web-dev-qa-db-ja.com

ブリッジモードでOpenVPNを使用すると、ARP応答がbr0からtap0に消えます

OpenVPNサーバーとして機能するLinuxボックス(esxi5上)をセットアップしました。サーバーは、クライアントにブリッジングを使用するように構成されています。これは、1つの例外を除いて、基本的に機能します。

クライアントがサーバー自体ではないネットワーク上のマシンにpingを実行すると、クライアントは機能しません。私は知っていることすべて(iptablesなど)を除外し、tcpdumpを実行すると次のように要約されました。

  • Tap0とbr0にARPリクエストが表示されます
  • Br0でARP応答が表示されます
  • Tap0でARP応答が表示されません

質問:br0デバイスがARP応答をtap0デバイスに転送しないのはなぜですか?

9
fen

これ以上の情報がないので、推測していますが、試してみましょう。

まず、eth0とtap0の両方が無差別モードになっていることを確認します。 br0は無差別モードであってはなりません。

次に、干渉している可能性のあるarptablesとiptablesのルールがあることを確認します。

すでにarpの返信を受け取っているので、おそらく this はありませんが、とにかく確認してください。

最後に rp_filter 設定を確認しますが、設定した追加のsysctlパラメーターも確認します。

1
higuita

ESXiホストにネットワークへの冗長接続がある場合、Net.ReversePathFwdCheckPromiscのデフォルト設定が原因で発生する可能性のあるさまざまなARPの問題があります。 CARPを使用しているpfSenseユーザーは、これをデバッグするのに最も早い時期の1つであり、 https://doc.pfsense.org/index.php/CARP_Configuration_Troubleshooting

同様の環境で、FreeBSDにOpenVPNブリッジングが設定されていますが、VLANの追加の複雑さもあります。 Net.ReversePathFwdCheckPromiscが1に設定されておらず、ネットワークへの複数のアップリンクが存在するホストでは、タップデバイスへのインバウンドトラフィックで大量のパケット損失(95%以上)が発生します。 1に設定すると、問題なく動作します。

1
JG23