LINUX.ORG.RU
ФорумAdmin

Broadcast в openvpn

 , ,


0

1

Здравствуйте.

Подскажите кто знает, почему то не бегают broadcast пакеты от dlna(minidlna) сервера через OpenVPN. На что смотреть уже не знаю.

server.conf:

port 1194
proto udp
dev tap
ca ca.crt
cert server.crt
key server.key
dh dh2048.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
keepalive 10 120
tls-auth ta.key 0
cipher AES-256-CBC
persist-key
persist-tun
status openvpn-status.log
verb 3
explicit-exit-notify 1
client.conf:
client
dev tap
proto udp
remote xx.xx.xx.xx 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
remote-cert-tls server
tls-auth ta.key 1
cipher AES-256-CBC
verb 3


Ответ на: комментарий от rumgot

Да, бродкасты L2. Что нужно описать подробнее? Если настройки какие то, то какие?

Вообще задача стоит в том что бы отдавать поток dlna с моего домашнего сервера через интернет. Сервер выходит в сеть из домашней сети, для этого на маршрутизаторе проброшен порт 1194.

torm7 ()
Ответ на: комментарий от anonymous

tap vpn-а сбриджуй с эзернетом на обеих сторонах

Так у меня получится что будет один широковещательный домен на 2 интерфейса. Нельзя ли сделать на каждом интерфейсе отдельный домен?

torm7 ()
Ответ на: комментарий от rumgot

А зачем там броадкаст?

Вообще задача стоит в том что бы отдавать поток dlna с моего домашнего сервера через интернет. Сервер выходит в сеть из домашней сети, для этого на маршрутизаторе проброшен порт 1194.

torm7 ()
Ответ на: комментарий от rumgot

Не ответил ты. Нельзя просто по ip:port подключаться? Для чего именно броадкаст используется в dlna?

Я не знаю как точно работает dlna, но без l2 он работать не будет. Насколько я знаю он по средствам broadcast сообщает устройствам о своем присутствии. Точнее чем в Википедии я не расскажу. Для меня смысл заключается в том что натравив сервер на директорию с медиаданными, её содержимое транслируется в сеть. При этом управление воспроизведением происходим с клиента(в моем случае с телевизора).

torm7 ()
Ответ на: комментарий от torm7

А понял. Я думал на клиенте можно просто указать ip:port и все.

rumgot ★★★★★ ()

Соединяешь в бридж tap и eth.
Прописываешь в конфиг сервера server-bridge и убрать server 10.8.0.0 255.255.255.0

При подключении клиент получает настройки сети так же, как если бы подключился кабелем в сеть на стороне сервера.

Radjah ★★★★★ ()
Ответ на: комментарий от Radjah

Что то не работает: На сервере ip addr show:

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
2: enp2s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq master br0 state UP group default qlen 1000
    link/ether a0:b3:cc:eb:05:e5 brd ff:ff:ff:ff:ff:ff
    inet 192.168.0.4/24 brd 192.168.0.255 scope global enp2s0
       valid_lft forever preferred_lft forever
    inet6 fe80::a2b3:ccff:feeb:5e5/64 scope link 
       valid_lft forever preferred_lft forever
7: tap0: <BROADCAST,MULTICAST,PROMISC,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast master br0 state UNKNOWN group default qlen 100
    link/ether 92:e9:ce:30:46:b7 brd ff:ff:ff:ff:ff:ff
    inet6 fe80::90e9:ceff:fe30:46b7/64 scope link 
       valid_lft forever preferred_lft forever
8: br0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
    link/ether 92:e9:ce:30:46:b7 brd ff:ff:ff:ff:ff:ff
    inet 192.168.0.20/24 brd 192.168.0.255 scope global br0
       valid_lft forever preferred_lft forever
    inet6 fe80::60db:97ff:fe20:54e4/64 scope link 
       valid_lft forever preferred_lft forever
brctl show:
bridge name     bridge id               STP enabled     interfaces
br0             8000.0252e05377ee       no              enp2s0
                                                        tap0
server.conf:
port 1194
proto udp
dev tap
ca ca.crt
cert server.crt
key server.key
dh dh2048.pem
server-bridge 10.8.0.4 255.255.255.0 10.8.0.50 10.8.0.100
ifconfig-pool-persist ipp.txt
keepalive 10 120
tls-auth ta.key 0
cipher AES-256-CBC
persist-key
persist-tun
status openvpn-status.log
verb 3
explicit-exit-notify 1
script-security 2
up "up br0 eth0"
down "down br0 eth0"
down-pre

