4. Openvpn tap

Openvpn tap

  • A

    подскажите на какой версии лучше сделать сеть на тап девайсах?
    на 2.0 или 1.2.3 ? и как ?
    надо что бы был 1 сервер и около 100 клиентов, за которыми подсеть..
    надо будет создавать сервер (для каждого клиента на своем порту) или тап умеер работать с несколькими клиентами?

    0
  • D

    можно создать 1 сервер и для разных клиентов указывать разные настройки (или использовать одни и те же).

    0
  • A

    а как в 2.0  создать тап?
    на ветку форума не направите? в идеале - на русскую :)
    кстати, авторизация при этом какая должна быть? сертификатами?

    0
  • A

    через гуй тап создается? что то неполучается…
    или надо вручную конфиги править?

    0
  • D

    Покажите скриншот настроек.

    0
  • A

    в логах такое
    Jan 20 22:01:38 openvpn[48109]: Use –help for more information.
    Jan 20 22:01:38 openvpn[48109]: Options error: –server and --server-bridge cannot be used together
    Jan 20 22:01:16 openvpn[33313]: Exiting
    Jan 20 22:01:16 openvpn[33313]: FreeBSD ifconfig failed: external program exited with error status: 1
    Jan 20 22:01:16 openvpn[33313]: /sbin/ifconfig tap0 10.10.10.1 10.10.10.2 mtu 1500 netmask 255.255.255.255 up
    Jan 20 22:01:16 openvpn[33313]: do_ifconfig, tt->ipv6=0
    Jan 20 22:01:16 openvpn[33313]: TUN/TAP device /dev/tun1 opened
    Jan 20 22:01:16 openvpn[33313]: NOTE: the current –script-security setting may allow this configuration to call user-defined scripts
    Jan 20 22:01:16 openvpn[33313]: [DEPRECATED FEATURE ENABLED: random-resolv] Resolving hostnames will use randomisation if more than one IP address is found
    Jan 20 22:01:16 openvpn[33313]: OpenVPN testing-cee388313521 i386-portbld-freebsd8.1 [SSL] [LZO2] [eurephia] [MH] [PF_INET6] [IPv6 payload 20100307-1] built on Jan 18 2011


    0
  • A

    это было на 2.0…
    на 123 также настроил- понднялось но без server-bridge .....
    как настроить на 2.0?

    0
  • D

    похоже поддержки тап-дивайсов в гуе 2.0 нет. Поднимайте вручную или допиливайте гуй.

    0
  • A

    так и в 1.2.3 в гуе нет - но при прописывании опции - работает

    0
  • L

    тоже волнует данная тема..
    правда, прописав в кастом боксе вот это

    dev tap1;dev-type tap;dev-node /dev/tap1;

    ~~tap интерфейс создался.. но дальше ничего.

    • в конфиге сервера остается конфиг tun интерфейса, в результате чего имеем 2 интерфейса - tun и tap %)~~

    alexandrnew

    UPD: поглядел на redmine.pfsense.org тему аналогичную, только для клиента
    т.к. файл openvpn.inc уже измененный, то редактировать пришлось всего лишь vpn_openvpn_server.php
    и можно сказать практически из клиентской гуйни выдрал. поправил мелочи, чтоб все окейно было.

    в атаче файл - меняй расширение txt на php и кидай, заменяя, в /usr/local/www

    сейчас у себя проверил в виртуалке.. интерфейс создается. в конфиге сервера все окей вроде.
    пробуй в общем.

    vpn_openvpn_server.txt

    0
  • A

    после - Hardware Crypto пустой….
    остальных настроек нет... но идея неплохая :)
    какие там изменения? и откуда именно файл? или сам делал?

