URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 94567
[ Назад ]

Исходное сообщение
"Нестандартное использование VPN"
Отправлено Defence , 10-Апр-13 09:32

Уважаемые друзья-коллеги!
Столкнулся вот с такой нетривиальной задачей.
Что-то ничего в голову не приходит, возможно последствия недавнего ДР :)
Имеется gate (реальный IP) под OpenBSD, на котором крутится OpenVPN server и удаленный клиент под Debian за NAT-ом.
Задача — предварительно отфильтрованную часть пакетов с внешнего if gate передать на виртуальный if (tun0), а затем сделать так, что бы эти пакеты были слышны на tun if удаленного клиента.
С первой частью задачи великолепно справляется PF ( dup-to + опции фильтрации) и вся необходимая часть трафика присутствует на виртуальном if OVPN server. Однако, на удаленном tun if естественно tcpdump пакетов не слышит.
ЗЫ 0 меня устроит слышать пакетики на L3
ЗЫ 1 на вопросы типа «а нафига», отвечаю — security reason

Содержание

Нестандартное использование VPN,parad, 10:58 , 10-Апр-13
- Нестандартное использование VPN,Defence, 11:28 , 10-Апр-13
  - Нестандартное использование VPN,McLeod095, 11:51 , 10-Апр-13
    - Нестандартное использование VPN,Defence, 12:04 , 10-Апр-13
      - Нестандартное использование VPN,reader, 13:12 , 10-Апр-13
        
        Нестандартное использование VPN,Defence, 14:00 , 10-Апр-13
        
        Нестандартное использование VPN,reader, 14:12 , 10-Апр-13
        
        Нестандартное использование VPN,Defence, 14:23 , 10-Апр-13
        
        Нестандартное использование VPN,McLeod095, 15:09 , 10-Апр-13
    - Нестандартное использование VPN,Defence, 12:07 , 10-Апр-13

Сообщения в этом обсуждении

"Нестандартное использование VPN"
Отправлено parad , 10-Апр-13 10:58

где тут нестандартное?
у тебя впн не работает.
ЗЫ 0 ты написал что естественно что пакетов нет - значит все так как ты задумал?
ЗЫ 1 что значит слышать пакет?

"Нестандартное использование VPN"
Отправлено Defence , 10-Апр-13 11:28

Дружище, ну не позорь меня уж перед коммунити :)
ВПН работает чудесно, по нему и NetFlow бежит, и по фтп скриптик файлы переливает.
Возможно я несколько косноязычно обьяснил задачу, попробую еще раз.
На сейчас все отфильтрованные (например по порту) пакеты миррорятся
на вирт интерфейс сервера.
Но на вирт интерфейсе клиента даже в промиск режиме я эти пакеты (естественно) не слышу.
А очень нужно услышать. Что допилить?

"Нестандартное использование VPN"
Отправлено McLeod095 , 10-Апр-13 11:51

> Дружище, ну не позорь меня уж перед коммунити :)
> ВПН работает чудесно, по нему и NetFlow бежит, и по фтп скриптик
> файлы переливает.
> Возможно я несколько косноязычно обьяснил задачу, попробую еще раз.
> На сейчас все отфильтрованные (например по порту) пакеты миррорятся
> на вирт интерфейс сервера.
> Но на вирт интерфейсе клиента даже в промиск режиме я эти пакеты
> (естественно) не слышу.
> А очень нужно услышать. Что допилить?
У Вас используется tun интерфейс, на нем конечно ничего не увидите, скорее всего надо использовать tap интерфейс, вот тогда они должны будут появляться на киентском интферфейсе.

"Нестандартное использование VPN"
Отправлено Defence , 10-Апр-13 12:04

Спасибо огромное.
А почему?
Я не выпендриваюсь, я реально не понимаю
Еще раз поморочу голову коммунити. Может я не так обьясняю.
Прикиньте, вы замиррорили порт на свиче. В зеркальный порт воткнули интерфейс тазика.
Перевели NIC в промиск режим и слышите все, что проходит через замиррореный порт.
Я хочу сделать то же самое, только в качестве зеркала у меня вирт иф с одной стороны туннеля, а слушать хочу на другой.

"Нестандартное использование VPN"
Отправлено reader , 10-Апр-13 13:12

> Спасибо огромное.
> А почему?
> Я не выпендриваюсь, я реально не понимаю
у openvpn есть еще и своя маршрутизация, смотрите iroute
> Еще раз поморочу голову коммунити. Может я не так обьясняю.
> Прикиньте, вы замиррорили порт на свиче. В зеркальный порт воткнули интерфейс тазика.
> Перевели NIC в промиск режим и слышите все, что проходит через замиррореный
> порт.
> Я хочу сделать то же самое, только в качестве зеркала у меня
> вирт иф с одной стороны туннеля, а слушать хочу на другой.
туннель это все таки не bridge, но попробовать вить можно как будет с зеркалированием
http://xgu.ru/wiki/OpenVPN_Bridge

"Нестандартное использование VPN"
Отправлено Defence , 10-Апр-13 14:00

> у openvpn есть еще и своя маршрутизация, смотрите iroute
Увы, но ИМХО не получится
Прикиньте, появились они на вирт иф со своими заголовками....
Под какое правило маршрутизации они попадут?
Никак не получается

"Нестандартное использование VPN"
Отправлено reader , 10-Апр-13 14:12

>> у openvpn есть еще и своя маршрутизация, смотрите iroute
> Увы, но ИМХО не получится
> Прикиньте, появились они на вирт иф со своими заголовками....
> Под какое правило маршрутизации они попадут?
> Никак не получается
то что придется использовать tap, это точно.
а то что по ссылке под какое правило попало?

"Нестандартное использование VPN"
Отправлено Defence , 10-Апр-13 14:23

> то что придется использовать tap, это точно.
> а то что по ссылке под какое правило попало?
Как раз разбираюсь. Тут еще одна заморочка вылезла :(
http://www.opennet.me/tips/info/1664.shtml
OpenBSD не имеет устройства tap(4), которое по своей сути является простым
туннелем 2-го уровня OSI.

"Нестандартное использование VPN"
Отправлено McLeod095 , 10-Апр-13 15:09

>> то что придется использовать tap, это точно.
>> а то что по ссылке под какое правило попало?
> Как раз разбираюсь. Тут еще одна заморочка вылезла :(
> http://www.opennet.me/tips/info/1664.shtml
> OpenBSD не имеет устройства tap(4), которое по своей сути является простым
> туннелем 2-го уровня OSI.
Ну для этог оне обязательно использовать OpenVpn, есть же и другие решения которые могут работать. Например тотже L2TP, ну или можно аналогично поднять туннель 2 уровня ОСИ используя ssh. Оба варианта можно поднимать уже внутри установленного OpenVpn туннеля, тогда тотже l2tp еще и шифроваться будет.

"Нестандартное использование VPN"
Отправлено Defence , 10-Апр-13 12:07

Вы имели ввиду построить а-ля bridge на L2?