torm7 ()
Ответ на: комментарий от torm7

server-bridge 10.8.0.4 255.255.255.0 10.8.0.50 10.8.0.100

Просто server-bridge

ifconfig-pool-persist ipp.txt

Это тоже не надо. У тебя на L2 за адреса DHCP-сервер отвечает.

Radjah ★★★★★ ()
Последнее исправление: Radjah (всего исправлений: 1)
Ответ на: комментарий от torm7

У enp2s0 прописасан ip что тоже не правильно

anc ★★★★★ ()
Ответ на: комментарий от Radjah

Вроде подключился, но broadcast все равно не ходит и TAP интерфейс надо подключать в мост руками и IP ему не выдается:

server# /etc/network/interfaces:

source /etc/network/interfaces.d/*
auto lo
iface lo inet loopback
auto enp2s0
allow-hotplug enp2s0
iface enp2s0 inet manual
auto br0
iface br0 inet dhcp
   bridge_ports enp2s0
server# brctl show:
bridge name     bridge id               STP enabled     interfaces
br0             8000.3265b6b70a29       no              enp2s0
                                                        tap0
server# ip addr show:
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
2: enp2s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq master br0 state UP group default qlen 1000
    link/ether a0:b3:cc:eb:05:e5 brd ff:ff:ff:ff:ff:ff
3: br0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
    link/ether 32:65:b6:b7:0a:29 brd ff:ff:ff:ff:ff:ff
    inet 192.168.0.4/24 brd 192.168.0.255 scope global br0
       valid_lft forever preferred_lft forever
    inet6 fe80::a2b3:ccff:feeb:5e5/64 scope link 
       valid_lft forever preferred_lft forever
4: tap0: <BROADCAST,MULTICAST> mtu 1500 qdisc noop master br0 state DOWN group default qlen 100
    link/ether 32:65:b6:b7:0a:29 brd ff:ff:ff:ff:ff:ff
server# server.conf
port 1194
proto udp
dev tap
ca ca.crt
cert server.crt
key server.key
dh dh2048.pem
server-bridge
keepalive 10 120
tls-auth ta.key 0
cipher AES-256-CBC
persist-key
persist-tun
status openvpn-status.log
verb 3
explicit-exit-notify 1
script-security 2
client# ip addr show
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
2: enp1s0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc pfifo_fast state DOWN group default qlen 1000
    link/ether 00:e0:4c:68:2b:9e brd ff:ff:ff:ff:ff:ff
3: wls7: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1280 qdisc mq state UP group default qlen 1000
    link/ether 48:51:b7:59:cc:0c brd ff:ff:ff:ff:ff:ff
    inet 192.168.43.239/24 brd 192.168.43.255 scope global dynamic wls7
       valid_lft 3230sec preferred_lft 3230sec
    inet6 fe80::4a11:fbe7:c13:c60d/64 scope link 
       valid_lft forever preferred_lft forever
36: tap0: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN group default qlen 100
    link/ether 46:6f:62:a3:39:9d brd ff:ff:ff:ff:ff:ff
client# client.conf
client
dev tap
proto udp
remote xx.xx.xx.xx 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
remote-cert-tls server
tls-auth ta.key 1
cipher AES-256-CBC
verb 3

torm7 ()
Ответ на: комментарий от Radjah

client# /var/log/syslog:

Feb  8 10:57:08 rav-mini systemd-udevd[26378]: Could not generate persistent MAC address for tap0: No such file or directory
Feb  8 10:57:08 rav-mini NetworkManager[569]: <info>  [1518076628.7765] manager: (tap0): new Tun device (/org/freedesktop/NetworkManager/Devices/42)
Feb  8 10:57:08 rav-mini NetworkManager[569]: <info>  [1518076628.7817] devices added (path: /sys/devices/virtual/net/tap0, iface: tap0)
Feb  8 10:57:08 rav-mini NetworkManager[569]: <info>  [1518076628.7821] device added (path: /sys/devices/virtual/net/tap0, iface: tap0): no ifupdown configuration found.
server# /var/log/syslog:
Feb  8 10:57:07 server ovpn-server[4113]: xx.xx.xx.xx:51328 TLS: Initial packet from [AF_INET]xx.xx.xx.xx:51328, sid=557281b5 56fbd7f9
Feb  8 10:57:07 server ovpn-server[4113]: xx.xx.xx.xx:51328 VERIFY OK: depth=1, C=RU, ST=NN, L=N.Novgorod, O=videoserver, OU=MyOrganizationalUnit, CN=Fort-Funston CA, name=EasyRSA, emailAddress=me@myhost.mydomain
Feb  8 10:57:07 server ovpn-server[4113]: xx.xx.xx.xx:51328 VERIFY OK: depth=0, C=RU, ST=NN, L=N.Novgorod, O=Fort-Funston, OU=MyOrganizationalUnit, CN=client1, name=EasyRSA, emailAddress=me@myhost.mydomain
Feb  8 10:57:07 server ovpn-server[4113]: xx.xx.xx.xx:51328 peer info: IV_VER=2.4.0
Feb  8 10:57:07 server ovpn-server[4113]: xx.xx.xx.xx:51328 peer info: IV_PLAT=linux
Feb  8 10:57:07 server ovpn-server[4113]: xx.xx.xx.xx:51328 peer info: IV_PROTO=2
Feb  8 10:57:07 server ovpn-server[4113]: xx.xx.xx.xx:51328 peer info: IV_NCP=2
Feb  8 10:57:07 server ovpn-server[4113]: xx.xx.xx.xx:51328 peer info: IV_LZ4=1
Feb  8 10:57:07 server ovpn-server[4113]: xx.xx.xx.xx:51328 peer info: IV_LZ4v2=1
Feb  8 10:57:07 server ovpn-server[4113]: xx.xx.xx.xx:51328 peer info: IV_LZO=1
Feb  8 10:57:07 server ovpn-server[4113]: xx.xx.xx.xx:51328 peer info: IV_COMP_STUB=1
Feb  8 10:57:07 server ovpn-server[4113]: xx.xx.xx.xx:51328 peer info: IV_COMP_STUBv2=1
Feb  8 10:57:07 server ovpn-server[4113]: xx.xx.xx.xx:51328 peer info: IV_TCPNL=1
Feb  8 10:57:07 server ovpn-server[4113]: xx.xx.xx.xx:51328 Control Channel: TLSv1.2, cipher TLSv1/SSLv3 ECDHE-RSA-AES256-GCM-SHA384, 2048 bit RSA
Feb  8 10:57:07 server ovpn-server[4113]: xx.xx.xx.xx:51328 [client1] Peer Connection Initiated with [AF_INET]xx.xx.xx.xx:51328
Feb  8 10:57:07 server ovpn-server[4113]: MULTI: new connection by client 'client1' will cause previous active sessions by this client to be dropped.  Remember to use the --duplicate-cn option if you want multiple clients using the same
Feb  8 10:57:07 server ovpn-server[4113]: MULTI: no dynamic or static remote --ifconfig address is available for client1/xx.xx.xx.xx:51328
Feb  8 10:57:08 server ovpn-server[4113]: client1/xx.xx.xx.xx:51328 PUSH: Received control message: 'PUSH_REQUEST'
Feb  8 10:57:08 server ovpn-server[4113]: client1/xx.xx.xx.xx:51328 SENT CONTROL [client1]: 'PUSH_REPLY,route-gateway dhcp,ping 10,ping-restart 120,peer-id 1,cipher AES-256-GCM' (status=1)
Feb  8 10:57:08 server ovpn-server[4113]: client1/xx.xx.xx.xx:51328 Data Channel Encrypt: Cipher 'AES-256-GCM' initialized with 256 bit key
Feb  8 10:57:08 server ovpn-server[4113]: client1/xx.xx.xx.xx:51328 Data Channel Decrypt: Cipher 'AES-256-GCM' initialized with 256 bit key

torm7 ()
Ответ на: комментарий от Radjah

Не знаю куда они пишутся, при старте из консоли пишется:

client# openvpn client.conf

Thu Feb  8 10:57:07 2018 OpenVPN 2.4.0 x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [PKCS11] [MH/PKTINFO] [AEAD] built on Jul 18 2017
Thu Feb  8 10:57:07 2018 library versions: OpenSSL 1.0.2l  25 May 2017, LZO 2.08
Thu Feb  8 10:57:07 2018 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Feb  8 10:57:07 2018 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Feb  8 10:57:07 2018 TCP/UDP: Preserving recently used remote address: [AF_INET]xx.xx.xx.xx:1194
Thu Feb  8 10:57:07 2018 Socket Buffers: R=[212992->212992] S=[212992->212992]
Thu Feb  8 10:57:07 2018 UDP link local: (not bound)
Thu Feb  8 10:57:07 2018 UDP link remote: [AF_INET]xx.xx.xx.xx:1194
Thu Feb  8 10:57:07 2018 TLS: Initial packet from [AF_INET]xx.xx.xx.xx:1194, sid=d986d2b7 30f7ce0d
Thu Feb  8 10:57:07 2018 VERIFY OK: depth=1, C=RU, ST=NN, L=N.Novgorod, O=videoserver, OU=MyOrganizationalUnit, CN=Fort-Funston CA, name=EasyRSA, emailAddress=me@myhost.mydomain
Thu Feb  8 10:57:07 2018 Validating certificate key usage
Thu Feb  8 10:57:07 2018 ++ Certificate has key usage  00a0, expects 00a0
Thu Feb  8 10:57:07 2018 VERIFY KU OK
Thu Feb  8 10:57:07 2018 Validating certificate extended key usage
Thu Feb  8 10:57:07 2018 ++ Certificate has EKU (str) TLS Web Server Authentication, expects TLS Web Server Authentication
Thu Feb  8 10:57:07 2018 VERIFY EKU OK
Thu Feb  8 10:57:07 2018 VERIFY OK: depth=0, C=RU, ST=NN, L=N.Novgorod, O=videoserver, OU=MyOrganizationalUnit, CN=server, name=EasyRSA, emailAddress=me@myhost.mydomain
Thu Feb  8 10:57:07 2018 Control Channel: TLSv1.2, cipher TLSv1/SSLv3 ECDHE-RSA-AES256-GCM-SHA384, 2048 bit RSA
Thu Feb  8 10:57:07 2018 [server] Peer Connection Initiated with [AF_INET]xx.xx.xx.xx:1194
Thu Feb  8 10:57:08 2018 SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)
Thu Feb  8 10:57:08 2018 PUSH: Received control message: 'PUSH_REPLY,route-gateway dhcp,ping 10,ping-restart 120,peer-id 1,cipher AES-256-GCM'
Thu Feb  8 10:57:08 2018 OPTIONS IMPORT: timers and/or timeouts modified
Thu Feb  8 10:57:08 2018 OPTIONS IMPORT: route-related options modified
Thu Feb  8 10:57:08 2018 OPTIONS IMPORT: peer-id set
Thu Feb  8 10:57:08 2018 OPTIONS IMPORT: adjusting link_mtu to 1656
Thu Feb  8 10:57:08 2018 OPTIONS IMPORT: data channel crypto options modified
Thu Feb  8 10:57:08 2018 Data Channel Encrypt: Cipher 'AES-256-GCM' initialized with 256 bit key
Thu Feb  8 10:57:08 2018 Data Channel Decrypt: Cipher 'AES-256-GCM' initialized with 256 bit key
Thu Feb  8 10:57:08 2018 TUN/TAP device tap0 opened
Thu Feb  8 10:57:08 2018 TUN/TAP TX queue length set to 100
Thu Feb  8 10:57:08 2018 Initialization Sequence Completed

torm7 ()
Ответ на: комментарий от Radjah

Если сделать с выводом, то пишет:

dhclient -v tap0

Internet Systems Consortium DHCP Client 4.3.5
Copyright 2004-2016 Internet Systems Consortium.
All rights reserved.
For info, please visit https://www.isc.org/software/dhcp/

