Bridge über eth0 und tap0 und nichtsmehr tut / OpenVPN

[tyche]

Hallöchen!

Ich hab da kleinere Probleme mit dem Brückenbau:
Ich habe eine Netzwerkkarte eth0 (IP 10.7.2.1) und dem virtuellen Gerät eth0:0 (IP 192.168.2.6), wobei der Server als Router zwischen diesen beiden Netzen (ip_forwarding) fungiert.

Nun soll jedoch noch ein OpenVPN-Server installiert werden und ich versuche eben die notwendige Brücke dafür einzurichten. Wenn ich das richtig sehe muss ich die Geräte eth0 und tap0 zu br0 zusammenfassen.
Er startet br0 (IP 10.9.0.4) auch und entzieht eth0 und tap0 die IP-Adressen, jedoch kann ich dann keinen anderen Rechner mehr erreichen, weder im 10.x.x.x-Netz (welches doch über das neue br0 erreichbar sein sollte) noch im 192.168.2.x-Netz (welche doch weiterhin über eth0:0 erreichbar sein sollte).

Die Firewall ist durchweg auf ACCEPT, außer eben, dass das masquerading für das routing angeschaltet ist.

Habt ihr irgend ne Ahnung warum nichts mehr geht wenn die Brücke angeschaltet wird?


Ich habe dann noch einen etwas anderen Ansatz versucht:
Ich bin der Anleitung von
http://www.openvpn-forum.de/wiki/index.php/OVPN-Linux
gefolgt, wobei hier nichts von einer Brücke steht und sich das tap-Gerät automatisch einrichtet sobald der OpenVPN-Server gestartet wird.
In diesem Fall scheint alles zu tun, ich kann mich auch vom Client zum Server verbinden nur da hört es dann auf. Ich kann den Server über den Tunnel nichtmal anpingen.
Überall wird auf die Firewall verwiesen, nur ich seh da überall schon "ACCEPT" stehen...?!?


Ich hoff ihr könnt mir Helfen!
Schonmal vielen Dank im vorraus!


Nochmal zur Firewall:
FILTER:

Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT 0 -- anywhere anywhere
ACCEPT 0 -- anywhere anywhere

Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT 0 -- anywhere anywhere
ACCEPT 0 -- anywhere anywhere

Chain OUTPUT (policy ACCEPT)
target prot opt source destination



MANGLE:

Chain PREROUTING (policy ACCEPT)
target prot opt source destination

Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Chain POSTROUTING (policy ACCEPT)
target prot opt source destination


NAT:

Chain PREROUTING (policy ACCEPT)
target prot opt source destination

Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
MASQUERADE 0 -- anywhere anywhere

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

[DynaBlaster]

Poste mal bitte

Code: Alles auswählen

ifconfig -a

und deine "/etc/network/interfaces". Ich habe ein ähnliches Setup erfolgreich am laufen. Bei mir sieht das dann so aus:

/etc/network/interfaces

Code: Alles auswählen

# The loopback network interface
auto lo
iface lo inet loopback

# config for a bridged openvpn setup
auto br0
iface br0 inet static
        address 192.168.0.10
        netmask 255.255.255.0
        network 192.168.0.0
        broadcast 192.168.0.255
        gateway 192.168.0.1
        pre-up /sbin/ip link set eth0 up
        pre-up /usr/sbin/openvpn --mktun --dev tap0
        pre-up /sbin/ip link set tap0 up
        pre-up /usr/sbin/brctl addbr br0
        pre-up /usr/sbin/brctl addif br0 eth0
        pre-up /usr/sbin/brctl addif br0 tap0
        # ohne das hier läuft eth0 nur auf 10MBit im Half-Duplex.Mode
        post-up /usr/sbin/ethtool -s eth0 autoneg off speed 100 duplex full
        post-down /usr/sbin/brctl delbr br0
        post-down /sbin/ifconfig eth0 down

und die Ausgabe von ifconfig -a

Code: Alles auswählen

br0       Protokoll:Ethernet  Hardware Adresse 00:01:02:13:4D:E2
          inet Adresse:192.168.0.10  Bcast:192.168.0.255  Maske:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:96 errors:0 dropped:0 overruns:0 frame:0
          TX packets:76 errors:0 dropped:0 overruns:0 carrier:0
          Kollisionen:0 Sendewarteschlangenlänge:0
          RX bytes:8616 (8.4 KiB)  TX bytes:11850 (11.5 KiB)

eth0      Protokoll:Ethernet  Hardware Adresse 00:01:02:13:4D:E2
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:96 errors:0 dropped:0 overruns:1 frame:0
          TX packets:77 errors:0 dropped:0 overruns:0 carrier:77
          Kollisionen:0 Sendewarteschlangenlänge:1000
          RX bytes:10395 (10.1 KiB)  TX bytes:12042 (11.7 KiB)
          Interrupt:12 Basisadresse:0xa000

lo        Protokoll:Lokale Schleife
          inet Adresse:127.0.0.1  Maske:255.0.0.0
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          Kollisionen:0 Sendewarteschlangenlänge:0
          RX bytes:0 (0.0 b)  TX bytes:0 (0.0 b)

tap0      Protokoll:Ethernet  Hardware Adresse 9A:37:55:E8:AA:1E
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:4 errors:0 dropped:0 overruns:0 carrier:0
          Kollisionen:0 Sendewarteschlangenlänge:100
          RX bytes:0 (0.0 b)  TX bytes:222 (222.0 b)

[tyche]

Hallo DynaBlaster!

Du hast deine Lösung ja glaub schonmal gepostet und ich hab das auch schon getestet, leider tat das auch nicht.
so war u.a. /sbin/ip nicht vorhanden (zu welchem packet gehört das denn?)

Meine Überlegung war natürlich ob das irgendwie mit dem Gerät eth0:0 zusammen hängt, da dieses ja weiterhin unabhängig funktionieren sollte, jedoch eth0 in der Brücke ist.
Dieses hast du garnicht oder?

ifconfig -a könnte ich nur von der laufenden Config machen.
die andere kann ich dir eben nur beschreiben:
es waren alle geräte angelegt, (also eth0, eth0:0, tap0, br0, lo) hierbei hatten eth0 und tap0 eben keine ip-adresse mehr
Brückenbauversuche werde ich zeitlich bedingt wohl erst wieder am kommenden wochenende machen können.
wenn ich dann zum weiter testen komme, worauf muss ich in der ifconfig -a ausgabe achten?

bis dann und schonmal vielen dank!!

[DynaBlaster]

Ob man virtuelle Netzwerkkarten (eth0:0) überhaupt "bridgen" kann, weiss ich nicht. Das Tool /sbin/ip befindet sich im Paket iproute.