Openvpn tap



  • подскажите на какой версии лучше сделать сеть на тап девайсах?
    на 2.0 или 1.2.3 ? и как ?
    надо что бы был 1 сервер и около 100 клиентов, за которыми подсеть..
    надо будет создавать сервер (для каждого клиента на своем порту) или тап умеер работать с несколькими клиентами?



  • можно создать 1 сервер и для разных клиентов указывать разные настройки (или использовать одни и те же).



  • а как в 2.0  создать тап?
    на ветку форума не направите? в идеале - на русскую :)
    кстати, авторизация при этом какая должна быть? сертификатами?



  • через гуй тап создается? что то неполучается…
    или надо вручную конфиги править?



  • Покажите скриншот настроек.



  • в логах такое
    Jan 20 22:01:38 openvpn[48109]: Use –help for more information.
    Jan 20 22:01:38 openvpn[48109]: Options error: –server and --server-bridge cannot be used together
    Jan 20 22:01:16 openvpn[33313]: Exiting
    Jan 20 22:01:16 openvpn[33313]: FreeBSD ifconfig failed: external program exited with error status: 1
    Jan 20 22:01:16 openvpn[33313]: /sbin/ifconfig tap0 10.10.10.1 10.10.10.2 mtu 1500 netmask 255.255.255.255 up
    Jan 20 22:01:16 openvpn[33313]: do_ifconfig, tt->ipv6=0
    Jan 20 22:01:16 openvpn[33313]: TUN/TAP device /dev/tun1 opened
    Jan 20 22:01:16 openvpn[33313]: NOTE: the current –script-security setting may allow this configuration to call user-defined scripts
    Jan 20 22:01:16 openvpn[33313]: [DEPRECATED FEATURE ENABLED: random-resolv] Resolving hostnames will use randomisation if more than one IP address is found
    Jan 20 22:01:16 openvpn[33313]: OpenVPN testing-cee388313521 i386-portbld-freebsd8.1 [SSL] [LZO2] [eurephia] [MH] [PF_INET6] [IPv6 payload 20100307-1] built on Jan 18 2011




  • это было на 2.0…
    на 123 также настроил- понднялось но без server-bridge .....
    как настроить на 2.0?



  • похоже поддержки тап-дивайсов в гуе 2.0 нет. Поднимайте вручную или допиливайте гуй.



  • так и в 1.2.3 в гуе нет - но при прописывании опции - работает



  • тоже волнует данная тема..
    правда, прописав в кастом боксе вот это

    dev tap1;dev-type tap;dev-node /dev/tap1;
    

    ~~tap интерфейс создался.. но дальше ничего.

    • в конфиге сервера остается конфиг tun интерфейса, в результате чего имеем 2 интерфейса - tun и tap %)~~

    alexandrnew

    UPD: поглядел на redmine.pfsense.org тему аналогичную, только для клиента
    т.к. файл openvpn.inc уже измененный, то редактировать пришлось всего лишь vpn_openvpn_server.php
    и можно сказать практически из клиентской гуйни выдрал. поправил мелочи, чтоб все окейно было.

    в атаче файл - меняй расширение txt на php и кидай, заменяя, в /usr/local/www

    сейчас у себя проверил в виртуалке.. интерфейс создается. в конфиге сервера все окей вроде.
    пробуй в общем.

    vpn_openvpn_server.txt



  • после - Hardware Crypto пустой….
    остальных настроек нет... но идея неплохая :)
    какие там изменения? и откуда именно файл? или сам делал?