Listening on LPF/tap0/ca:20:ac:92:d3:02
Sending on   LPF/tap0/ca:20:ac:92:d3:02
Sending on   Socket/fallback
DHCPDISCOVER on tap0 to 255.255.255.255 port 67 interval 8
DHCPDISCOVER on tap0 to 255.255.255.255 port 67 interval 9
DHCPDISCOVER on tap0 to 255.255.255.255 port 67 interval 10
DHCPDISCOVER on tap0 to 255.255.255.255 port 67 interval 7
DHCPDISCOVER on tap0 to 255.255.255.255 port 67 interval 11
DHCPDISCOVER on tap0 to 255.255.255.255 port 67 interval 16
No DHCPOFFERS received.
No working leases in persistent database - sleeping.

torm7 ()
Ответ на: комментарий от Radjah

Делаю:

# openvpn client.conf
# ip link set dev tap0 up
# dhclient -v tap0

Получаю:

Internet Systems Consortium DHCP Client 4.3.5                                                                                                                                                                                               
Copyright 2004-2016 Internet Systems Consortium.                                                                                                                                                                                            
All rights reserved.                                                                                                                                                                                                                        
For info, please visit https://www.isc.org/software/dhcp/                                                                                                                                                                                   
                                                                                                                                                                                                                                            
Listening on LPF/tap0/36:7b:be:12:36:82                                                                                                                                                                                                     
Sending on   LPF/tap0/36:7b:be:12:36:82                                                                                                                                                                                                     
Sending on   Socket/fallback                                                                                                                                                                                                                
DHCPDISCOVER on tap0 to 255.255.255.255 port 67 interval 3                                                                                                                                                                                  
DHCPDISCOVER on tap0 to 255.255.255.255 port 67 interval 6                                                                                                                                                                                  
DHCPDISCOVER on tap0 to 255.255.255.255 port 67 interval 6                                                                                                                                                                                  
DHCPDISCOVER on tap0 to 255.255.255.255 port 67 interval 7                                                                                                                                                                                  
DHCPDISCOVER on tap0 to 255.255.255.255 port 67 interval 13                                                                                                                                                                                 
DHCPDISCOVER on tap0 to 255.255.255.255 port 67 interval 12                                                                                                                                                                                 
DHCPDISCOVER on tap0 to 255.255.255.255 port 67 interval 13                                                                                                                                                                                 
No DHCPOFFERS received.                                                                                                                                                                                                                     
No working leases in persistent database - sleeping.

torm7 ()
Ответ на: комментарий от Radjah

Нет, клиент dhcp сам его поднимет. А каким методом его натравить на tap это другой вопрос.

anc ★★★★★ ()
Ответ на: комментарий от torm7

Больше похоже на проблемы fw. Ради интереса проверил на debian в кач-ве клиента, без «извратов» с автоматическим запуском dhclient. Т.е. как у вас, запустили ovpn клиент, дождались пока поднялись, запустили dhclient -v tap10 (tap10 это я у себя такой номер дал). Усе работает.

anc ★★★★★ ()
Ответ на: комментарий от anc

И еще вариант с чего начать, что бы на dhcp не думать.
Прописать почти как у вас было в самом начале

server-bridge gw-you-network netmask-you-network ip-from ip-to
Где
gw-you-network - адрес шлюза в вашей сети сервера (192.168.0.GW)
netmask-you-network - маска для сети серверной сетки (255.255.255.0)
ip-from ip-to - диапазон выдаваемых адресов, возьмите не используемый на момент теста в вашей сети. Предположим 192.168.0.200 192.168.0.202

anc ★★★★★ ()
Ответ на: комментарий от anc

Закомментировал в server.conf ;server-bridge установил server-bridge 192.168.0.1 255.255.255.0 192.168.0.100 192.168.0.150

При подключении openvpn client.conf выдается:

