited by

      подскажите на какой версии лучше сделать сеть на тап девайсах?
      на 2.0 или 1.2.3 ? и как ?
      надо что бы был 1 сервер и около 100 клиентов, за которыми подсеть..
      надо будет создавать сервер (для каждого клиента на своем порту) или тап умеер работать с несколькими клиентами?

      1 Reply Last reply Reply Quote 0
      • D
        deutsche
        last edited by

        можно создать 1 сервер и для разных клиентов указывать разные настройки (или использовать одни и те же).

        http://ru.doc.pfsense.org/

        1 Reply Last reply Reply Quote 0
        • A
          alexandrnew
          last edited by

          а как в 2.0  создать тап?
          на ветку форума не направите? в идеале - на русскую :)
          кстати, авторизация при этом какая должна быть? сертификатами?

          1 Reply Last reply Reply Quote 0
          • A
            alexandrnew
            last edited by

            через гуй тап создается? что то неполучается…
            или надо вручную конфиги править?

            1 Reply Last reply Reply Quote 0
            • D
              deutsche
              last edited by

              Покажите скриншот настроек.

              http://ru.doc.pfsense.org/

              1 Reply Last reply Reply Quote 0
              • A
                alexandrnew
                last edited by

                в логах такое
                Jan 20 22:01:38 openvpn[48109]: Use –help for more information.
                Jan 20 22:01:38 openvpn[48109]: Options error: –server and --server-bridge cannot be used together
                Jan 20 22:01:16 openvpn[33313]: Exiting
                Jan 20 22:01:16 openvpn[33313]: FreeBSD ifconfig failed: external program exited with error status: 1
                Jan 20 22:01:16 openvpn[33313]: /sbin/ifconfig tap0 10.10.10.1 10.10.10.2 mtu 1500 netmask 255.255.255.255 up
                Jan 20 22:01:16 openvpn[33313]: do_ifconfig, tt->ipv6=0
                Jan 20 22:01:16 openvpn[33313]: TUN/TAP device /dev/tun1 opened
                Jan 20 22:01:16 openvpn[33313]: NOTE: the current –script-security setting may allow this configuration to call user-defined scripts
                Jan 20 22:01:16 openvpn[33313]: [DEPRECATED FEATURE ENABLED: random-resolv] Resolving hostnames will use randomisation if more than one IP address is found
                Jan 20 22:01:16 openvpn[33313]: OpenVPN testing-cee388313521 i386-portbld-freebsd8.1 [SSL] [LZO2] [eurephia] [MH] [PF_INET6] [IPv6 payload 20100307-1] built on Jan 18 2011

                op.png
                op.png_thumb

                1 Reply Last reply Reply Quote 0
                • A
                  alexandrnew
                  last edited by

                  это было на 2.0…
                  на 123 также настроил- понднялось но без server-bridge .....
                  как настроить на 2.0?

                  1 Reply Last reply Reply Quote 0
                  • D
                    deutsche
                    last edited by

                    похоже поддержки тап-дивайсов в гуе 2.0 нет. Поднимайте вручную или допиливайте гуй.

                    http://ru.doc.pfsense.org/

                    1 Reply Last reply Reply Quote 0
                    • A
                      alexandrnew
                      last edited by

                      так и в 1.2.3 в гуе нет - но при прописывании опции - работает

                      1 Reply Last reply Reply Quote 0
                      • L
                        lsd25
                        last edited by

                        тоже волнует данная тема..
                        правда, прописав в кастом боксе вот это

                        dev tap1;dev-type tap;dev-node /dev/tap1;
                        

                        ~~tap интерфейс создался.. но дальше ничего.

                        • в конфиге сервера остается конфиг tun интерфейса, в результате чего имеем 2 интерфейса - tun и tap %)~~

                        alexandrnew

                        UPD: поглядел на redmine.pfsense.org тему аналогичную, только для клиента
                        т.к. файл openvpn.inc уже измененный, то редактировать пришлось всего лишь vpn_openvpn_server.php
                        и можно сказать практически из клиентской гуйни выдрал. поправил мелочи, чтоб все окейно было.

                        в атаче файл - меняй расширение txt на php и кидай, заменяя, в /usr/local/www

                        сейчас у себя проверил в виртуалке.. интерфейс создается. в конфиге сервера все окей вроде.
                        пробуй в общем.

                        vpn_openvpn_server.txt

                        1 Reply Last reply Reply Quote 0
                        • A
                          alexandrnew
                          last edited by

                          после - Hardware Crypto пустой….
                          остальных настроек нет... но идея неплохая :)
                          какие там изменения? и откуда именно файл? или сам делал?