    0
  • L

    хы, каких остальных, немного не понимаю.. у меня все настройки на месте остальные. добавилось только выпадающее меню выбора tap или tun.
    файл из самого пфсенса.
    вот
    http://redmine.pfsense.org/issues/248

    собственно я посмотрел содержимое. скопировал меню выбора в серверную гуйню и все. подправил там параметр один и все.
    фактически ни чего такого мудреного. просто перенес и все.
    отредактировать достаточно было только гуйню. т.к. в inc файле уже было все прописано.
    вот одновременно создал тикет там
    http://redmine.pfsense.org/issues/1222

    только поторопился немного.. нада было изготовить patch, а не кидать целый файл

    вот менюшка выбора в vpn_openvpn_client.php:

    
                                                         <select name="dev_mode" class="formselect">foreach ($openvpn_dev_mode as $mode):                                                                        $selected = "";                                                                        if ($pconfig['dev_mode'] == $mode)                                                                                $selected = "selected";                                                        ?>                                                                <option value="<?=$mode;?>" <?="$selected;?">></option></select>

    тоже самое вставил в vpn_openvpn_server.php
    +
    в клиентской гуйне было вот это

    $client['dev_mode'] = $pconfig['dev_mode'];

    в серверную гуйню впихнул тоже самое и в тоже место что в клиентской
    только

    $client

    заменил на

    $server

    вот и все собственно)
    вчера попробывал создать мост между tap и lan. удачно отпинговал tap интерфейс из своей домашней сети (напомню, что pfsense 2.0 стоит у меня в виртуалке. билд от 21-го января).
    поставлю вечерком на домашней машинке 2.0 pfsense и подниму опенвпн сервер с бриджем. потестирую с работы, поконекчусь, попингую)

    кстати говоря..
    @alexandrnew:

    подскажите на какой версии лучше сделать сеть на тап девайсах?
    на 2.0 или 1.2.3 ? и как ?
    надо что бы был 1 сервер и около 100 клиентов, за которыми подсеть..
    надо будет создавать сервер (для каждого клиента на своем порту) или тап умеер работать с несколькими клиентами?

    у меня успешно используется один опенвпн сервер на pfsense 1.2.3, на 6-7 клиентов с постоянным подключением в течении дня.
    так что не нужно создавать кучу серверов впн %)
    сгенерируй сертификаты да и все.
    только у меня бридж в мою сетку на работе, я удаленным "офисам" нашим вручную прописываю ip, т.к. нужен статический, чтобы через radmin или vnc быстро зайти к ним. если не прописывать, то они получаю от нашего dhcp сервера под win2003 ip успешно.

    0
  • A

    у меня билд от 19го..
    щас обновлюсь, проверю.

    по поводу кучи серверов- у вас на 1.2.3 тап интерфейс? бриджем?
    кстати, еще вопрос:
    на 1.2.3 для брижда надо:
    server-bridge 172.22.255.254 255.255.255.0 172.22.255.100 172.22.255.110;
    и  в конфиг:
    <earlyshellcmd>ifconfig bridge0 create</earlyshellcmd>
    <earlyshellcmd>ifconfig bridge0 addm em1 up</earlyshellcmd>
    <shellcmd>ifconfig bridge0 addm tap0</shellcmd>
    -насколько понимаю: server-bridge 172.22.255.254 255.255.255.0 172.22.255.100 172.22.255.110;

    • это не надо, если у меня дхцп будет в локалке использоваться?
      а это:
      <earlyshellcmd>ifconfig bridge0 create</earlyshellcmd>
      <earlyshellcmd>ifconfig bridge0 addm em1 up</earlyshellcmd>
      <shellcmd>ifconfig bridge0 addm tap0</shellcmd>
      в 2.0 как сделать? народ в ветке про опенвпн писал вроде не работает в 2.0…
    0
  • A

    респект!
    в указаном вами билде все гуд!
    тестим далее!

    0
  • L

    @alexandrnew:

    по поводу кучи серверов- у вас на 1.2.3 тап интерфейс? бриджем?

    да, tap интерфейс и в бридже (делал через гуйню) с lan

    @alexandrnew:

    кстати, еще вопрос:
    на 1.2.3 для брижда надо:
    server-bridge 172.22.255.254 255.255.255.0 172.22.255.100 172.22.255.110;
    и  в конфиг:
    <earlyshellcmd>ifconfig bridge0 create</earlyshellcmd>
    <earlyshellcmd>ifconfig bridge0 addm em1 up</earlyshellcmd>
    <shellcmd>ifconfig bridge0 addm tap0</shellcmd>
    -насколько понимаю: server-bridge 172.22.255.254 255.255.255.0 172.22.255.100 172.22.255.110;

    • это не надо, если у меня дхцп будет в локалке использоваться?

