Trả lời ARP biến mất từ ​​br0 đến tap0 bằng OpenVPN trong chế độ bắc cầu

9

Tôi đã thiết lập một hộp linux (trên esxi5) hoạt động như một máy chủ OpenVPN. máy chủ được cấu hình để sử dụng bắc cầu cho các máy khách, về cơ bản hoạt động, với một ngoại lệ.

Nếu máy khách ping một số máy trên mạng không phải là máy chủ thì nó không hoạt động. Tôi loại trừ tất cả mọi thứ tôi biết (iptables, v.v.) và chạy tcpdump đã đun sôi nó với những điều sau đây:

  • Tôi thấy các yêu cầu ARP trên tap0 và br0
  • Tôi thấy ARP trả lời trên br0
  • Tôi KHÔNG thấy trả lời ARP trên tap0

Câu hỏi: tại sao thiết bị br0 không chuyển tiếp trả lời ARP cho thiết bị tap0?

vmware-esxi  openvpn  bridge  arp  tap 
fen
nguồn
1
ok - tôi đã tiến thêm một bước Khi tôi xem bảng mac của cây cầu bằng cách sử dụng brctl showmacs, tôi thấy địa chỉ mac của máy khách vpn của tôi ở phía tap0. Nếu bây giờ tôi bắt đầu ping từ máy khách vpn đến mạng con, địa chỉ mac sẽ chuyển sang cổng cầu nối, điều này tất nhiên sẽ chặn phản hồi arp của mạng con. mac chuyển trở lại gần như ngay lập tức khi ping dừng lại. Vì vậy, những gì tôi không biết là tại sao địa chỉ mac chuyển sang cổng chuyển đổi sai - tất cả các tìm kiếm của tôi cho đến nay không có kết quả.
fen
nếu nó "di chuyển" sang một cổng khác, đó sẽ là một đầu mối xác định rằng địa chỉ MAC có mặt nhiều lần trong mạng của bạn hoặc bạn đang thấy các hiệu ứng của một vòng mạng (hai cổng của cùng một cầu được kết nối bởi một hoạt động con đường). Cả hai đều là vấn đề cấu hình cần được sửa chữa.
the-wợi
1
cách ly vấn đề bằng cách sử dụng mục ARP tĩnh trước trong máy khách của bạn, nếu ping hoạt động tốt sau đó thì bạn có thể chuyển sang xử lý sự cố ARP. Nếu nó không hoạt động thì bạn có một vấn đề mạng lớn hơn là chỉ ARP.
Ricardo
Vì chúng tôi không thể biết bất cứ điều gì về việc mạng của bạn trông như thế nào. Cú sút xa; Bạn có client-to-clienttrong tập tin cấu hình openvpn của máy chủ không? Nếu máy chủ của bạn được kết nối với mạng VPN bằng openvpn làm máy khách, thì câu đó có thể đúng. Tái bút Bạn đang sử dụng loại distro nào?
Michal Sokolowski

Câu trả lời:

1

Không có thêm thông tin, chúng tôi đoán, nhưng hãy thử:

Trước tiên hãy đảm bảo rằng cả eth0 và tap0 đều ở chế độ lăng nhăng. br0 không nên ở chế độ lăng nhăng.

Tiếp theo kiểm tra xem bạn có arptables và bất kỳ quy tắc iptables nào có thể can thiệp.

Vì bạn đã nhận được trả lời arp, có lẽ bạn không có điều này , nhưng hãy kiểm tra xem sao.

cuối cùng kiểm tra cài đặt rp_filter , nhưng cũng kiểm tra mọi tham số sysctl bổ sung mà bạn có thể đã đặt.

higuita
nguồn
1
... và vì đó là ESXi, đảm bảo chế độ lăng nhăng được bật trên công tắc ảo.
Gerald Combs
^ ^ ^ ^ Điều cần thiết là phải bật chế độ lăng nhăng trên vSwitch nếu bạn đang chạy ESXi. Có thật không.
roaima
1

Nếu máy chủ ESXi của bạn có các kết nối dự phòng với mạng, có nhiều sự cố ARP có thể xuất hiện do cài đặt mặc định của Net.ReversePathFwdCheckPromisc. Người dùng pfSense sử dụng CARP là những người sớm nhất để gỡ lỗi này, được mô tả tại https://doc.pfsense.org/index.php/CARP_Configuration_Troubledh Boot

Trong một môi trường tương tự, chúng tôi có cầu nối OpenVPN được thiết lập trên FreeBSD, nhưng cũng có thêm sự phức tạp của vlans. Trên máy chủ lưu trữ Net.ReversePathFwdCheckPromisc chưa được đặt thành 1 và khi có nhiều đường dẫn đến mạng, chúng tôi thấy mất gói lớn (95% +) trên lưu lượng truy cập vào thiết bị nhấn. Nó chỉ hoạt động tốt khi được đặt thành 1.

JG23
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.