OpenVPN bridge (без ключей)

[Zerax]

Добрый день.

Имеется сервак на KVM в одном из дата-центров, на нём поднят OpenVPN сервер.

server.conf

(Нажмите, чтобы показать/скрыть)

port 703
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh2048.pem
server 195.162.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 208.67.222.222"
push "dhcp-option DNS 208.67.220.220"
client-to-client
keepalive 10 120
tls-auth ta.key 0
cipher AES-128-CBC
auth SHA256
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3
management localhost 5577

Цепляются к нему некоторое количество юзеров с самых разных устройств (linux, Android, Windows, MacOS и iOS). Всё идеально работает.

client.conf

(Нажмите, чтобы показать/скрыть)

client
dev tun
proto udp
remote 195.xxx.xxx.xxx 703
resolv-retry infinite
nobind
user nobody
group nogroup
persist-key
persist-tun
ca ca.crt
cert office.crt
key office.key
ns-cert-type server
tls-auth ta.key 1
cipher AES-128-CBC
auth SHA256
comp-lzo
verb 3

Встала задача подать VPN в офис, куда приходят сотрудники со своими ноутами. Соответственно в пределах офиса им нужно дать доступ. Т.е. всё достаточно банально, приходит юзер со своим ноутом, садится на рабочее место, цепляет кабель и вуаля, он в сети. Люди каждый раз новые, кто-то может придти один раз, кто-то 10. Постоянно объяснять и растраивать клиента, выдавать и аннулировать ключи честно говоря тупая работа.
В нете находил решения когда соединяют 2 сети силами OpenVPN, у меня немного другой случай. Нужно поднять клиента OpenVPN в офисе на ubuntu, который будет пускать в закрытую сеть без клиента OpenVPN и соответственно, без ключей.
Пробовал настроить мост с tun/tap, но ip и всё остальное не уходят на bridge интерфэйс.

[fisher74]

Пробовал настроить мост с tun/tap, но ip и всё остальное не уходят на bridge интерфэйс.

Можно только пособолезновать.
Или всё-таки будете показывать Вашу попытку?

[Zerax]

На тачке (Ubuntu 16.04.3 server, last update) 2 сетевухи:
#1 enp3s0 - смотрит на роутер провайдера, с неё получает инет по dhcp.
#2 enp4s0 - смотрит в локалку, 192.168.0.1/24

Делаю (openvpn bridge-utils уже стоит):
brctl addbr br0
ifconfig enp3s0 0.0.0.0 down
ifconfig enp4s0 0.0.0.0 down
brctl addif br0 enp3s0
brctl addif br0 enp4s0
ifconfig enp3s0 up
ifconfig enp4s0 up
ifconfig br0 up
dhclient br0

Итог:
Всем в сети (локальной)присвоены ip, появился интернет от роутера провайдера по dhcp.

Ну это как промежуточный результат.
Далее:

reboot
service openvpn start

на тачке появился tun0/tap0 (потом в конфиге клиента поменял tap)

brctl addbr br0
ifconfig tap0 0.0.0.0 down
ifconfig enp4s0 0.0.0.0 down
brctl addif br0 tap0
brctl addif br0 enp4s0
ifconfig tap0 up
ifconfig enp4s0 up
ifconfig br0 up
dhclient br0 - и вот тут тупняк. Если так выразится, tap0 не отдаёт ip и всё остальное мосту.

[AnrDaemon]

А не боитесь, что вас провайдер подвесит за такой мост?

[Zerax]

А не боитесь, что вас провайдер подвесит за такой мост?

Ну коли Вы написали, разъясните...

Мне непонятно в вашем тексте слово "подвесит"

[AnrDaemon]

Раз непонятно, разберите свой мост и больше так не делайте.
Вы объединили свою сеть с чужой без согласия на то владельца сети.

[fisher74]

Ну, на сколько я понимаю, между провайдерской сетью и "своей" стоит ещё роутер. Так что объединения я не вижу.

[Zerax]

Постойте...

Какая своя сеть внутри провайдера?

Я хоть и дибильным образом но подымал мост между локальной сетью и VPN сервером.
И ip со всем "багажом" приходил непосредственно с сервера VPN в дата-центре.

Делалось это так:
Запускал тачку на Win2008R2, 2 сетевухи. Первая смотрит на роутер провайдера, и получат ip от него по dhcp.
Втрорая смотрит в локалку. На серваке запускал службу OpenVPN (в диспечере проще говоря, появляется 3 сетевуха).
Далее ставлю virtualbox, на него Win7, токже 2 сетевухи. Одна мостом на первую, вторая мостом на третью (т.е. tap).
Всё.

Всё прекрасно работало 3 года, ни один провайдер, а их меняли, из-за переезда, не высказывал недовольства.
Убрали весь этот балаган, из того что пришли ребята и попросили лицензию на винду.
Ну а городить тоже самое на наксах...
Думаю можно обойтись и без virtualbox...

[AnrDaemon]

Ну, на сколько я понимаю, между провайдерской сетью и "своей" стоит ещё роутер. Так что объединения я не вижу.

Хорошо, если так. Хотя из постов ТС это нигде не видно.

[Zerax]

Мне это как продемонстрировать?

Хорошо!
Ща всю эту жесть сделаю заново.

[AnrDaemon]

Мне это как продемонстрировать?

Как минимум - минимальную стандартную диагностику показать.
https://forum.ubuntu.ru/index.php?topic=107492.0 спойлер в конце ОП.

[Zerax]

Мне это как продемонстрировать?

Как минимум - минимальную стандартную диагностику показать.
https://forum.ubuntu.ru/index.php?topic=107492.0 спойлер в конце ОП.

Не поверите, но именно по этой статье настраивал то, от чего отказался.
Не стал на форуме задавать вопрос.
У существующего провайдера за правило идет постоянный реконект, с выдачей нового ip, маски, шлюза и тд. Небыло времени заниматься выяснением причины. Как итог, на OpenVPN сервер могу удалённо зайти, но он перестаёт что либо пинговать, кроме себя. Ребут решал проблему, но не надолго.
Работает не более часа.
Хотя дома данная схема работает досихпор.

[AnrDaemon]

Вы вообще сообщения читаете, прежде чем на них отвечать?

[Zerax]

Вы вообще сообщения читаете, прежде чем на них отвечать?

Да. Вы мне предлагаете использовать NAT.
А мне интересно как сделать bridge.

[AnrDaemon]

Я вообще-то просил диагностику. Но вы, видимо, читаете только знакомые слова, либо вообще только те, которые вам нравятся.