                          1 Reply Last reply Reply Quote 0
                          • L
                            lsd25
                            last edited by

                            хы, каких остальных, немного не понимаю.. у меня все настройки на месте остальные. добавилось только выпадающее меню выбора tap или tun.
                            файл из самого пфсенса.
                            вот
                            http://redmine.pfsense.org/issues/248

                            собственно я посмотрел содержимое. скопировал меню выбора в серверную гуйню и все. подправил там параметр один и все.
                            фактически ни чего такого мудреного. просто перенес и все.
                            отредактировать достаточно было только гуйню. т.к. в inc файле уже было все прописано.
                            вот одновременно создал тикет там
                            http://redmine.pfsense.org/issues/1222

                            только поторопился немного.. нада было изготовить patch, а не кидать целый файл

                            вот менюшка выбора в vpn_openvpn_client.php:

                            
                                                                                     <select name="dev_mode" class="formselect">foreach ($openvpn_dev_mode as $mode):                                                                        $selected = "";                                                                        if ($pconfig['dev_mode'] == $mode)                                                                                $selected = "selected";                                                        ?>                                                                <option value="<?=$mode;?>" <?="$selected;?">></option></select>
                            
                            

                            тоже самое вставил в vpn_openvpn_server.php
                            +
                            в клиентской гуйне было вот это

                            $client['dev_mode'] = $pconfig['dev_mode'];
                            

                            в серверную гуйню впихнул тоже самое и в тоже место что в клиентской
                            только

                            $client
                            

                            заменил на

                            $server
                            

                            вот и все собственно)
                            вчера попробывал создать мост между tap и lan. удачно отпинговал tap интерфейс из своей домашней сети (напомню, что pfsense 2.0 стоит у меня в виртуалке. билд от 21-го января).
                            поставлю вечерком на домашней машинке 2.0 pfsense и подниму опенвпн сервер с бриджем. потестирую с работы, поконекчусь, попингую)

                            кстати говоря..
                            @alexandrnew:

                            подскажите на какой версии лучше сделать сеть на тап девайсах?
                            на 2.0 или 1.2.3 ? и как ?
                            надо что бы был 1 сервер и около 100 клиентов, за которыми подсеть..
                            надо будет создавать сервер (для каждого клиента на своем порту) или тап умеер работать с несколькими клиентами?

                            у меня успешно используется один опенвпн сервер на pfsense 1.2.3, на 6-7 клиентов с постоянным подключением в течении дня.
                            так что не нужно создавать кучу серверов впн %)
                            сгенерируй сертификаты да и все.
                            только у меня бридж в мою сетку на работе, я удаленным "офисам" нашим вручную прописываю ip, т.к. нужен статический, чтобы через radmin или vnc быстро зайти к ним. если не прописывать, то они получаю от нашего dhcp сервера под win2003 ip успешно.

                            1 Reply Last reply Reply Quote 0
                            • A
                              alexandrnew
                              last edited by

                              у меня билд от 19го..
                              щас обновлюсь, проверю.

                              по поводу кучи серверов- у вас на 1.2.3 тап интерфейс? бриджем?
                              кстати, еще вопрос:
                              на 1.2.3 для брижда надо:
                              server-bridge 172.22.255.254 255.255.255.0 172.22.255.100 172.22.255.110;
                              и  в конфиг:
                              <earlyshellcmd>ifconfig bridge0 create</earlyshellcmd>
                              <earlyshellcmd>ifconfig bridge0 addm em1 up</earlyshellcmd>
                              <shellcmd>ifconfig bridge0 addm tap0</shellcmd>
                              -насколько понимаю: server-bridge 172.22.255.254 255.255.255.0 172.22.255.100 172.22.255.110;

                              • это не надо, если у меня дхцп будет в локалке использоваться?
                                а это:
                                <earlyshellcmd>ifconfig bridge0 create</earlyshellcmd>
                                <earlyshellcmd>ifconfig bridge0 addm em1 up</earlyshellcmd>
                                <shellcmd>ifconfig bridge0 addm tap0</shellcmd>
                                в 2.0 как сделать? народ в ветке про опенвпн писал вроде не работает в 2.0…
                              1 Reply Last reply Reply Quote 0
                              • A
                                alexandrnew
                                last edited by

                                респект!
                                в указаном вами билде все гуд!
                                тестим далее!

                                1 Reply Last reply Reply Quote 0
                                • L
                                  lsd25
                                  last edited by

                                  @alexandrnew:

                                  по поводу кучи серверов- у вас на 1.2.3 тап интерфейс? бриджем?

                                  да, tap интерфейс и в бридже (делал через гуйню) с lan

                                  @alexandrnew:

                                  кстати, еще вопрос:
                                  на 1.2.3 для брижда надо:
                                  server-bridge 172.22.255.254 255.255.255.0 172.22.255.100 172.22.255.110;
                                  и  в конфиг:
                                  <earlyshellcmd>ifconfig bridge0 create</earlyshellcmd>
                                  <earlyshellcmd>ifconfig bridge0 addm em1 up</earlyshellcmd>
                                  <shellcmd>ifconfig bridge0 addm tap0</shellcmd>
                                  -насколько понимаю: server-bridge 172.22.255.254 255.255.255.0 172.22.255.100 172.22.255.110;

                                  • это не надо, если у меня дхцп будет в локалке использоваться?