  • хы, каких остальных, немного не понимаю.. у меня все настройки на месте остальные. добавилось только выпадающее меню выбора tap или tun.
    файл из самого пфсенса.
    вот
    http://redmine.pfsense.org/issues/248

    собственно я посмотрел содержимое. скопировал меню выбора в серверную гуйню и все. подправил там параметр один и все.
    фактически ни чего такого мудреного. просто перенес и все.
    отредактировать достаточно было только гуйню. т.к. в inc файле уже было все прописано.
    вот одновременно создал тикет там
    http://redmine.pfsense.org/issues/1222

    только поторопился немного.. нада было изготовить patch, а не кидать целый файл

    вот менюшка выбора в vpn_openvpn_client.php:

    
                                                             <select name="dev_mode" class="formselect">foreach ($openvpn_dev_mode as $mode):                                                                        $selected = "";                                                                        if ($pconfig['dev_mode'] == $mode)                                                                                $selected = "selected";                                                        ?>                                                                <option value="<?=$mode;?>" <?="$selected;?">></option></select>
    
    

    тоже самое вставил в vpn_openvpn_server.php

    в клиентской гуйне было вот это

    $client['dev_mode'] = $pconfig['dev_mode'];
    

    в серверную гуйню впихнул тоже самое и в тоже место что в клиентской
    только

    $client
    

    заменил на

    $server
    

    вот и все собственно)
    вчера попробывал создать мост между tap и lan. удачно отпинговал tap интерфейс из своей домашней сети (напомню, что pfsense 2.0 стоит у меня в виртуалке. билд от 21-го января).
    поставлю вечерком на домашней машинке 2.0 pfsense и подниму опенвпн сервер с бриджем. потестирую с работы, поконекчусь, попингую)

    кстати говоря..
    @alexandrnew:

    подскажите на какой версии лучше сделать сеть на тап девайсах?
    на 2.0 или 1.2.3 ? и как ?
    надо что бы был 1 сервер и около 100 клиентов, за которыми подсеть..
    надо будет создавать сервер (для каждого клиента на своем порту) или тап умеер работать с несколькими клиентами?

    у меня успешно используется один опенвпн сервер на pfsense 1.2.3, на 6-7 клиентов с постоянным подключением в течении дня.
    так что не нужно создавать кучу серверов впн %)
    сгенерируй сертификаты да и все.
    только у меня бридж в мою сетку на работе, я удаленным "офисам" нашим вручную прописываю ip, т.к. нужен статический, чтобы через radmin или vnc быстро зайти к ним. если не прописывать, то они получаю от нашего dhcp сервера под win2003 ip успешно.



  • у меня билд от 19го..
    щас обновлюсь, проверю.

    по поводу кучи серверов- у вас на 1.2.3 тап интерфейс? бриджем?
    кстати, еще вопрос:
    на 1.2.3 для брижда надо:
    server-bridge 172.22.255.254 255.255.255.0 172.22.255.100 172.22.255.110;
    и  в конфиг:
    <earlyshellcmd>ifconfig bridge0 create</earlyshellcmd>
    <earlyshellcmd>ifconfig bridge0 addm em1 up</earlyshellcmd>
    <shellcmd>ifconfig bridge0 addm tap0</shellcmd>
    -насколько понимаю: server-bridge 172.22.255.254 255.255.255.0 172.22.255.100 172.22.255.110;

    • это не надо, если у меня дхцп будет в локалке использоваться?
      а это:
      <earlyshellcmd>ifconfig bridge0 create</earlyshellcmd>
      <earlyshellcmd>ifconfig bridge0 addm em1 up</earlyshellcmd>
      <shellcmd>ifconfig bridge0 addm tap0</shellcmd>
      в 2.0 как сделать? народ в ветке про опенвпн писал вроде не работает в 2.0…


  • респект!
    в указаном вами билде все гуд!
    тестим далее!



  • @alexandrnew:

    по поводу кучи серверов- у вас на 1.2.3 тап интерфейс? бриджем?

    да, tap интерфейс и в бридже (делал через гуйню) с lan

    @alexandrnew:

    кстати, еще вопрос:
    на 1.2.3 для брижда надо:
    server-bridge 172.22.255.254 255.255.255.0 172.22.255.100 172.22.255.110;
    и  в конфиг:
    <earlyshellcmd>ifconfig bridge0 create</earlyshellcmd>
    <earlyshellcmd>ifconfig bridge0 addm em1 up</earlyshellcmd>
    <shellcmd>ifconfig bridge0 addm tap0</shellcmd>
    -насколько понимаю: server-bridge 172.22.255.254 255.255.255.0 172.22.255.100 172.22.255.110;

    • это не надо, если у меня дхцп будет в локалке использоваться?