Fri Feb  9 13:43:49 2018 OpenVPN 2.4.0 x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [PKCS11] [MH/PKTINFO] [AEAD] built on Jul 18 2017
Fri Feb  9 13:43:49 2018 library versions: OpenSSL 1.0.2l  25 May 2017, LZO 2.08
Fri Feb  9 13:43:49 2018 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Feb  9 13:43:49 2018 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Feb  9 13:43:49 2018 TCP/UDP: Preserving recently used remote address: [AF_INET]xx.xx.xx.xx:1194
Fri Feb  9 13:43:49 2018 Socket Buffers: R=[212992->212992] S=[212992->212992]
Fri Feb  9 13:43:49 2018 UDP link local: (not bound)
Fri Feb  9 13:43:49 2018 UDP link remote: [AF_INET]xx.xx.xx.xx:1194
Fri Feb  9 13:43:49 2018 TLS: Initial packet from [AF_INET]xx.xx.xx.xx:1194, sid=014883c5 052a6b60
Fri Feb  9 13:43:49 2018 VERIFY OK: depth=1, C=RU, ST=NN, L=N.Novgorod, O=videoserver, OU=MyOrganizationalUnit, CN=Fort-Funston CA, name=EasyRSA, emailAddress=me@myhost.mydomain
Fri Feb  9 13:43:49 2018 Validating certificate key usage
Fri Feb  9 13:43:49 2018 ++ Certificate has key usage  00a0, expects 00a0
Fri Feb  9 13:43:49 2018 VERIFY KU OK
Fri Feb  9 13:43:49 2018 Validating certificate extended key usage
Fri Feb  9 13:43:49 2018 ++ Certificate has EKU (str) TLS Web Server Authentication, expects TLS Web Server Authentication
Fri Feb  9 13:43:49 2018 VERIFY EKU OK
Fri Feb  9 13:43:49 2018 VERIFY OK: depth=0, C=RU, ST=NN, L=N.Novgorod, O=videoserver, OU=MyOrganizationalUnit, CN=server, name=EasyRSA, emailAddress=me@myhost.mydomain
Fri Feb  9 13:43:50 2018 Control Channel: TLSv1.2, cipher TLSv1/SSLv3 ECDHE-RSA-AES256-GCM-SHA384, 2048 bit RSA
Fri Feb  9 13:43:50 2018 [server] Peer Connection Initiated with [AF_INET]xx.xx.xx.xx:1194
Fri Feb  9 13:43:51 2018 SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)
Fri Feb  9 13:43:51 2018 PUSH: Received control message: 'PUSH_REPLY,route-gateway 192.168.0.1,ping 10,ping-restart 120,ifconfig 192.168.0.100 255.255.255.0,peer-id 0,cipher AES-256-GCM'
Fri Feb  9 13:43:51 2018 OPTIONS IMPORT: timers and/or timeouts modified
Fri Feb  9 13:43:51 2018 OPTIONS IMPORT: --ifconfig/up options modified
Fri Feb  9 13:43:51 2018 OPTIONS IMPORT: route-related options modified
Fri Feb  9 13:43:51 2018 OPTIONS IMPORT: peer-id set
Fri Feb  9 13:43:51 2018 OPTIONS IMPORT: adjusting link_mtu to 1656
Fri Feb  9 13:43:51 2018 OPTIONS IMPORT: data channel crypto options modified
Fri Feb  9 13:43:51 2018 Data Channel Encrypt: Cipher 'AES-256-GCM' initialized with 256 bit key
Fri Feb  9 13:43:51 2018 Data Channel Decrypt: Cipher 'AES-256-GCM' initialized with 256 bit key
Fri Feb  9 13:43:51 2018 TUN/TAP device tap0 opened
Fri Feb  9 13:43:51 2018 TUN/TAP TX queue length set to 100
Fri Feb  9 13:43:51 2018 do_ifconfig, tt->did_ifconfig_ipv6_setup=0
Fri Feb  9 13:43:51 2018 /sbin/ip link set dev tap0 up mtu 1500
Fri Feb  9 13:43:51 2018 /sbin/ip addr add dev tap0 192.168.0.100/24 broadcast 192.168.0.255
Fri Feb  9 13:43:51 2018 Initialization Sequence Completed

