https://opennet.ru/openforum/vsluhforumID1/94567.html Уважаемые друзья-коллеги!<br>Столкнулся вот с такой нетривиальной задачей.<br>Что-то ничего в голову не приходит, возможно последствия недавнего ДР :)<br>Имеется gate (реальный IP) под OpenBSD, на котором крутится OpenVPN server и удаленный клиент под Debian за NAT-ом.<br>Задача &#8212; предварительно отфильтрованную часть пакетов с внешнего if gate передать на виртуальный if (tun0), а затем сделать так, что бы эти пакеты были слышны на tun if удаленного клиента.<br>С первой частью задачи великолепно справляется PF ( dup-to + опции фильтрации) и вся необходимая часть трафика присутствует на виртуальном if OVPN server. Однако, на удаленном tun if естественно tcpdump пакетов не слышит.<br>ЗЫ 0 меня устроит слышать пакетики на L3<br>ЗЫ 1 на вопросы типа &#171;а нафига&#187;, отвечаю &#8212; security reason<br> https://opennet.ru/openforum/vsluhforumID1/94567.html#10 Wed, 10 Apr 2013 11:09:12 GMT &gt;&gt; то что придется использовать tap, это точно.<br>&gt;&gt; а то что по ссылке под какое правило попало?<br>&gt; Как раз разбираюсь. Тут еще одна заморочка вылезла :( <br>&gt; http://www.opennet.ru/tips/info/1664.shtml <br>&gt; OpenBSD не имеет устройства tap(4), которое по своей сути является простым <br>&gt; туннелем 2-го уровня OSI.<br><br>Ну для этог оне обязательно использовать OpenVpn, есть же и другие решения которые могут работать. Например тотже L2TP, ну или можно аналогично поднять туннель 2 уровня ОСИ используя ssh. Оба варианта можно поднимать уже внутри установленного OpenVpn туннеля, тогда тотже l2tp еще и шифроваться будет. <br> https://opennet.ru/openforum/vsluhforumID1/94567.html#9 Wed, 10 Apr 2013 10:23:26 GMT <br>&gt; то что придется использовать tap, это точно.<br>&gt; а то что по ссылке под какое правило попало?<br><br>Как раз разбираюсь. Тут еще одна заморочка вылезла :( <br>http://www.opennet.ru/tips/info/1664.shtml<br>OpenBSD не имеет устройства tap(4), которое по своей сути является простым<br>туннелем 2-го уровня OSI.<br> https://opennet.ru/openforum/vsluhforumID1/94567.html#8 Wed, 10 Apr 2013 10:12:39 GMT &gt;&gt; у openvpn есть еще и своя маршрутизация, смотрите iroute <br>&gt; Увы, но ИМХО не получится <br>&gt; Прикиньте, появились они на вирт иф со своими заголовками....<br>&gt; Под какое правило маршрутизации они попадут?<br>&gt; Никак не получается <br><br>то что придется использовать tap, это точно.<br>а то что по ссылке под какое правило попало?<br> https://opennet.ru/openforum/vsluhforumID1/94567.html#7 Wed, 10 Apr 2013 10:00:31 GMT <br>&gt; у openvpn есть еще и своя маршрутизация, смотрите iroute <br><br>Увы, но ИМХО не получится<br>Прикиньте, появились они на вирт иф со своими заголовками....<br>Под какое правило маршрутизации они попадут?<br>Никак не получается<br><br><br> https://opennet.ru/openforum/vsluhforumID1/94567.html#6 Wed, 10 Apr 2013 09:12:37 GMT &gt; Спасибо огромное.<br>&gt; А почему?<br>&gt; Я не выпендриваюсь, я реально не понимаю <br><br>у openvpn есть еще и своя маршрутизация, смотрите iroute<br><br>&gt; Еще раз поморочу голову коммунити. Может я не так обьясняю.<br>&gt; Прикиньте, вы замиррорили порт на свиче. В зеркальный порт воткнули интерфейс тазика. <br>&gt; Перевели NIC в промиск режим и слышите все, что проходит через замиррореный <br>&gt; порт.<br>&gt; Я хочу сделать то же самое, только в качестве зеркала у меня <br>&gt; вирт иф с одной стороны туннеля, а слушать хочу на другой. <br><br>туннель это все таки не bridge, но попробовать вить можно как будет с зеркалированием<br>http://xgu.ru/wiki/OpenVPN_Bridge<br><br><br> https://opennet.ru/openforum/vsluhforumID1/94567.html#5 Wed, 10 Apr 2013 08:07:36 GMT Вы имели ввиду построить а-ля bridge на L2?<br> https://opennet.ru/openforum/vsluhforumID1/94567.html#4 Wed, 10 Apr 2013 08:04:19 GMT Спасибо огромное.<br>А почему?<br>Я не выпендриваюсь, я реально не понимаю<br><br>Еще раз поморочу голову коммунити. Может я не так обьясняю.<br>Прикиньте, вы замиррорили порт на свиче. В зеркальный порт воткнули интерфейс тазика.<br>Перевели NIC в промиск режим и слышите все, что проходит через замиррореный порт.<br><br>Я хочу сделать то же самое, только в качестве зеркала у меня вирт иф с одной стороны туннеля, а слушать хочу на другой.<br> https://opennet.ru/openforum/vsluhforumID1/94567.html#3 Wed, 10 Apr 2013 07:51:48 GMT &gt; Дружище, ну не позорь меня уж перед коммунити :) <br>&gt; ВПН работает чудесно, по нему и NetFlow бежит, и по фтп скриптик <br>&gt; файлы переливает.<br>&gt; Возможно я несколько косноязычно обьяснил задачу, попробую еще раз.<br>&gt; На сейчас все отфильтрованные (например по порту) пакеты миррорятся <br>&gt; на вирт интерфейс сервера.<br>&gt; Но на вирт интерфейсе клиента даже в промиск режиме я эти пакеты <br>&gt; (естественно) не слышу.<br>&gt; А очень нужно услышать. Что допилить?<br><br>У Вас используется tun интерфейс, на нем конечно ничего не увидите, скорее всего надо использовать tap интерфейс, вот тогда они должны будут появляться на киентском интферфейсе.<br> https://opennet.ru/openforum/vsluhforumID1/94567.html#2 Wed, 10 Apr 2013 07:28:35 GMT Дружище, ну не позорь меня уж перед коммунити :)<br>ВПН работает чудесно, по нему и NetFlow бежит, и по фтп скриптик файлы переливает.<br><br>Возможно я несколько косноязычно обьяснил задачу, попробую еще раз.<br>На сейчас все отфильтрованные (например по порту) пакеты миррорятся<br>на вирт интерфейс сервера.<br>Но на вирт интерфейсе клиента даже в промиск режиме я эти пакеты (естественно) не слышу.<br>А очень нужно услышать. Что допилить?<br>