Openvpn tap
-
подскажите на какой версии лучше сделать сеть на тап девайсах?
на 2.0 или 1.2.3 ? и как ?
надо что бы был 1 сервер и около 100 клиентов, за которыми подсеть..
надо будет создавать сервер (для каждого клиента на своем порту) или тап умеер работать с несколькими клиентами? -
можно создать 1 сервер и для разных клиентов указывать разные настройки (или использовать одни и те же).
-
а как в 2.0 создать тап?
на ветку форума не направите? в идеале - на русскую :)
кстати, авторизация при этом какая должна быть? сертификатами? -
через гуй тап создается? что то неполучается…
или надо вручную конфиги править? -
Покажите скриншот настроек.
-
в логах такое
Jan 20 22:01:38 openvpn[48109]: Use –help for more information.
Jan 20 22:01:38 openvpn[48109]: Options error: –server and --server-bridge cannot be used together
Jan 20 22:01:16 openvpn[33313]: Exiting
Jan 20 22:01:16 openvpn[33313]: FreeBSD ifconfig failed: external program exited with error status: 1
Jan 20 22:01:16 openvpn[33313]: /sbin/ifconfig tap0 10.10.10.1 10.10.10.2 mtu 1500 netmask 255.255.255.255 up
Jan 20 22:01:16 openvpn[33313]: do_ifconfig, tt->ipv6=0
Jan 20 22:01:16 openvpn[33313]: TUN/TAP device /dev/tun1 opened
Jan 20 22:01:16 openvpn[33313]: NOTE: the current –script-security setting may allow this configuration to call user-defined scripts
Jan 20 22:01:16 openvpn[33313]: [DEPRECATED FEATURE ENABLED: random-resolv] Resolving hostnames will use randomisation if more than one IP address is found
Jan 20 22:01:16 openvpn[33313]: OpenVPN testing-cee388313521 i386-portbld-freebsd8.1 [SSL] [LZO2] [eurephia] [MH] [PF_INET6] [IPv6 payload 20100307-1] built on Jan 18 2011
-
это было на 2.0…
на 123 также настроил- понднялось но без server-bridge .....
как настроить на 2.0? -
похоже поддержки тап-дивайсов в гуе 2.0 нет. Поднимайте вручную или допиливайте гуй.
-
так и в 1.2.3 в гуе нет - но при прописывании опции - работает
-
тоже волнует данная тема..
правда, прописав в кастом боксе вот этоdev tap1;dev-type tap;dev-node /dev/tap1;~~tap интерфейс создался.. но дальше ничего.
- в конфиге сервера остается конфиг tun интерфейса, в результате чего имеем 2 интерфейса - tun и tap %)~~
alexandrnew
UPD: поглядел на redmine.pfsense.org тему аналогичную, только для клиента
т.к. файл openvpn.inc уже измененный, то редактировать пришлось всего лишь vpn_openvpn_server.php
и можно сказать практически из клиентской гуйни выдрал. поправил мелочи, чтоб все окейно было.в атаче файл - меняй расширение txt на php и кидай, заменяя, в /usr/local/www
сейчас у себя проверил в виртуалке.. интерфейс создается. в конфиге сервера все окей вроде.
пробуй в общем. -
после - Hardware Crypto пустой….
остальных настроек нет... но идея неплохая :)
какие там изменения? и откуда именно файл? или сам делал? -
хы, каких остальных, немного не понимаю.. у меня все настройки на месте остальные. добавилось только выпадающее меню выбора tap или tun.
файл из самого пфсенса.
вот
http://redmine.pfsense.org/issues/248собственно я посмотрел содержимое. скопировал меню выбора в серверную гуйню и все. подправил там параметр один и все.
фактически ни чего такого мудреного. просто перенес и все.
отредактировать достаточно было только гуйню. т.к. в inc файле уже было все прописано.
