Pfsense interface IP beállítás hatástalan

FreeBSD-all

Sziasztok!

A probléma röviden: adott egy OpenVPN szerverhez tartozó tap interface. A pfsense webes felületén csináltam neki egy interface-t és felvettem hozzá egy statikus ipv4 címet. Ez korábban tökéletesen működött (a kliensek tudtak DHCP-n címet kérni, a forgalom is átment), de miután a heartbleedes mizéria miatt frissítettem 2.1-ről 2.1.2 verzióra, az interface egyszerűen nem hajlandó felvenni a neki beálított címet. A konzolos felületről próbálva is ez a helyzet.
Ha manuálisan, ifconfiggal beállítok az érintett interfacere egy címet, akkor minden működik, viszont ez a beállítás egy reboottal elveszik.
Az OpenVPN konfigban eddig az IPv4 Tunnel Network, Bridge Interface, IPv4 Local Network/s opciók kitöltetlenek voltak, de bármit állítok rájuk, változatlanul nincs cím. Egyedül a Bridge DHCP checkbox van bepipálva, nélküle ugyanis nem kerül be a konfigba a mode server sor. (Ugyan miért...?)

A kérdésem az lenne, hogy én szúrtam el valamit, vagy másnál is előfordult ez a hiba? Jelentsem a fejlesztőknek?

Köszi!

  • 6934 megtekintés

( ikoN | 2014. 04. 14., h – 08:28 )

A Captive Portal ki van kapcsolva? Mert én is belefutottam 2.1.2-re upgrade után, hogy bekapcsolta magát és semmi nem ment.

( kallaics | 2014. 04. 14., h – 08:57 )

Miért akarsz Te egy layer2-es VPN tunnelnek IP-t adni?

Layer 3 (hálózati réteg ) -> TUN interface (Itt adhatsz IP-t.)
Layer 2 (adatkapcsolati réteg) -> TAP interface (Itt nem.)

Lehet Te írtad le rosszul, vagy én értek félre valamit, de amit írtam aszerint kéne vinni a gondolatot.

Van egy L2 tunnelem, ami felett szeretnek tobbek kozott olyan IP forgalmat is atvinni, aminek a feladoja/cimzettje maga a pfsense-es gep.

Miert ne adhatnek egy tap interfacenek IP cimet? Elvileg pont ugyanugy kellene viselkednie, mint egy fizikai ethernet kartyanak. Vagy rosszul gondolom? Eddig ment is a dolog, csak a frissites ota allt meg.

A konfig azért így alakult, mert a kliensek OpenWrt routerek, amiknek a LAN portjai össze vannak bridgeelve a VPN-el. A tunnel felett DHCP kérések, tftp (PXE), nfs mennek. Ezeket a feladatokat az egyszerűbb, központi kezelés miatt nem akartam kirakni a routerekre, így a legegyszerűbb módszernek arra, hogy minden menjen az L2 VPN tűnt.
A pfsense-en azért szeretnék külön címet a tap interfacenek, hogy a routerek LAN portjaira csatlakozó gépek egy elkülönített, de azonos subnetben lehessenek. (Erre aztán csinálhatok tűzfal szabályokat, stb...)

Tudom, hogy overhead szempontból nem a legoptimálisabb megoldást választottam, de nem volt kedvem keresgélni, hogyan lehet megerőszakolni a tun módot úgy, hogy a fenti követelményeknek megfeleljen. Ha még mindig úgy gondolod, hogy fordítva ülök a pacin, akkor nekikezdek dokumentációt bújni, hogyan is kellene ezt szépen megcsinálni :)

Bocsi,hogy megint ellened írok, de úgy gondolom,hogy amit akarsz simán megy layer 3-ban is. Elmondom nekem mik az aggályaim.

"LAN portjai össze vannak bridgeelve a VPN-el" -> Ha pl. MS Windows kliensek lógnak a hálózaton, azok szépen küldik a Netbios csomagokat. Ergo teleszemeteli a hálót, ha ezt a VPN bridge-be raktad a a LAN-al, akkor feleslegesen továbbítja a csomagokat minden telephely felé! Én azt javaslom legyen tun interface, majd routinggal és iptables-szel tudod szabályozni ezeket a dolgokat. Én pl. élből eldobálom a netbios csomagokat a külső háló felé, csak local-ban tud szemetelni a windows...

"A tunnel felett DHCP kérések" -> Ezt nem javaslom,mert ha megszakad a kapcsolat a 2 telehely között, akkor miután lejár a bérlete az IP címeknek szépen elkezd leborulni a hálózatod. DHCP csak localba. TFTP mehet távolról, max. hálózati hiba esetén nem tudsz távolról bootolni. Feltételezem telepítéshez kell a TFTP és nem napi használathoz.

DHCP konfigba ezzel a két sorral tudod befolyásolni TFTP-n keresztüli boot-ot.
next-server 192.168.1.30;
filename "pxelinux.0";

Én ezeket gondolnám át a helyedbe :)

Ok, leírtál egy csomó trivialitást, de ettől nem jutottunk előbbre... :)

Csak hogy értsd, a szitu a következő:
Adott egy "hálózat", ami áll néhány száz méter kábelből meg 10+ buta 100Mb-es L2 switchből. VLAN képes switchekre nincs keret, kábeleket meg húzgáljon a padláson meg a pincében akinek hat anyja van.
Felmerült az igény, hogy jó lenne egy elkülönített hálózat, amin lehet "játszani", lehetőleg pénzráfordítás nélkül. Erre én felraktam egy feleslegesnek ítélt routerre egy OpenWrt-t, és azt láttam, hogy kripto meg tömörítés nélkül megy a fenti megoldással kb. 30 mbittel a háló.
Innentől kezdve engem pont nem érdekel a broadcast csomagok miatti plusz forgalom, mert van mit pazarolni, illetve a megbízhatóság sem, mert semmi életbevágóan fontos nincs a rendszerre bízva.

Természetesen a külön telephelyeken mindenhol helyi DHCP szerver van, a köztük lévő kapcsolat L3-ban van megoldva, illetve minden feleslegesnek ítélt csomagot eldobálok, mielőtt a tunnelbe kerülhetne. Ennyire amatőr én sem vagyok... :D

( poperator v | 2014. 04. 15., k – 22:02 )

Miért nem az openvpn konfiggal adsz IP cimet?
Az openvpn "Advanced configuration" részben tetszés szerint létrehozod
az openvpn if.-t, olyant IP-t adva neki amit szeretnél.
A hozzáadott interface-t (OPTx) meg úgy állitod hogy a "IPv4 Configuration Type" "None"
(egy openvpn restart ilyenkor még kell neki, de azután már mindig működni fog)
A OPTx Rules fülön meg értelem szerüen beállitod a szabályokat.