[fli4l] [4.0] OpenVPN zum Test im LAN mit tap geht nicht

Alexander Dahl lespocky at web.de
Mo Feb 29 22:31:24 CET 2016


Hallo zusammen,

ich spiele hier mit OpenVPN rum und möchte zum Test im lokalen LAN einen
Layer-2 Tunnel zwischen zwei fli4l aufbauen. Router Nummer eins ist ein
Alix 2D3, das u.a. meinen Kabelanschluss ins lokale Netz routet. Router
Nummer zwei ist eine Xen DomU. Auf beiden läuft 4.0 trunk mit Kernel
4.4.3. Im Gegensatz zum Test gegen eine 3.10 VM kriege ich zwischen
diesen beiden Routern keinen funktionierenden Tunnel zu stande. Die
Configs sehen wie folgt aus. Zunächst sandy, das ist das alix board:

OPT_OPENVPN='yes'
OPENVPN_EXPERT='no'
OPENVPN_DEFAULT_CIPHER='AES-128-CBC'
OPENVPN_DEFAULT_DIGEST='SHA256'
OPENVPN_N='3'
OPENVPN_3_NAME='sg'
OPENVPN_3_ACTIV='yes'
OPENVPN_3_REMOTE_HOST='10.182.63.103'
OPENVPN_3_REMOTE_PORT='12151'
OPENVPN_3_LOCAL_HOST='10.182.63.1'
OPENVPN_3_LOCAL_PORT='39880'
OPENVPN_3_SECRET='sg.secret'
OPENVPN_3_TYPE='bridge'
OPENVPN_3_BRIDGE='sg'
OPT_BRIDGE_DEV='yes'
BRIDGE_DEV_N='2'
BRIDGE_DEV_2_NAME='sg'
BRIDGE_DEV_2_DEVNAME='br1'
BRIDGE_DEV_2_DEV_N='0'
IP_NET_1='10.182.63.1/24'
PF_INPUT_1='IP_NET_1 ACCEPT'

Local und remote host sind ja im selben LAN, das wäre hier
10.182.63.0/24, sandy hat die 10.182.63.1 und grautvornix die
10.182.63.103 und da sieht die Config so aus:

OPT_OPENVPN='yes'
OPENVPN_EXPERT='no'
OPENVPN_WEBGUI='yes'
OPENVPN_DEFAULT_CIPHER='AES-128-CBC'
OPENVPN_DEFAULT_DIGEST='SHA256'
OPENVPN_N='2'
OPENVPN_2_NAME='sg'
OPENVPN_2_ACTIV='yes'
OPENVPN_2_REMOTE_HOST='10.182.63.1'
OPENVPN_2_REMOTE_PORT='39880'
OPENVPN_2_LOCAL_HOST='10.182.63.103'
OPENVPN_2_LOCAL_PORT='12151'
OPENVPN_2_SECRET='sg.secret'
OPENVPN_2_TYPE='bridge'
OPENVPN_2_BRIDGE='sg'
OPT_BRIDGE_DEV='yes'
BRIDGE_DEV_N='2'
BRIDGE_DEV_2_NAME='sg'
BRIDGE_DEV_2_DEVNAME='br1'
BRIDGE_DEV_2_DEV_N='0'
PF_INPUT[]='10.182.63.0/24 ACCEPT'

Was die Paketfilter angeht, ist auf sandy, wie man oben sieht, IP_NET_1
in der Input Chain freigegeben, für grautvornix ist das Netz sozusagen
WAN und läuft über einen circuit vom Typ DHCP, dort ist wie oben zu
sehen aber auch eine entsprechende Input-Regel angelegt. (Ich weiß, dass
eine solche Regel für einen produktiven Router dämlich wäre, aber hier
ist es ein Test bzw. eine Spielwiese.)

Was mich jetzt wundert: auf beiden Routern lauscht der OpenVPN daemon
nur auf der jeweiligen IP, was Verbindungen von außen eigentlich
ausschließen sollte. Gegen eine weiter VM mit fli4l 3.10 funktioniert
das aber.

sandy 4.0.0-r44677 # netstat -lpn | grep vpn
tcp        0      0 127.0.0.1:42382         0.0.0.0:* LISTEN      21506/openvpn
tcp        0      0 127.0.0.1:42116         0.0.0.0:* LISTEN      21566/openvpn
tcp        0      0 127.0.0.1:41318         0.0.0.0:* LISTEN      21544/openvpn
udp        0      0 169.254.23.42:14187     0.0.0.0:* 21506/openvpn
udp        0      0 10.182.63.1:39880       0.0.0.0:* 21566/openvpn
udp        0      0 169.254.23.42:17935     0.0.0.0:* 21544/openvpn

grautvornix 4.0.0-r44677 # netstat -lpn | grep vpn
tcp        0      0 127.0.0.1:38023         0.0.0.0:* LISTEN      9817/openvpn
tcp        0      0 127.0.0.1:44460         0.0.0.0:* LISTEN      9792/openvpn
udp        0      0 10.182.63.103:12151     0.0.0.0:* 9817/openvpn
udp        0      0 10.182.63.103:10638     0.0.0.0:* 9792/openvpn

Ich vermute mal, hier ist noch magic über zusätzliche Paketfilterregeln
am Werk, die ich nicht verstanden habe?

