Dhcp trafiği openvpn köprüsüyle nasıl durdurulur?

1

Bazı durumlarda, openvpn köprüsüne bağlı iki openwrt yönlendiricim var.

Trafik iptables-mod-extra ile iptables tarafından durdurulabilir:

iptables -I FORWARD -m physdev --physdev-out tap0 -p udp --dport 67:68 -j DROP
iptables -I FORWARD -m physdev --physdev-in tap0 -p udp --dport 67:68 -j DROP
iptables -I INPUT -m physdev --physdev-in tap0 -p udp --dport 67:68 -j DROP

Ayrıca trafik abtables tarafından durdurulabilir:

ebtables -I FORWARD -i tap0 -p IPv4 --ip-protocol udp --ip-destination-port 67:68 -j DROP 
ebtables -I FORWARD -o tap0 -p IPv4 --ip-protocol udp --ip-destination-port 67:68 -j DROP 
ebtables -I INPUT -i tap0 -p IPv4 --ip-protocol udp --ip-destination-port 67:68 -j DROP 
ebtables -I OUTPUT -o tap0 -p IPv4 --ip-protocol udp --ip-destination-port 67:68 -j DROP
networking  router  dhcp  openvpn  bridge 
5f0f5
kaynak
Doğru anlarsam, iki yayın bağlayan bir VPN köprüsüyle bir yayın etki alanında iki DHCP sunucunuz olmaya çalışıyorsunuz. DHCP trafiğini köprüden engellemek istiyorsunuz. Neden iki DHCP sunucusu istediğinizi ve sadece bir tanesini değil - diğer tarafında da bir yedekleme istediğinizi açıklayabilir misiniz? Ve neden bir köprü kullanmalı ve rotalamıyor (tun)? Tcpdump ile neler olup bittiğini incelemeye çalıştınız mı?
Zrin
"1)", "2)" ve "3)" den sonra Macbook üzerindeki yönlendirme tablosunu kontrol edin, her iki yönlendiricideki tcpdump çıktısını izlerken Macbook'tan 10.0.0.1, 10.0.0.5 ve diğer aygıtları pinglemeye çalışın - tcpdump man'ı kontrol edin sayfa ... Bunun sebebini bulmanıza yardımcı olacaktır.
Zrin
iyi, şimdi neden var - ARP'nin cevabı "10.0.0.5 Kimde?" Mac’e geri dönmüyor. Belki bazı önbellek nedeniyle? Birkaç dakika sonra denersen ne olur? Ayrıca aynı Macbook dışında diğer cihazlarda da olup olmadığını kontrol edin.
Zrin
Güzel, ARP'nin 10.0.0.5'ten gelen cevabının 10.0.0.1'e geri dönmediğini tespit ettiniz. Sorunun olası nedeni budur. 10.0.0.5, ARP'nin yanlış bir arayüze cevap verdiğini, muhtemelen daha önce cihaz (Macbook) 'un diğer arayüze (Wi-Fi) bağlı olduğu ve daha önce unutmadığı "öğrendiği" için gönderiyor. ne de Macbook'un MAC adresi ile ARP isteği VPN tünelinden / ilgili TAP arayüzü üzerinden geldiğinde iç tabloları güncellememiştir. Sorunuzu düzenlemenizi ve tcpdump ve ARP paketleriyle edindiğiniz gözlemlerinizi eklemenizi öneririm.
Zrin

Yanıtlar:

2

VPN köprüsü ve DHCP ayırma ile ilgili kurulumunuz doğru.

Sorun, (muhtemelen) ikinci AP / yönlendiricinizdeki "10.0.0.5" içinde, dahili olarak bir cihazın Wi-Fi arabirimine bağlı olduğunu ve aynı paketlere sahip olduğunda bu bilgiyi güncellemeyen olduğunu hatırlatan bir problemdir. MAC adresi başka bir arayüzden gelir, sizin durumunuzda VPN tünelinin TAP arayüzü.

Yine "10.0.0.1" e bağlanan cihazınız ("Macbook"), VPN tünelinden "10.0.0.5" e giden, ancak cevap alamayan veya yanıtlamayan "10.0.0.5" olan ARP istekleri gönderir doğru (şimdi TAP) arayüzüne yönlendirilir.

Köprü kurulumu yapılandırmanıza uygunsa, VPN TAP arayüzünün AP / yönlendirici içinde nasıl köprülendiğini kontrol etmeniz gerekir.

ARP yanıtlarının nereye gittiğini görmek için testlerinizi tekrarlamanızı ve söz konusu arayüzlerde tcpdump kayıtlarını, ayrıca dahili köprüyü ve / ve Wi-Fi arayüzlerini yakalamanızı öneririm. AP / yönlendiricinizde sorun var.

Zrin
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.