вот одновременно создал тикет там
http://redmine.pfsense.org/issues/1222только поторопился немного.. нада было изготовить patch, а не кидать целый файл
вот менюшка выбора в vpn_openvpn_client.php:
<select name="dev_mode" class="formselect">foreach ($openvpn_dev_mode as $mode): $selected = ""; if ($pconfig['dev_mode'] == $mode) $selected = "selected"; ?> <option value="<?=$mode;?>" <?="$selected;?">></option></select>тоже самое вставил в vpn_openvpn_server.php
+
в клиентской гуйне было вот это$client['dev_mode'] = $pconfig['dev_mode'];в серверную гуйню впихнул тоже самое и в тоже место что в клиентской
только$clientзаменил на
$serverвот и все собственно)
вчера попробывал создать мост между tap и lan. удачно отпинговал tap интерфейс из своей домашней сети (напомню, что pfsense 2.0 стоит у меня в виртуалке. билд от 21-го января).
поставлю вечерком на домашней машинке 2.0 pfsense и подниму опенвпн сервер с бриджем. потестирую с работы, поконекчусь, попингую)кстати говоря..
@alexandrnew:подскажите на какой версии лучше сделать сеть на тап девайсах?
на 2.0 или 1.2.3 ? и как ?
надо что бы был 1 сервер и около 100 клиентов, за которыми подсеть..
надо будет создавать сервер (для каждого клиента на своем порту) или тап умеер работать с несколькими клиентами?у меня успешно используется один опенвпн сервер на pfsense 1.2.3, на 6-7 клиентов с постоянным подключением в течении дня.
так что не нужно создавать кучу серверов впн %)
сгенерируй сертификаты да и все.
только у меня бридж в мою сетку на работе, я удаленным "офисам" нашим вручную прописываю ip, т.к. нужен статический, чтобы через radmin или vnc быстро зайти к ним. если не прописывать, то они получаю от нашего dhcp сервера под win2003 ip успешно. -
у меня билд от 19го..
щас обновлюсь, проверю.по поводу кучи серверов- у вас на 1.2.3 тап интерфейс? бриджем?
кстати, еще вопрос:
на 1.2.3 для брижда надо:
server-bridge 172.22.255.254 255.255.255.0 172.22.255.100 172.22.255.110;
и в конфиг:
<earlyshellcmd>ifconfig bridge0 create</earlyshellcmd>
<earlyshellcmd>ifconfig bridge0 addm em1 up</earlyshellcmd>
<shellcmd>ifconfig bridge0 addm tap0</shellcmd>
-насколько понимаю: server-bridge 172.22.255.254 255.255.255.0 172.22.255.100 172.22.255.110;- это не надо, если у меня дхцп будет в локалке использоваться?
а это:
<earlyshellcmd>ifconfig bridge0 create</earlyshellcmd>
<earlyshellcmd>ifconfig bridge0 addm em1 up</earlyshellcmd>
<shellcmd>ifconfig bridge0 addm tap0</shellcmd>
в 2.0 как сделать? народ в ветке про опенвпн писал вроде не работает в 2.0…
- это не надо, если у меня дхцп будет в локалке использоваться?
-
респект!
в указаном вами билде все гуд!
тестим далее! -
по поводу кучи серверов- у вас на 1.2.3 тап интерфейс? бриджем?
да, tap интерфейс и в бридже (делал через гуйню) с lan
кстати, еще вопрос:
на 1.2.3 для брижда надо:
server-bridge 172.22.255.254 255.255.255.0 172.22.255.100 172.22.255.110;
и в конфиг:
<earlyshellcmd>ifconfig bridge0 create</earlyshellcmd>
<earlyshellcmd>ifconfig bridge0 addm em1 up</earlyshellcmd>
<shellcmd>ifconfig bridge0 addm tap0</shellcmd>
-насколько понимаю: server-bridge 172.22.255.254 255.255.255.0 172.22.255.100 172.22.255.110;- это не надо, если у меня дхцп будет в локалке использоваться?
