ARP उत्तर br0ging से मोड में OpenVPN का उपयोग करके br0 से tap0 तक गायब हो जाता है

9

मेरे पास एक linux box (एक esxi5 पर) सेटअप है जो एक OpenVPN सर्वर के रूप में कार्य करता है। सर्वर को क्लाइंट के लिए ब्रिजिंग का उपयोग करने के लिए कॉन्फ़िगर किया गया है, जो अनिवार्य रूप से एक अपवाद के साथ काम करता है।

यदि क्लाइंट नेटवर्क पर कुछ मशीन को पिंग करता है जो सर्वर नहीं है तो यह काम नहीं करता है। मैंने अपना सब कुछ पता कर लिया, जो मुझे पता है (iptables, आदि) और tcpdump को चलाने से इसे निम्न चीज़ों तक उबाला गया:

  • मैं tap0 और br0 पर ARP अनुरोध देखता हूं
  • मैं br0 पर ARP उत्तर देखता हूं
  • मैं ARP को टैप0 पर उत्तर नहीं देखता

प्रश्न: AR0 को टैप करने के लिए br0 डिवाइस अग्रेषित क्यों नहीं करता है?

vmware-esxi  openvpn  bridge  arp  tap 
दलदल
स्रोत
1
ठीक है - मैं एक कदम और आगे बढ़ गया। जब मैं पुल की मैक तालिका का उपयोग करता है, तो ब्राइटल शोमैक्स का उपयोग कर रहा हूं। मैं टैप साइड पर अपने वीपीएन क्लाइंट का मैक पता देखता हूं। अगर मैं अब vpn क्लाइंट से सबनेट पर पिंग करना शुरू करता हूं तो मैक एड्रेस ओवर ब्रिज पोर्ट पर चला जाता है जो सबनेट के arp रिप्लाई को ब्लॉक करता है। जब पिंग बंद हो जाता है तो मैक लगभग तुरंत वापस आ जाता है। इसलिए मुझे नहीं पता कि मैक एड्रेस गलत स्विचपोर्ट पर क्यों जाता है - मेरी सभी खोजों का अब तक कोई परिणाम नहीं निकला है।
फेन
यदि यह किसी अन्य पोर्ट पर "चलता है", तो यह एक निश्चित सुराग होगा कि मैक पता या तो आपके नेटवर्क में एक से अधिक बार मौजूद है या आप नेटवर्क लूप के प्रभाव देख रहे हैं (एक सक्रिय द्वारा जुड़े उसी पुल के दो पोर्ट पथ)। दोनों कॉन्फ़िगरेशन समस्याएं हैं जिन्हें ठीक करने की आवश्यकता है।
वैबबिट
1
अपने क्लाइंट में पहले स्थिर ARP प्रविष्टि का उपयोग करके समस्या को अलग करें, अगर पिंग्स इसके बाद अच्छी तरह से काम करते हैं तो आप ARP के समस्या निवारण पर आगे बढ़ सकते हैं। यदि यह काम नहीं करता है, तो आपके पास एआरपी की तुलना में एक बड़ा नेटवर्किंग मुद्दा है।
रिकार्डो
जैसा कि हम इस बारे में कुछ नहीं जान सकते कि आपका नेटवर्क कैसा दिखता है। लंबा शॉट; क्या आपके पास client-to-clientअपने सर्वर की Openvpn config फाइल है? यदि आपके सर्वर वीपीएन नेटवर्क से क्लाइंट के रूप में ओपेन वीपीएन से जुड़े हैं, तो वाक्य सही हो सकता है। पुनश्च। आप किस तरह के डिस्ट्रो का उपयोग कर रहे हैं?
मिशाल सोकोलोस्की

जवाबों:

1

अधिक जानकारी के बिना, हम अनुमान लगा रहे हैं, लेकिन कोशिश करते हैं:

पहले यह सुनिश्चित करें कि eth0 और tap0 दोनों प्रोमिसस मोड में हैं। br0 को उचित मोड में नहीं होना चाहिए।

अगली जाँच करें कि आपके पास arptables और किसी भी iptables नियम हैं जो हस्तक्षेप कर सकते हैं।

आप पहले से ही एआरपी उत्तर पाने के रूप में, अपने शायद नहीं है यह , लेकिन वैसे भी यह जाँच करें।

अंत में rp_filter सेटिंग्स की जाँच करें , लेकिन आपके द्वारा सेट किए गए किसी भी अतिरिक्त sctctl पैरामीटर की भी जाँच करें।

higuita
स्रोत
1
... और चूंकि यह ESXi है सुनिश्चित करें कि वर्चुअल स्विच पर प्रोमिसस मोड सक्षम है।
गेराल्ड कॉम्स
^ ^ ^ ^ यदि आप ESXi चला रहे हैं, तो vSwitch पर प्रोमेसस मोड को सक्षम करना आवश्यक है । वास्तव में।
रोएमा
1

यदि आपके ESXi होस्ट में नेटवर्क के लिए निरर्थक कनेक्शन हैं, तो कई ARP समस्याएं हैं जो Net.ReversePathFwdCheckPromisc की डिफ़ॉल्ट सेटिंग के कारण दिखाई दे सकती हैं। CARP का उपयोग करने वाले pfSense उपयोगकर्ता इसे डीबग करने के लिए सबसे पहले थे, जिसे https://doc.pfsense.org/index.php/CARP_Configuration_Troublesourcing पर वर्णित किया गया है

इसी तरह के वातावरण में, हमारे पास ओपन वीपीएन ब्रिजिंग है जो फ्रीबीएसडी पर स्थापित है, लेकिन वीएलएन की अतिरिक्त जटिलता भी है। एक होस्ट पर जहां Net.ReversePathFwdCheckPromisc को 1 पर सेट नहीं किया गया है, और जहां नेटवर्क के कई अपलिंक मौजूद हैं, हम टैप डिवाइस के लिए इनबाउंड ट्रैफ़िक पर बड़े पैमाने पर पैकेट नुकसान (95% +) देखते हैं। 1 पर सेट होने पर यह ठीक काम करता है।

JG23
स्रोत
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.