In den über's webgui abrufbaren Logs kann ich nichts brauchbares
entdecken. Dort ist jeweils ein gelbes Ampelmännchen und der Hinweis
»Verbindung wird neu gestartet ...« und im Log sowas:

sandy:

29.02.2016  22:10:47    SIGUSR1[soft,ping-restart] received, process restarting
29.02.2016  22:10:49    NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
29.02.2016  22:10:49    Re-using pre-shared static key
29.02.2016  22:10:49    Preserving previous TUN/TAP instance: tap0
29.02.2016  22:10:49    UDPv4 link local (bound): [AF_INET]10.182.63.1:39880
29.02.2016  22:10:49    UDPv4 link remote: [AF_INET]10.182.63.103:12151
29.02.2016  22:13:49    Inactivity timeout (--ping-restart), restarting
29.02.2016  22:13:49    SIGUSR1[soft,ping-restart] received, process restarting
29.02.2016  22:13:51    NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
29.02.2016  22:13:51    Re-using pre-shared static key
29.02.2016  22:13:51    Preserving previous TUN/TAP instance: tap0
29.02.2016  22:13:51    UDPv4 link local (bound): [AF_INET]10.182.63.1:39880
29.02.2016  22:13:51    UDPv4 link remote: [AF_INET]10.182.63.103:12151
29.02.2016  22:16:51    Inactivity timeout (--ping-restart), restarting
29.02.2016  22:16:51    SIGUSR1[soft,ping-restart] received, process restarting
29.02.2016  22:16:53    NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
29.02.2016  22:16:53    Re-using pre-shared static key
29.02.2016  22:16:53    Preserving previous TUN/TAP instance: tap0
29.02.2016  22:16:53    UDPv4 link local (bound): [AF_INET]10.182.63.1:39880
29.02.2016  22:16:53    UDPv4 link remote: [AF_INET]10.182.63.103:12151

grautvornix:

29.02.2016  22:11:36    SIGUSR1[soft,ping-restart] received, process restarting
29.02.2016  22:11:38    NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
29.02.2016  22:11:38    Re-using pre-shared static key
29.02.2016  22:11:38    Preserving previous TUN/TAP instance: tap1
29.02.2016  22:11:38    UDPv4 link local (bound): [AF_INET]10.182.63.103:12151
29.02.2016  22:11:38    UDPv4 link remote: [AF_INET]10.182.63.1:39880
29.02.2016  22:14:39    Inactivity timeout (--ping-restart), restarting
29.02.2016  22:14:39    SIGUSR1[soft,ping-restart] received, process restarting
29.02.2016  22:14:41    NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
29.02.2016  22:14:41    Re-using pre-shared static key
29.02.2016  22:14:41    Preserving previous TUN/TAP instance: tap1
29.02.2016  22:14:41    UDPv4 link local (bound): [AF_INET]10.182.63.103:12151
29.02.2016  22:14:41    UDPv4 link remote: [AF_INET]10.182.63.1:39880
29.02.2016  22:17:41    Inactivity timeout (--ping-restart), restarting
29.02.2016  22:17:41    SIGUSR1[soft,ping-restart] received, process restarting
29.02.2016  22:17:44    NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
29.02.2016  22:17:44    Re-using pre-shared static key
29.02.2016  22:17:44    Preserving previous TUN/TAP instance: tap1
29.02.2016  22:17:44    UDPv4 link local (bound): [AF_INET]10.182.63.103:12151
29.02.2016  22:17:44    UDPv4 link remote: [AF_INET]10.182.63.1:39880

Hab ich irgendwo einen Denkfehler? Irgendwas nicht freigegeben?
Irgendwas in der Doku übersehen? Kann ich im LAN keine VPN-Verbindungen
aufbauen? Und wieso funktioniert das gegen die 3.10 VM? Bin etwas
ratlos.

Grüße
Alex

-- 
***** http://blog.antiblau.de/ *****************************
GnuPG-FP: C28E E6B9 0263 95CF 8FAF  08FA 34AD CD00 7221 5CC6


Mehr Informationen über die Mailingliste Fli4L