client# ip addr show

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
2: enp1s0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc pfifo_fast state DOWN group default qlen 1000
    link/ether 00:e0:4c:68:2b:9e brd ff:ff:ff:ff:ff:ff
3: wls7: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1280 qdisc mq state UP group default qlen 1000
    link/ether 48:51:b7:59:cc:0c brd ff:ff:ff:ff:ff:ff
    inet 192.168.43.239/24 brd 192.168.43.255 scope global dynamic wls7
       valid_lft 2839sec preferred_lft 2839sec
    inet6 fe80::4a11:fbe7:c13:c60d/64 scope link 
       valid_lft forever preferred_lft forever
58: tap0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN group default qlen 100
    link/ether c2:c7:ee:1c:cc:99 brd ff:ff:ff:ff:ff:ff
    inet 192.168.0.100/24 brd 192.168.0.255 scope global tap0
       valid_lft forever preferred_lft forever
    inet6 fe80::c0c7:eeff:fe1c:cc99/64 scope link 
       valid_lft forever preferred_lft forever

client# ip rou show

default via 192.168.43.1 dev wls7 proto static metric 600 
192.168.0.0/24 dev tap0 proto kernel scope link src 192.168.0.100 
192.168.43.0/24 dev wls7 proto kernel scope link src 192.168.43.239 metric 600

/var/log/syslog на сервере:

Feb  9 13:57:30 server ovpn-server[12747]: yy.yy.yy.yy:11680 TLS: Initial packet from [AF_INET]yy.yy.yy.yy:11680, sid=6e5a3bc7 f54413d9
Feb  9 13:57:30 server ovpn-server[12747]: yy.yy.yy.yy:11680 VERIFY OK: depth=1, C=RU, ST=NN, L=N.Novgorod, O=videoserver, OU=MyOrganizationalUnit, CN=Fort-Funston CA, name=EasyRSA, emailAddress=me@myhost.mydomain
Feb  9 13:57:30 server ovpn-server[12747]: yy.yy.yy.yy:11680 VERIFY OK: depth=0, C=RU, ST=NN, L=N.Novgorod, O=Fort-Funston, OU=MyOrganizationalUnit, CN=client1, name=EasyRSA, emailAddress=me@myhost.mydomain
Feb  9 13:57:30 server ovpn-server[12747]: yy.yy.yy.yy:11680 peer info: IV_VER=2.4.0
Feb  9 13:57:30 server ovpn-server[12747]: yy.yy.yy.yy:11680 peer info: IV_PLAT=linux
Feb  9 13:57:30 server ovpn-server[12747]: yy.yy.yy.yy:11680 peer info: IV_PROTO=2
Feb  9 13:57:30 server ovpn-server[12747]: yy.yy.yy.yy:11680 peer info: IV_NCP=2
Feb  9 13:57:30 server ovpn-server[12747]: yy.yy.yy.yy:11680 peer info: IV_LZ4=1
Feb  9 13:57:30 server ovpn-server[12747]: yy.yy.yy.yy:11680 peer info: IV_LZ4v2=1
Feb  9 13:57:30 server ovpn-server[12747]: yy.yy.yy.yy:11680 peer info: IV_LZO=1
Feb  9 13:57:30 server ovpn-server[12747]: yy.yy.yy.yy:11680 peer info: IV_COMP_STUB=1
Feb  9 13:57:30 server ovpn-server[12747]: yy.yy.yy.yy:11680 peer info: IV_COMP_STUBv2=1
Feb  9 13:57:30 server ovpn-server[12747]: yy.yy.yy.yy:11680 peer info: IV_TCPNL=1
Feb  9 13:57:30 server ovpn-server[12747]: yy.yy.yy.yy:11680 Control Channel: TLSv1.2, cipher TLSv1/SSLv3 ECDHE-RSA-AES256-GCM-SHA384, 2048 bit RSA
Feb  9 13:57:30 server ovpn-server[12747]: yy.yy.yy.yy:11680 [client1] Peer Connection Initiated with [AF_INET]yy.yy.yy.yy:11680
Feb  9 13:57:30 server ovpn-server[12747]: client1/yy.yy.yy.yy:11680 MULTI_sva: pool returned IPv4=192.168.0.100, IPv6=(Not enabled)
Feb  9 13:57:31 server ovpn-server[12747]: client1/yy.yy.yy.yy:11680 PUSH: Received control message: 'PUSH_REQUEST'
Feb  9 13:57:31 server ovpn-server[12747]: client1/yy.yy.yy.yy:11680 SENT CONTROL [client1]: 'PUSH_REPLY,route-gateway 192.168.0.1,ping 10,ping-restart 120,ifconfig 192.168.0.100 255.255.255.0,peer-id 0,cipher AES-256-GCM' (status=1)
Feb  9 13:57:31 server ovpn-server[12747]: client1/yy.yy.yy.yy:11680 Data Channel Encrypt: Cipher 'AES-256-GCM' initialized with 256 bit key
Feb  9 13:57:31 server ovpn-server[12747]: client1/yy.yy.yy.yy:11680 Data Channel Decrypt: Cipher 'AES-256-GCM' initialized with 256 bit key
Feb  9 13:57:32 server ovpn-server[12747]: client1/yy.yy.yy.yy:11680 MULTI: Learn: 62:e8:88:bf:d6:ec -> client1/yy.yy.yy.yy:11680