    я сервер-бридж не прописывал.вот что у меня в кастом боксе:

    dev tap0;mode server;ifconfig 192.168.0.254 255.255.255.0;reneg-sec 172800;tran-window 172800;verb 2;management 127.0.0.1 50120;

    @alexandrnew:

    а это:
    <earlyshellcmd>ifconfig bridge0 create</earlyshellcmd>
    <earlyshellcmd>ifconfig bridge0 addm em1 up</earlyshellcmd>
    <shellcmd>ifconfig bridge0 addm tap0</shellcmd>
    в 2.0 как сделать? народ в ветке про опенвпн писал вроде не работает в 2.0…

    в 2.0 это по всей видимости уже не нужно. я в ближайшие 2-3 дня проверю режим моста, и сообщу как там что-там, если чтоу

    будем надеяться что разработчики добавят выбор режима интерфейса в серверном конфиге.. а то боюсь для каждого следующего билда нада будет по новой править гуйню %)

    0
  • A

    tap вроде не обязательно ип выдавать? насколько я понимаю - если есть в локалке дхцп, и я связываю удаленную сеть тар интерфейсами, делаю их в бридж и локльно и удаленно - то удаленная сеть будет брать дхцп с моей локалки?

    0
  • L

    @alexandrnew:

    tap вроде не обязательно ип выдавать? насколько я понимаю - если есть в локалке дхцп, и я связываю удаленную сеть тар интерфейсами, делаю их в бридж и локльно и удаленно - то удаленная сеть будет брать дхцп с моей локалки?

    по сути, когда мост сделан из lan и tap, у обоих не должно быть ип, но он должен быть у моста тогда - вчера пробывал, не получилось %)
    да ну и под pfsense 1.2.3 у мя у обоих есть ип, у моста нет.

    да, удаленная сеть будет получать ип по дхцп от сервера дхцп из твоей локалки. если опенвпн настроен и галочка у него стоит "статические ип" (это в pfsense 1.2.3).
    у меня так и работает счас.

    на счет 2.0 не знаю особо пака что, на счет того, чтобы сам опенвпн сервер не выдавал ип клиентам, аля как в 1.2.3 опция статического ип

    0
  • A

    только что проверил на 123:
    в лан добавил бриджем тар0,  в удаленном клиенте тар0 и лан - в бридже, бридж - с ипом - удаленные клиенты получили дхцп с локалки (с пфсенса), но в локалку попасть не могут (хз где проблема) а в удаленные сети (пфсенс подключен к ним по ипсеку) - попадаю
    осталось сделать все это на 2.0
    кстати "статические ип" - не включал

    0
  • L

    объясняю
    pfsense 1.2.3
    на нем сконфигурированный сервер опенвпн: клиент ту клиент, статик ип, адрессный пул тот же что и на лан интерфейсе, протокол tcp, и у меня вот это

    dev tap0;mode server;ifconfig 192.168.0.254 255.255.255.0;reneg-sec 172800;tran-window 172800;verb 2;management 127.0.0.1 50120;

    для начала, в правилах фаера разрешаем весь трафик на всех интфейсах. точнее сказать, на впн интерфейсе весь трафик разрешаем обязательн.
    захожу в интерфейс впн тап и добавляю его в мост с лан. захожу в интерфейс лан и то же самое делаю с ним - добавляю в мост с впн

    естесна открываем порт. конфигурируем клиентский конфиг опенвпн. и коннектимся. получаем ип адресс по дхцп от сервера внутри сети лан интефейса, либо сконфигурированного на нем самом в pfsense )

    собственно у меня работает 0_о
    только клиенты не видят друг друга пака что.. что-то с маршрутизацией или конфигом %) собственно мне оно не нужно, поэтому и не капаюсь что там такое.

    это в кратце, надеюсь ясн будет все)

    0
  • L

    http://redmine.pfsense.org/attachments/258/openvpn.webif.tuntap.server.patch
    вот, собственно сделал патч %)
    в общем, все очень даже просто.. достаточно было посмотреть клиентский php для гуйни и скопипастить с мелкими правками.

    0
Log in to reply
 

Products

Applications

Support

Services

News

Resources

Company

Our Mission

As host of the pfSense open source firewall project, Netgate believes in enhancing network connectivity that maintains both security and privacy. We also believe everyone should be able to afford it.

Subscribe to our Newsletter

Product information, software announcements, and special offers. See our newsletter archive for past announcements.

© Copyright 2002 - 2019 Rubicon Communications, LLC | Privacy Policy