    я сервер-бридж не прописывал.вот что у меня в кастом боксе:

    dev tap0;mode server;ifconfig 192.168.0.254 255.255.255.0;reneg-sec 172800;tran-window 172800;verb 2;management 127.0.0.1 50120;
    

    @alexandrnew:

    а это:
    <earlyshellcmd>ifconfig bridge0 create</earlyshellcmd>
    <earlyshellcmd>ifconfig bridge0 addm em1 up</earlyshellcmd>
    <shellcmd>ifconfig bridge0 addm tap0</shellcmd>
    в 2.0 как сделать? народ в ветке про опенвпн писал вроде не работает в 2.0…

    в 2.0 это по всей видимости уже не нужно. я в ближайшие 2-3 дня проверю режим моста, и сообщу как там что-там, если чтоу

    будем надеяться что разработчики добавят выбор режима интерфейса в серверном конфиге.. а то боюсь для каждого следующего билда нада будет по новой править гуйню %)



  • tap вроде не обязательно ип выдавать? насколько я понимаю - если есть в локалке дхцп, и я связываю удаленную сеть тар интерфейсами, делаю их в бридж и локльно и удаленно - то удаленная сеть будет брать дхцп с моей локалки?



  • @alexandrnew:

    tap вроде не обязательно ип выдавать? насколько я понимаю - если есть в локалке дхцп, и я связываю удаленную сеть тар интерфейсами, делаю их в бридж и локльно и удаленно - то удаленная сеть будет брать дхцп с моей локалки?

    по сути, когда мост сделан из lan и tap, у обоих не должно быть ип, но он должен быть у моста тогда - вчера пробывал, не получилось %)
    да ну и под pfsense 1.2.3 у мя у обоих есть ип, у моста нет.

    да, удаленная сеть будет получать ип по дхцп от сервера дхцп из твоей локалки. если опенвпн настроен и галочка у него стоит "статические ип" (это в pfsense 1.2.3).
    у меня так и работает счас.

    на счет 2.0 не знаю особо пака что, на счет того, чтобы сам опенвпн сервер не выдавал ип клиентам, аля как в 1.2.3 опция статического ип



  • только что проверил на 123:
    в лан добавил бриджем тар0,  в удаленном клиенте тар0 и лан - в бридже, бридж - с ипом - удаленные клиенты получили дхцп с локалки (с пфсенса), но в локалку попасть не могут (хз где проблема) а в удаленные сети (пфсенс подключен к ним по ипсеку) - попадаю
    осталось сделать все это на 2.0
    кстати "статические ип" - не включал



  • объясняю
    pfsense 1.2.3
    на нем сконфигурированный сервер опенвпн: клиент ту клиент, статик ип, адрессный пул тот же что и на лан интерфейсе, протокол tcp, и у меня вот это

    dev tap0;mode server;ifconfig 192.168.0.254 255.255.255.0;reneg-sec 172800;tran-window 172800;verb 2;management 127.0.0.1 50120;
    

    для начала, в правилах фаера разрешаем весь трафик на всех интфейсах. точнее сказать, на впн интерфейсе весь трафик разрешаем обязательн.
    захожу в интерфейс впн тап и добавляю его в мост с лан. захожу в интерфейс лан и то же самое делаю с ним - добавляю в мост с впн

    естесна открываем порт. конфигурируем клиентский конфиг опенвпн. и коннектимся. получаем ип адресс по дхцп от сервера внутри сети лан интефейса, либо сконфигурированного на нем самом в pfsense )

    собственно у меня работает 0_о
    только клиенты не видят друг друга пака что.. что-то с маршрутизацией или конфигом %) собственно мне оно не нужно, поэтому и не капаюсь что там такое.

    это в кратце, надеюсь ясн будет все)



  • http://redmine.pfsense.org/attachments/258/openvpn.webif.tuntap.server.patch
    вот, собственно сделал патч %)
    в общем, все очень даже просто.. достаточно было посмотреть клиентский php для гуйни и скопипастить с мелкими правками.


Locked