torm7 ()
Ответ на: комментарий от torm7

После этого

client# ping 192.168.0.4:

PING 192.168.0.4 (192.168.0.4) 56(84) bytes of data.
From 192.168.0.100 icmp_seq=1 Destination Host Unreachable
From 192.168.0.100 icmp_seq=2 Destination Host Unreachable
From 192.168.0.100 icmp_seq=3 Destination Host Unreachable
.....

torm7 ()
Ответ на: комментарий от anc

Что за fw? Где это посмотреть?

И еще такой вопрос, может кто знает какими утилитами можно проверить взаимодействие на L2? Что бы было понятно где дохнет broadcast.

torm7 ()

А есть у кого нибудь рабочий вариант openvpn TAP, который поднимается через /etc/metwork/interfaces?

torm7 ()
Ответ на: комментарий от torm7

Заработал tap интерфейс с bridge'ом на стороне сервера, правда broadcast'ы все равно не ходят:( Поднимать приходится сначала bridge через interfaces автоматом, затем «systemctl start openvpn». Заметил что на сервере у bridge'а и tap0/enp2s0 совпадают mac адреса, это так и должно быть? Выглядит подозрительно. Need help...

На данный момент конфигурация такая:

server:/etc/network/interfaces:

source /etc/network/interfaces.d/*

auto lo
iface lo inet loopback

iface enp2s0 inet manual

auto br0
iface br0 inet dhcp
        bridge_ports enp2s0
        bridge_fd 9
        bridge_hello 2
        bridge_maxage 12
        bridge_stp on
        bridge_prio 1000

server:/etc/openvpn/server.conf:

port 1194
proto udp
dev tap0
ca ca.crt
cert server.crt
key server.key
dh dh2048.pem
ifconfig-pool-persist ipp.txt
server-bridge 192.168.0.1 255.255.255.0 192.168.0.100 192.168.0.150
duplicate-cn
keepalive 10 600
tls-auth ta.key 0
cipher AES-256-CBC
comp-lzo
persist-key
persist-tun
status openvpn-status.log
verb 3
mute 20
explicit-exit-notify 1
script-security 2
up "/etc/openvpn/up.sh br0"
down "/etc/openvpn/down.sh br0"

server:/etc/openvpn/up.sh:

#!/bin/sh
PATH=/sbin:/usr/sbin:/bin:/usr/bin
BR=$1
DEV=$2
MTU=$3
ip link set "$DEV" up promisc on mtu "$MTU"
if ! brctl show $BR | egrep -q "\W+$DEV$"; then
    brctl addif $BR $DEV
fi

server:/etc/openvpn/down.sh:

#!/bin/sh
PATH=/sbin:/usr/sbin:/bin:/usr/bin
BR=$1
DEV=$2
brctl delif $BR $DEV
ip link set "$DEV" down

client:/etc/openvpn/client.conf:

client
dev tap
proto udp
remote xx.xx.xx.xx 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
remote-cert-tls server
tls-auth ta.key 1
cipher AES-256-CBC
comp-lzo
verb 3

torm7 ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.