Ubuntu 17.10 - OpenVPN TAP - справка

Question 1

Я являюсь отчаянным в этой точке. Я пытался настроить мост, объединяющийся в сеть на Ubuntu 17.10, и это был ад. Я не могу найти, что любые документы онлайн помогают с установкой. Все те, которые я нашел, записаны для 16,04 и ниже. Может кто-то помогать мне. С этой Сетевой реализацией плана вместо интерфейсов все, кажется, головная боль. Ниже мои конфигурации.

Информация:

router: 10.0.1.1
ip address 10.0.1.100
network 10.0.1.0
gateway 10.0.1.1
dns: 10.0.1.1
netmask 255.255.255.0

admin@SKYNET:~$ cat /etc/netplan/01-netcfg.yaml
This file describes the network interfaces available on your system
For more information, see netplan(5).

network:
version: 2
renderer: networkd
ethernets:
enp0s31f6:
dhcp4: yes
bridges:
br0:
interfaces: [enp0s31f6]
dhcp4: true
optional: true

admin@SKYNET:~$ cat /etc/openvpn/server.conf
port 1194
proto udp
dev tap
ca ca.crt
cert server.crt
key server.key
dh dh2048.pem
ifconfig-pool-persist ipp.txt
server-bridge 10.0.1.100 255.255.255.0 10.0.1.230 10.0.1.254
push "route 10.0.1.0 255.255.255.0 10.0.1.1"
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 10.0.1.1"
client-to-client
keepalive 10 120
tls-auth ta.key 0
cipher AES-256-CBC
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3
explicit-exit-notify 1

admin@SKYNET:~$ cat /etc/openvpn/easy-rsa/keys/client.ovpn
client
dev tap
proto udp
remote 1194
resolv-retry infinite
nobind
user nobody
group nogroup
persist-key
persist-tun
ca ca.crt
cert client.crt
key client.key
remote-cert-tls server
tls-auth ta.key 1
cipher AES-256-CBC
comp-lzo
verb 3

Я выполнил шаги от этой страницы на справке Ubuntu Wiki, но конфигурация интерфейса Prepare для образования моста на шаге сервера, кажется, не работает начиная с интерфейсов не там больше. Не уверенный, как принести tap0 /вниз. У меня, кажется, есть проблема маршрутизации, когда клиенты соединяются.

[admin@SKYNET:~$ ifconfig br0
br0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 10.0.1.100 netmask 255.255.255.0 broadcast 10.0.1.255
inet6 fe80::c96:daff:feda:65b8 prefixlen 64 scopeid 0x20
ether 0e:96:da:da:65:b8 txqueuelen 1000 (Ethernet)
RX packets 1327461 bytes 2776343355 (2.7 GB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 953269 bytes 1907343180 (1.9 GB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0

[admin@SKYNET:~$ ifconfig tap0
tap0: flags=4098<BROADCAST,MULTICAST> mtu 1500
ether 0a:82:dd:10:85:4d txqueuelen 100 (Ethernet)
RX packets 0 bytes 0 (0.0 B)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 0 bytes 0 (0.0 B)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0

Также я добавил правила брандмауэра

iptables -A INPUT -i tap0 -j ACCEPT
iptables -A INPUT -i br0 -j ACCEPT
iptables -A FORWARD -i br0 -j ACCEPT

Что я делаю неправильно?

Question 2

Вы не хотите настраивать адреса и на мосту и на физическом интерфейсе, который является тем, что происходит, когда у Вас есть dhcp4: истинный набор в обоих местах. Для соответствия конфигурации, описанной в https://help.ubuntu.com/lts/serverguide/openvpn.html.en#openvpn-advanced-config, netplan yaml должен быть похожим:

$ cat /etc/netplan/01-netcfg.yaml # This file describes the network interfaces available on your system # For more information, see netplan(5).

network: version: 2 renderer: networkd ethernets: enp0s31f6: dhcp4: no bridges: br0: interfaces: [enp0s31f6] dhcp4: no addresses: [10.0.1.100/24] gateway4: 10.0.1.1 nameservers: addresses: [10.0.1.1] Обратите внимание, что это использует статическую конфигурацию адреса. DHCP также работает, но не имеет смысла иметь другие файлы конфигурации в Вашей системе (openvpn.conf) со статически настроенной информацией о IP, но использовать DHCP для сети хоста.

Вы не должны объявлять этот "дополнительный" интерфейс, который только касается того, что другие systemd единицы будут ожидать этого интерфейса, который будет настроен при начальной загрузке.

Другая часть конфигурации ifupdown, которая не переводит в netplan, является командой 'promisc': up ip link set $IFACE up promisc on. Чтобы сделать эквивалент в системе с помощью netplan, удостоверьтесь, чтобы Вы имели networkd-dispatcher установленный пакет, затем установите следующий сценарий как /usr/lib/networkd-dispatcher/dormant.d/promisc_bridge (принадлежавший корню, отмеченному исполняемому файлу):

#!/bin/sh set -e if [ "$IFACE" = br0 ]; then # no networkd-dispatcher event for 'carrier' on the physical interface ip link set eth0 up promisc on fi

slangasek · Accepted Answer · 29 October 2019 в 07:55