The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Нестандартное использование VPN"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Открытые системы на сервере (VPN / OpenBSD)
Изначальное сообщение [ Отслеживать ]

"Нестандартное использование VPN"  +/
Сообщение от Defence (ok) on 10-Апр-13, 09:32 
Уважаемые друзья-коллеги!
Столкнулся вот с такой нетривиальной задачей.
Что-то ничего в голову не приходит, возможно последствия недавнего ДР :)
Имеется gate (реальный IP) под OpenBSD, на котором крутится OpenVPN server и удаленный клиент под Debian за NAT-ом.
Задача — предварительно отфильтрованную часть пакетов с внешнего if gate передать на виртуальный if (tun0), а затем сделать так, что бы эти пакеты были слышны на tun if удаленного клиента.
С первой частью задачи великолепно справляется PF ( dup-to + опции фильтрации) и вся необходимая часть трафика присутствует на виртуальном if OVPN server. Однако, на удаленном tun if естественно tcpdump пакетов не слышит.
ЗЫ 0 меня устроит слышать пакетики на L3
ЗЫ 1 на вопросы типа «а нафига», отвечаю — security reason
Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Нестандартное использование VPN"  +/
Сообщение от parad (ok) on 10-Апр-13, 10:58 
где тут нестандартное?
у тебя впн не работает.

ЗЫ 0 ты написал что естественно что пакетов нет - значит все так как ты задумал?
ЗЫ 1 что значит слышать пакет?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Нестандартное использование VPN"  +/
Сообщение от Defence (ok) on 10-Апр-13, 11:28 
Дружище, ну не позорь меня уж перед коммунити :)
ВПН работает чудесно, по нему и NetFlow бежит, и по фтп скриптик файлы переливает.

Возможно я несколько косноязычно обьяснил задачу, попробую еще раз.
На сейчас все отфильтрованные (например по порту) пакеты миррорятся
на вирт интерфейс сервера.
Но на вирт интерфейсе клиента даже в промиск режиме я эти пакеты (естественно) не слышу.
А очень нужно услышать. Что допилить?

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Нестандартное использование VPN"  +/
Сообщение от McLeod095 (ok) on 10-Апр-13, 11:51 
> Дружище, ну не позорь меня уж перед коммунити :)
> ВПН работает чудесно, по нему и NetFlow бежит, и по фтп скриптик
> файлы переливает.
> Возможно я несколько косноязычно обьяснил задачу, попробую еще раз.
> На сейчас все отфильтрованные (например по порту) пакеты миррорятся
> на вирт интерфейс сервера.
> Но на вирт интерфейсе клиента даже в промиск режиме я эти пакеты
> (естественно) не слышу.
> А очень нужно услышать. Что допилить?

У Вас используется tun интерфейс, на нем конечно ничего не увидите, скорее всего надо использовать tap интерфейс, вот тогда они должны будут появляться на киентском интферфейсе.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Нестандартное использование VPN"  +/
Сообщение от Defence (ok) on 10-Апр-13, 12:04 
Спасибо огромное.
А почему?
Я не выпендриваюсь, я реально не понимаю

Еще раз поморочу голову коммунити. Может я не так обьясняю.
Прикиньте, вы замиррорили порт на свиче. В зеркальный порт воткнули интерфейс тазика.
Перевели NIC в промиск режим и слышите все, что проходит через замиррореный порт.

Я хочу сделать то же самое, только в качестве зеркала у меня вирт иф с одной стороны туннеля, а слушать хочу на другой.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

6. "Нестандартное использование VPN"  +/
Сообщение от reader (ok) on 10-Апр-13, 13:12 
> Спасибо огромное.
> А почему?
> Я не выпендриваюсь, я реально не понимаю

у openvpn есть еще и своя маршрутизация, смотрите iroute

> Еще раз поморочу голову коммунити. Может я не так обьясняю.
> Прикиньте, вы замиррорили порт на свиче. В зеркальный порт воткнули интерфейс тазика.
> Перевели NIC в промиск режим и слышите все, что проходит через замиррореный
> порт.
> Я хочу сделать то же самое, только в качестве зеркала у меня
> вирт иф с одной стороны туннеля, а слушать хочу на другой.

туннель это все таки не bridge, но попробовать вить можно как будет с зеркалированием
http://xgu.ru/wiki/OpenVPN_Bridge


Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

7. "Нестандартное использование VPN"  +/
Сообщение от Defence (ok) on 10-Апр-13, 14:00 

> у openvpn есть еще и своя маршрутизация, смотрите iroute

Увы, но ИМХО не получится
Прикиньте, появились они на вирт иф со своими заголовками....
Под какое правило маршрутизации они попадут?
Никак не получается


Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "Нестандартное использование VPN"  +/
Сообщение от reader (ok) on 10-Апр-13, 14:12 
>> у openvpn есть еще и своя маршрутизация, смотрите iroute
> Увы, но ИМХО не получится
> Прикиньте, появились они на вирт иф со своими заголовками....
> Под какое правило маршрутизации они попадут?
> Никак не получается

то что придется использовать tap, это точно.
а то что по ссылке под какое правило попало?

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "Нестандартное использование VPN"  +/
Сообщение от Defence (ok) on 10-Апр-13, 14:23 

> то что придется использовать tap, это точно.
> а то что по ссылке под какое правило попало?

Как раз разбираюсь. Тут еще одна заморочка вылезла :(
https://www.opennet.ru/tips/info/1664.shtml
OpenBSD не имеет устройства tap(4), которое по своей сути является простым
туннелем 2-го уровня OSI.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "Нестандартное использование VPN"  +/
Сообщение от McLeod095 (ok) on 10-Апр-13, 15:09 
>> то что придется использовать tap, это точно.
>> а то что по ссылке под какое правило попало?
> Как раз разбираюсь. Тут еще одна заморочка вылезла :(
> https://www.opennet.ru/tips/info/1664.shtml
> OpenBSD не имеет устройства tap(4), которое по своей сути является простым
> туннелем 2-го уровня OSI.

Ну для этог оне обязательно использовать OpenVpn, есть же и другие решения которые могут работать. Например тотже L2TP, ну или можно аналогично поднять туннель 2 уровня ОСИ используя ssh. Оба варианта можно поднимать уже внутри установленного OpenVpn туннеля, тогда тотже l2tp еще и шифроваться будет.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

5. "Нестандартное использование VPN"  +/
Сообщение от Defence (ok) on 10-Апр-13, 12:07 
Вы имели ввиду построить а-ля bridge на L2?
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру