Mam skonfigurowane pole Linuksa (na esxi5), które działa jak serwer OpenVPN. serwer jest skonfigurowany do używania mostkowania dla klientów, co zasadniczo działa, z jednym wyjątkiem.
Jeśli klient wysyła polecenie ping do komputera w sieci, który nie jest samym serwerem, nie działa. Wykluczyłem wszystko, co wiem (iptables itp.), A uruchomienie tcpdump sprowadziło to do następujących rzeczy:
- Widzę żądania ARP na tap0 i br0
- Widzę odpowiedzi ARP na br0
- NIE widzę odpowiedzi ARP na tap0
Pytanie: dlaczego urządzenie br0 nie przesyła odpowiedzi ARP do urządzenia tap0?
client-to-client
w pliku konfiguracyjnym openvpn serwera? Jeśli twoje serwery są podłączone do sieci VPN za pomocą openvpn jako klienta, to zdanie może być prawdziwe. PS. Jakiego rodzaju dystrybucji używasz?Odpowiedzi:
Bez dodatkowych informacji zgadujemy, ale spróbujmy:
Najpierw upewnij się, że zarówno eth0, jak i tap0 są w trybie rozwiązłym. br0 nie powinien być w trybie rozwiązłym.
Następnie sprawdź, czy masz arptables i wszelkie reguły iptables, które mogą przeszkadzać.
Ponieważ już otrzymujesz odpowiedzi na arp, prawdopodobnie nie masz tego , ale i tak sprawdź.
na koniec sprawdź ustawienia rp_filter , ale także sprawdź dodatkowe parametry sysctl, które mogłeś ustawić.
źródło
Jeśli Twój host ESXi ma nadmiarowe połączenia z siecią, może wystąpić szereg problemów ARP, które mogą wystąpić z powodu domyślnego ustawienia Net.ReversePathFwdCheckPromisc. Użytkownicy pfSense korzystający z CARP byli jednymi z najwcześniejszych do debugowania tego, opisanymi na https://doc.pfsense.org/index.php/CARP_Configuration_Trou Rozwiązywanie problemów
W podobnym środowisku mamy skonfigurowane mostkowanie OpenVPN na FreeBSD, ale także dodatkową komplikację vlans. Na hoście, na którym Net.ReversePathFwdCheckPromisc nie został ustawiony na 1, i gdzie istnieje wiele łączy w górę do sieci, widzimy ogromną utratę pakietów (95% +) w ruchu przychodzącym do urządzenia z kranem. Działa dobrze, gdy jest ustawiony na 1.
źródło