я сервер-бридж не прописывал.вот что у меня в кастом боксе:
dev tap0;mode server;ifconfig 192.168.0.254 255.255.255.0;reneg-sec 172800;tran-window 172800;verb 2;management 127.0.0.1 50120;а это:
<earlyshellcmd>ifconfig bridge0 create</earlyshellcmd>
<earlyshellcmd>ifconfig bridge0 addm em1 up</earlyshellcmd>
<shellcmd>ifconfig bridge0 addm tap0</shellcmd>
в 2.0 как сделать? народ в ветке про опенвпн писал вроде не работает в 2.0…в 2.0 это по всей видимости уже не нужно. я в ближайшие 2-3 дня проверю режим моста, и сообщу как там что-там, если чтоу
будем надеяться что разработчики добавят выбор режима интерфейса в серверном конфиге.. а то боюсь для каждого следующего билда нада будет по новой править гуйню %)
-
tap вроде не обязательно ип выдавать? насколько я понимаю - если есть в локалке дхцп, и я связываю удаленную сеть тар интерфейсами, делаю их в бридж и локльно и удаленно - то удаленная сеть будет брать дхцп с моей локалки?
-
tap вроде не обязательно ип выдавать? насколько я понимаю - если есть в локалке дхцп, и я связываю удаленную сеть тар интерфейсами, делаю их в бридж и локльно и удаленно - то удаленная сеть будет брать дхцп с моей локалки?
по сути, когда мост сделан из lan и tap, у обоих не должно быть ип, но он должен быть у моста тогда - вчера пробывал, не получилось %)
да ну и под pfsense 1.2.3 у мя у обоих есть ип, у моста нет.да, удаленная сеть будет получать ип по дхцп от сервера дхцп из твоей локалки. если опенвпн настроен и галочка у него стоит "статические ип" (это в pfsense 1.2.3).
у меня так и работает счас.на счет 2.0 не знаю особо пака что, на счет того, чтобы сам опенвпн сервер не выдавал ип клиентам, аля как в 1.2.3 опция статического ип
-
только что проверил на 123:
в лан добавил бриджем тар0, в удаленном клиенте тар0 и лан - в бридже, бридж - с ипом - удаленные клиенты получили дхцп с локалки (с пфсенса), но в локалку попасть не могут (хз где проблема) а в удаленные сети (пфсенс подключен к ним по ипсеку) - попадаю
осталось сделать все это на 2.0
кстати "статические ип" - не включал -
объясняю
pfsense 1.2.3
на нем сконфигурированный сервер опенвпн: клиент ту клиент, статик ип, адрессный пул тот же что и на лан интерфейсе, протокол tcp, и у меня вот этоdev tap0;mode server;ifconfig 192.168.0.254 255.255.255.0;reneg-sec 172800;tran-window 172800;verb 2;management 127.0.0.1 50120;для начала, в правилах фаера разрешаем весь трафик на всех интфейсах. точнее сказать, на впн интерфейсе весь трафик разрешаем обязательн.
захожу в интерфейс впн тап и добавляю его в мост с лан. захожу в интерфейс лан и то же самое делаю с ним - добавляю в мост с впнестесна открываем порт. конфигурируем клиентский конфиг опенвпн. и коннектимся. получаем ип адресс по дхцп от сервера внутри сети лан интефейса, либо сконфигурированного на нем самом в pfsense )
собственно у меня работает 0_о
только клиенты не видят друг друга пака что.. что-то с маршрутизацией или конфигом %) собственно мне оно не нужно, поэтому и не капаюсь что там такое.это в кратце, надеюсь ясн будет все)
-
http://redmine.pfsense.org/attachments/258/openvpn.webif.tuntap.server.patch
вот, собственно сделал патч %)
в общем, все очень даже просто.. достаточно было посмотреть клиентский php для гуйни и скопипастить с мелкими правками.