|
OpenVPN i problem z DHCP
|
| vxdcs |
Dodano 30-09-2015 08:17
|
User
Posty: 15
Dołączył: 12/07/2007 00:24
|
Witam forumowiczów.
W firmie w fazie testów mam parę pomidorków od Shibbiego.
Są spięte poprzez OpenVPN. Połączenia miedzy są i czasem nawet wręcz za bardzo to połączenie daje się we znaki.
Serwer ma wyłączony DHCP, a 2 routery klienckie mają tą samą podsieć ale inny zakres przydzielania adresów DHCP.
1 klient 192.168.10-19, 2 klient 192.168.20-29.
Problem w tym że laptop podpięty pod 1 router pobiera DHCP i bramę domyślną etc z 2 routera.
Jakoś da się po blokować DHCP by nie fruwał w VPNie?
RT-AC3200U@ Tomato by shibby 1.38 AIO
|
| |
|
|
| hermes-80 |
Dodano 30-09-2015 09:33
|
VIP
Posty: 3676
Dołączył: 21/04/2009 11:24
|
- zmienić TAP na TUN,
- zablokować przez iptables porty serwera DHCP,
- ustawić statik DHCP wszędzie.
===============================================================
Netgear WNR3500L v1
Podziękowania dla administracji Openlinksys.info!
|
| |
|
|
| vxdcs |
Dodano 30-09-2015 10:20
|
User
Posty: 15
Dołączył: 12/07/2007 00:24
|
Cytat hermes-80 napisał(a):
- zmienić TAP na TUN,
- zablokować przez iptables porty serwera DHCP,
- ustawić statik DHCP wszędzie.
Tylko zależy mi by kompy widziały się w sieci i w dodatku by można korzystać z drukarek przez VPNa.
W dodatku zależy mi na DHCP. Nie chce wpisywać wszystkich komputerów do static DHCP, zwłaszcza, że lista będzie bardzo długo bo komputery migrują miedzy routerami i każdy router musiał by mieć pełną listę.
Ale blokowanie portu DHCP jest dobrym pomysłem. Spróbuje 
RT-AC3200U@ Tomato by shibby 1.38 AIO
|
| |
|
|
| hermes-80 |
Dodano 30-09-2015 10:37
|
VIP
Posty: 3676
Dołączył: 21/04/2009 11:24
|
Przy tun bez nałożonego NAT-u komunikacja i drukowanie powinno być możliwe.
===============================================================
Netgear WNR3500L v1
Podziękowania dla administracji Openlinksys.info!
|
| |
|
|
| vxdcs |
Dodano 30-09-2015 11:08
|
User
Posty: 15
Dołączył: 12/07/2007 00:24
|
Wcześniej ćwiczyłem TUN i z tunelem NAT i bez nie chciało to za bardzo chodzić, w sensie nie było komunikacji między komputerami, potem przeszedłem na TAP i dalej nie było komunikacji. Dopiero parametr client-to-client pozwolił na komunikację.
Poćwiczę najpierw z blokadą portu TCP/IP 67, 68.
W iptables mam zablokować interfejs tap.
RT-AC3200U@ Tomato by shibby 1.38 AIO
|
| |
|
|
| dar3k |
Dodano 30-09-2015 14:01
|
Super User
Posty: 419
Dołączył: 29/11/2013 22:48
|
port 67, 68 na iptables nic nie da bo to inna warstwa musisz go blokować przez ebtables tak jak opisałem to tutaj:
https://openlinksys.info/forum/viewthread.php?thread_id=19009
najlepiej w każdej lokalizacji (na każdym routerze) dla odpowiedniego interfejsu (np tap11, tap21 itp.
ER-12 + 4x UAP-AC-PRO
|
| |
|
|
| vxdcs |
Dodano 01-10-2015 11:00
|
User
Posty: 15
Dołączył: 12/07/2007 00:24
|
Skrypt mam dopisać na routerach klienckich i na routerze z serwerem czy wystarczy tylko na klientach?
RT-AC3200U@ Tomato by shibby 1.38 AIO
|
| |
|
|
| dar3k |
Dodano 01-10-2015 12:25
|
Super User
Posty: 419
Dołączył: 29/11/2013 22:48
|
Najlepiej na każdym blokuj dhcp na interfejs tap (odpowiedni dla danego routera) teoretycznie wystarczy blokada n-1 ale według mnie pracy dużo nie ma to możesz na wszystkie wkleić do skryptu firewall
ER-12 + 4x UAP-AC-PRO
|
| |
|
' target='_blank'>Link
