OpenVPN + IPv6

[Kalessind]

Добрый день!

Сразу скажу, что прежде чем писать потратил не один час на танцы с бубнами и чтение мануалов и похожих топиков.

Имеется Ubuntu 13.10, openvpn 2.3.2, bridge-utils 1.5.

Код: [Выделить]

$ lsb_release -a
No LSB modules are available.
Distributor ID: Ubuntu
Description: Ubuntu 13.10
Release: 13.10
Codename: saucy

$ apt-cache policy openvpn bridge-utils
openvpn:
  Установлен: 2.3.2-4ubuntu1

bridge-utils:
  Установлен: 1.5-6ubuntu1

Нужно настроить OpenVPN для возможности работать не из офиса. Работодатель ввёл ряд ограничений. В частности использование IPv6.
Есть файл конфигурации openvpn - /etc/openvpn/tap0.conf:

Код: [Выделить]

dev tap
tun-mtu 1500
tun-ipv6

# proto tcp-client
proto udp
auth-nocache

remote openvpn1.server.ru 1197
remote openvpn2.server.ru 1197
remote openvpn3.server.ru 1197
remote-random

resolv-retry infinite

# pull # принимать команды push от сервера.то есть позволять переконфигурировать клиента
# nobind

ca /etc/openvpn/certs/allcas.pem
cert /etc/openvpn/certs/certnew.cer
key /etc/openvpn/certs/privkey.pem
cipher AES-128-CBC

# remote-cert-tls server # поддерживается в openvpn 2.1 и выше
askpass /etc/openvpn/key.txt

# tls-remote vpn-unix
tls-auth /etc/openvpn/certs/tls.key
tls-client

log /var/log/openvpn.log
verb 4

# comp-lzo # использовать сжатие

persist-tun
persist-key
persist-local-ip
persist-remote-ip

# script-security 2
# topology p2p # subnet
# ifconfig cdn.server.ru. mask

daemon

# up /etc/openvpn/client_up.sh

Запускаем openvpn:

Код: [Выделить]

$ sudo /etc/init.d/openvpn start tap0
 * Starting virtual private network daemon(s)...
 *   Starting VPN 'tap0'

В журнале openvpn видно, что проблем нет:

Код: [Выделить]

$ sudo tail -n 7 /var/log/openvpn.log
Thu Nov 21 00:43:38 2013 us=604836 Data Channel Encrypt: Cipher 'AES-128-CBC' initialized with 128 bit key
Thu Nov 21 00:43:38 2013 us=604886 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Nov 21 00:43:38 2013 us=604907 Data Channel Decrypt: Cipher 'AES-128-CBC' initialized with 128 bit key
Thu Nov 21 00:43:38 2013 us=604927 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Nov 21 00:43:38 2013 us=604997 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Thu Nov 21 00:43:38 2013 us=605044 [vpn-unix-server.ru Peer Connection Initiated with [AF_INET]xx.88.yy.zz:1197
Thu Nov 21 00:43:39 2013 us=770296 Initialization Sequence Completed

При этом почему-то в информации о новом сетевом интерфейсе нет данных о сетевых параметрах:

Код: [Выделить]

$ ifconfig tap0
tap0      Link encap:Ethernet  HWaddr 4a:da:5c:a6:96:35 
          BROADCAST MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

Должно ли так быть? Или ошибка уже тут?

Идём дальше. Создаю bridge.

Код: [Выделить]

$ sudo brctl addbr br0
$ sudo brctl addif br0 tap0
$ sudo brctl show br0
bridge name bridge id STP enabled interfaces
br0 8000.4ada5ca69635 no tap0
$ sudo brctl addif br0 wlan0
can't add wlan0 to bridge br0: Operation not supported

Удаляю созданный bridge:

Код: [Выделить]

$ sudo brctl delbr br0

И начинаю действовать через файл /etc/network/interfaces, добавив туда следующие строки:

Код: [Выделить]

# The bridge interface
auto br0
iface br0 inet dhcp
bridge_ports wlan0 tap0
 bridge_fd 9
 bridge_fd 0
 bridge_hello 2
 bridge_maxage 12
 bridge_maxwait 15
 bridge_stp on

Запускаю bridge:

Код: [Выделить]

$ sudo ifup br0
can't add wlan0 to bridge br0: Operation not supported

Waiting for br0 to get ready (MAXWAIT is 15 seconds).
Internet Systems Consortium DHCP Client 4.2.4
Copyright 2004-2012 Internet Systems Consortium.
All rights reserved.
For info, please visit https://www.isc.org/software/dhcp/

Listening on LPF/br0/4a:da:5c:a6:96:35
Sending on   LPF/br0/4a:da:5c:a6:96:35
Sending on   Socket/fallback
DHCPDISCOVER on br0 to 255.255.255.255 port 67 interval 3 (xid=0x7382fa22)
DHCPDISCOVER on br0 to 255.255.255.255 port 67 interval 7 (xid=0x7382fa22)
....

Опять получаю проблему, что нельзя добавить wlan0 в bridge. В добавок получаю вечный DHCPDISCIVER..
Порывшись в инете я понял, что в Ubuntu начиная с 13 версии эта проблема есть у многих и она чуть ли не на уровне ядра.

При этом сейчас интерфейс wlan0 поднят с помощью Network Manager. В принципе в нём есть настройки OpenVPN, но они, увы, без поддержки необходимого мне IPv6.

Пытался поднимать wlan0 с помощью wpa_supplicant и ifup/ifconfig. Но заставить работать OpenVPN у меня не получилось.

Буду очень признателен за наставление на правильный путь в этом вопросе. Заранее спасибо за ответы.

[AnrDaemon]

Вы выберите что-то одно.
Либо ifupdown, либо NM.

[Artif]

В конфиге OpenVPN идут опциии c tun и tap в назвиниях. tun и tap несмешиваемые штуки. Точно, что возможен именно такой набор опций? Но, там ведь в логах есть

Код: [Выделить]

Thu Nov 21 00:43:39 2013 us=770296 Initialization Sequence Completed
Т.е. туннель-то типа поднимается, выходит. Выходит, OpenVPN завелась и работает.

Порывшись в инете я понял, что в Ubuntu начиная с 13 версии эта проблема есть у многих и она чуть ли не на уровне ядра.

Тут бы пару предложений с названиями объектов, которые затрагивает проблема. Краткую формулировку. Т.к. их тут пока нет - это признак.

Можно проверить как ходит трафик, если мост не собирать. Могут вылезти проблемы - типа фрагментация, mtu, mss велики для провайдера и-нета. Но это потом, а мост не собирается не из-за этого.

Можно взять tcpdump (или WireShark, она - графика) и плотно подумать - что именно они показывают. Что именно и куда летит, и, отдельно, не прилетает ли неожиданное. Сопоставить с ожидаемым. М.б. есть попытка объединить в целое раздельные вещи. Т.е. типа - маршрут для одних адресов оказался маршрутом в сеть с др. адресами. Адреса и IP, и MAC - разные уровни модели OSI (tun vs tap и сопредельные темы). М.б. DHCP отвечает только на определённые MAC (можно жулить - MAC сменить, в настройках интерфейса).

P.S. У нас в России принято соседу объяснять, что он всё неправильно всегда делал и делает. В рамках традиции: а чего их в мост-то включать? Замутить отдельный tun0, с отдельными IP, прописать маршрут в локалку на работу через этот tun0. И на работу оно будет ходить через tun0, в инет через wlan0, или что там наружу ведёт.

Хотя, там ведь заморочки самой работы... Но, можно на рабочем компе поднять клиента, дома - сервер. Все стороны с собственными, любыми настройками. Клиент будет лезть наружу, не важно чем он экранирован, за какими защитами сама раб.станция и т.д. Клиент сам лезет наружу, а при открытом доступе в инет... Дома - за скромную денюжку, на белом IP адресе свой сервер. Ради работы ведь, можно на белый выделить сколько-то денюжки.

Я бы, на месте админов, напрягся бы от такого.

Пользователь решил продолжить мысль 01 Февраля 2014, 21:41:18:NM vs ручное управление - надо что-то одно выбрать. Причём ручное управление может оказаться более простым, без админов с работы со всеми их условиями. NM штука широкая, остановить её не всегда было просто. Я с тех пор не пользовался, он с тех пор стал лучше, насколько это внешне заметно.

[AnrDaemon]

Теме как бы три месяца. Вы точно уверены, что некропостингом не страдаете?
И ifupdown - это не ручное управление.

[Artif]

Теме как бы три месяца. Вы точно уверены, что некропостингом не страдаете?
И ifupdown - это не ручное управление.

Я читаю темы с первых страниц ленты и читаю суть, не обращая внимания на даты и имена. Простите, если обидел.

[AnrDaemon]

А вы форум со своим блогом не перепутали?

[n978143]

А вы форум со своим блогом не перепутали?

И что каждый раз создавать новый пост если подобная проблема есть а решение не описано или на новой версии не помогает?
Вот сейчас в 14.04 не работает hostapd, и внятного решения проблемы "can't add wlan0 to bridge br0: Operation not supported" не нашел.
И 3 месяца это не три года.