                                  я сервер-бридж не прописывал.вот что у меня в кастом боксе:

                                  dev tap0;mode server;ifconfig 192.168.0.254 255.255.255.0;reneg-sec 172800;tran-window 172800;verb 2;management 127.0.0.1 50120;
                                  

                                  @alexandrnew:

                                  а это:
                                  <earlyshellcmd>ifconfig bridge0 create</earlyshellcmd>
                                  <earlyshellcmd>ifconfig bridge0 addm em1 up</earlyshellcmd>
                                  <shellcmd>ifconfig bridge0 addm tap0</shellcmd>
                                  в 2.0 как сделать? народ в ветке про опенвпн писал вроде не работает в 2.0…

                                  в 2.0 это по всей видимости уже не нужно. я в ближайшие 2-3 дня проверю режим моста, и сообщу как там что-там, если чтоу

                                  будем надеяться что разработчики добавят выбор режима интерфейса в серверном конфиге.. а то боюсь для каждого следующего билда нада будет по новой править гуйню %)

                                  1 Reply Last reply Reply Quote 0
                                  • A
                                    alexandrnew
                                    last edited by

                                    tap вроде не обязательно ип выдавать? насколько я понимаю - если есть в локалке дхцп, и я связываю удаленную сеть тар интерфейсами, делаю их в бридж и локльно и удаленно - то удаленная сеть будет брать дхцп с моей локалки?

                                    1 Reply Last reply Reply Quote 0
                                    • L
                                      lsd25
                                      last edited by

                                      @alexandrnew:

                                      tap вроде не обязательно ип выдавать? насколько я понимаю - если есть в локалке дхцп, и я связываю удаленную сеть тар интерфейсами, делаю их в бридж и локльно и удаленно - то удаленная сеть будет брать дхцп с моей локалки?

                                      по сути, когда мост сделан из lan и tap, у обоих не должно быть ип, но он должен быть у моста тогда - вчера пробывал, не получилось %)
                                      да ну и под pfsense 1.2.3 у мя у обоих есть ип, у моста нет.

                                      да, удаленная сеть будет получать ип по дхцп от сервера дхцп из твоей локалки. если опенвпн настроен и галочка у него стоит "статические ип" (это в pfsense 1.2.3).
                                      у меня так и работает счас.

                                      на счет 2.0 не знаю особо пака что, на счет того, чтобы сам опенвпн сервер не выдавал ип клиентам, аля как в 1.2.3 опция статического ип

                                      1 Reply Last reply Reply Quote 0
                                      • A
                                        alexandrnew
                                        last edited by

                                        только что проверил на 123:
                                        в лан добавил бриджем тар0,  в удаленном клиенте тар0 и лан - в бридже, бридж - с ипом - удаленные клиенты получили дхцп с локалки (с пфсенса), но в локалку попасть не могут (хз где проблема) а в удаленные сети (пфсенс подключен к ним по ипсеку) - попадаю
                                        осталось сделать все это на 2.0
                                        кстати "статические ип" - не включал

                                        1 Reply Last reply Reply Quote 0
                                        • L
                                          lsd25
                                          last edited by

                                          объясняю
                                          pfsense 1.2.3
                                          на нем сконфигурированный сервер опенвпн: клиент ту клиент, статик ип, адрессный пул тот же что и на лан интерфейсе, протокол tcp, и у меня вот это

                                          dev tap0;mode server;ifconfig 192.168.0.254 255.255.255.0;reneg-sec 172800;tran-window 172800;verb 2;management 127.0.0.1 50120;
                                          

                                          для начала, в правилах фаера разрешаем весь трафик на всех интфейсах. точнее сказать, на впн интерфейсе весь трафик разрешаем обязательн.
                                          захожу в интерфейс впн тап и добавляю его в мост с лан. захожу в интерфейс лан и то же самое делаю с ним - добавляю в мост с впн

                                          естесна открываем порт. конфигурируем клиентский конфиг опенвпн. и коннектимся. получаем ип адресс по дхцп от сервера внутри сети лан интефейса, либо сконфигурированного на нем самом в pfsense )

                                          собственно у меня работает 0_о
                                          только клиенты не видят друг друга пака что.. что-то с маршрутизацией или конфигом %) собственно мне оно не нужно, поэтому и не капаюсь что там такое.

                                          это в кратце, надеюсь ясн будет все)

                                          1 Reply Last reply Reply Quote 0
                                          • L
                                            lsd25
                                            last edited by

                                            http://redmine.pfsense.org/attachments/258/openvpn.webif.tuntap.server.patch
                                            вот, собственно сделал патч %)
                                            в общем, все очень даже просто.. достаточно было посмотреть клиентский php для гуйни и скопипастить с мелкими правками.

                                            1 Reply Last reply Reply Quote 0
                                            • First post
                                              Last post
                                            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.