https://opennet.dev/openforum/vsluhforumID1/93706.html Конфигурация:<br><br>Debian 6.0 Squeeze<br><br>OpenVPN 2.2.1(from backports)<br><br>Задача - соединить удалённых клиентов с локальной сетью так, чтобы у них были одинаковые сеть/маска. Я использую OpenVPN TAP интерфейс, соединённый с помощью bridge с ethernet-интерфейсом в локальную сеть. Ethernet-интерфейс - bond0.200. Это 200 VLAN над bond-объединением 2-х обычных интерфейсов(bond-mode balance-alb)<br><br>И локальные, и удалённые клиенты могут пинговать и обмениваться данными с сервером, но не пингуют друг друга.<br><br>С помощью tshark видно, что пакеты, отправленные удалённым клиентом локальному, появляются в tap200 и br200, но не появляются в bond0.200. При этом MAC-адрес локального клиента есть у удалённого клиента в кеше arp, и наоборот О_о<br><br>Фаервол/антивирус вырублены.<br><br>MTU на eth2, tap200, bond200 совпадают: 1500.<br><br>Куда копать дальше?<br><br>/proc/sys/net/ipv4/ip_forward = 1<br><br>[b]/etc/network/interfaces:[/b]<br><br>[code]<br>auto bond0.200<br>iface bond0.200 inet manual<br> vlan_raw_device bond0<br> up ifconfig bond0.2 https://opennet.dev/openforum/vsluhforumID1/93706.html#5 Tue, 21 Aug 2012 17:41:20 GMT &gt; Хитро устроено. Спасибо.<br>&gt; ИМХО логичнее всё же создавать TAP'ы скриптами: работает сервер - есть соотв. <br>&gt; интерфейс, не работает - нет интерфейса.<br><br>Это ваше имхо. <br><br>Мое имхо - все интерфейсы должны быть всегда. <br>Тогда в них можно прописывать маршруты, и они тоже будут всегда..<br>Это удобно для каналов, которые работают большую часть времени (типа постоянно).<br><br>Хотя скрипты тоже имеют место быть. Если это "более клиентское подключение" и работает "менее постоянно".<br> https://opennet.dev/openforum/vsluhforumID1/93706.html#4 Mon, 20 Aug 2012 18:32:21 GMT &gt; Но какого хрена? bridge работает на уровне L2, эти пакеты не должны <br>&gt; проходить через FORWARD. Ничего не понимаю <br><br>Видишь ли, в чём дело, Пух... Вот я, например, _фильтрующим_мостом_ (именно iptables, не ebtables на мосту) пользовался, а эти ваши восьмиуровневые модели, кому они сдались. &lt;/университетиев не кончали&gt;<br> https://opennet.dev/openforum/vsluhforumID1/93706.html#3 Mon, 20 Aug 2012 18:27:36 GMT Хитро устроено. Спасибо.<br><br>ИМХО логичнее всё же создавать TAP'ы скриптами: работает сервер - есть соотв. интерфейс, не работает - нет интерфейса.<br> https://opennet.dev/openforum/vsluhforumID1/93706.html#2 Mon, 20 Aug 2012 18:14:00 GMT &gt; Проблема решилась так: <br>&gt; [code] <br>&gt; iptables -A FORWARD -i br200 -j ACCEPT <br>&gt; iptables -A FORWARD -o br200 -j ACCEPT <br>&gt; [/code] <br>&gt; Это конечно грубое решение, потом поаккуратнее правила выставлю.<br>&gt; Но какого хрена? bridge работает на уровне L2, эти пакеты не должны <br>&gt; проходить через FORWARD. Ничего не понимаю <br><br>там в sysctl есть ключики, которые этим управляют<br><br>sysctl -a &#124;grep bridge<br><br><br>2) /etc/network/interfaces: <br><br>добавляем<br><br># OpenVPN<br>auto tap200<br>iface tap200 inet manual<br>up ifconfig $IFACE up<br>down ifconfig $IFACE down<br>pre-up openvpn --mktun --dev $IFACE<br>post-down openvpn --rmtun --dev $IFACE<br><br>потом правим bridge_ports -добавляем туда тап200, из конфига опенвпн-а выкидываем ап-даун скрипты, имхо промиск не нужен совсем, бриджинг сам всё сделает.<br><br> https://opennet.dev/openforum/vsluhforumID1/93706.html#1 Mon, 20 Aug 2012 17:20:25 GMT Проблема решилась так:<br><br>[code]<br>iptables -A FORWARD -i br200 -j ACCEPT<br>iptables -A FORWARD -o br200 -j ACCEPT<br>[/code]<br><br>Это конечно грубое решение, потом поаккуратнее правила выставлю.<br><br>Но какого хрена? bridge работает на уровне L2, эти пакеты не должны проходить через FORWARD. Ничего не понимаю<br>