Записки на полях » vlan http://snake.khd.ru cat /var/log/messages Sun, 05 Feb 2012 11:22:27 +0000 en hourly 1 http://wordpress.org/?v=3.1.2 FreeBSD + OpenVPN tap: нид хелп http://snake.khd.ru/2011/02/freebsd-openvpn-tap-nid-xelp/ http://snake.khd.ru/2011/02/freebsd-openvpn-tap-nid-xelp/#comments Tue, 15 Feb 2011 07:19:18 +0000 admin http://snake.khd.ru/?p=685 [...]]]> Собственно, что мы имеем:
7.2 + client
openvpn настроен на (Конфиг не прицнипиален, но если нужно, приложу)

ifcnofig:

    tap10: flags=8943 metric 0 mtu 1500
     ether 00:bd:ed:bf:09:0a
     Opened by PID 80904
    bridge10: flags=8843 metric 0 mtu 1500
     ether aa:fe:fa:21:82:e5
     inet 10.255.1.114 netmask 0xfffffff8 broadcast 10.255.1.119
     id 00:00:00:00:00:00 priority 32768 hellotime 2 fwddelay 15
     maxage 20 holdcnt 6 proto rstp maxaddr 100 timeout 1200
     root id 00:00:00:00:00:00 priority 32768 ifcost 0 port 0
     member: vlan1058 flags=143
      ifmaxaddr 0 port 9 priority 128 path cost 20000
     member: tap10 flags=143
      ifmaxaddr 0 port 7 priority 128 path cost 2000000
    vlan1058: flags=8943 metric 0 mtu 1500
     options=3
     ether 00:30:48:62:97:de
     inet x.x.x.x netmask 0xfffffffc broadcast x.x.x.x
     media: Ethernet autoselect (1000baseTX )
     status: active
     vlan: 1058 parent interface: em0

netstat -rn

    Destination Gateway Flags Refs Use Netif Expire
    default x.x.x.65 UGS 0 5380 vlan10
    10.0.0.0/8 10.255.1.113 UGS 0 65951 bridge
    10.12.0.0/24 10.12.51.1 UGS 0 2303745402 em0
    10.12.4.0/24 link#4 UC 0 0 vlan12
    10.255.1.112/29 link#8 UC 0 0 bridge
    10.255.1.113 00:1c:c0:7c:a6:26 UHLW 5 19 bridge 1185
    x.x.x.x/30 link#9 UC 0 0 vlan10
    x.x.x.65 12:34:56:78:90:12 UHLW 2 248 vlan10 1137
    x.x.x.66 12:34:56:78:90:12 UHLW 1 0 lo0
    127.0.0.1 127.0.0.1 UH 0 8069771 lo0
    192.169.0.0/24 link#2 UC 0 0 em1

Яндексы пингуются, и вроде даже все замечательно, но. Трафик не ходит. Ни веб, ни что-либо иное.
tcpdump показывает странное:
на tap-интерфейсе виды и запросы и ответы (в случае пинга). На целевом узле видно только приходящие пакеты (если пакеты icmp, видно и входящие и исходящие)
на bridge видно только ответы от сервера (исходящие пакеты)
на вообще ничего не видно

Разрешающие правила ipfw ситуацию не меняют ровно никак

А теперь внимание, вопрос, граждане читающие: где я накосячил?
P.S. Пробовал менять на меньшее (1350), пробовал опции –fragment и –mssfix, но толку чуть – по tcpdump видно,что пинги большими пакетами ходят исправно и исправно режутся в соответствии с , но tcp/udp не ходит никак. Уже даже не знаю, что думать :(

]]> http://snake.khd.ru/2011/02/freebsd-openvpn-tap-nid-xelp/feed/ 0 Главное отличие VPN от VLAN http://snake.khd.ru/2011/01/glavnoe-otlichie-vpn-ot-vlan/ http://snake.khd.ru/2011/01/glavnoe-otlichie-vpn-ot-vlan/#comments Wed, 26 Jan 2011 03:44:10 +0000 admin http://snake.khd.ru/2011/01/glavnoe-otlichie-vpn-ot-vlan/ На самом деле термин произошел от английского термина “виллан” ( холоп ), то есть – сеть для смердов.
А термин произошел от уже от севременного “ВИП-и-Н” что означает – сеть для VIP’ов.
(с) nag,ru

]]> http://snake.khd.ru/2011/01/glavnoe-otlichie-vpn-ot-vlan/feed/ 2 Делаем по-взрослому (изучаем vlan`ы) http://snake.khd.ru/2010/03/delaem-po-vzroslomu-izuchaem-vlany/ http://snake.khd.ru/2010/03/delaem-po-vzroslomu-izuchaem-vlany/#comments Thu, 11 Mar 2010 08:00:45 +0000 admin http://snake.khd.ru/?p=272 [...]]]> Первый раз с самим понятием вланов (virtual LAN, VLAN) я столкнулся, проживая в студенческом общежитии (как будто я там сейчас не живу – прим. авт). Универ после ремонта разродился на нормальную ЛВС – с розетками в каждой комнате, коммутационными шкафами на лестничных клетках и 48-портовыми д-линками на этаж. На каждое общежитие студгородка было выделено по 2 влана, что добавило геморроя в настройке, но позволило избавиться от лишних бродкастов (с другой стороны, всякие VypressChat уже не работали). Сама идея очень даже неплоха – пользователи отделяются друг от друга на канальном уровне, можно крутить разные подсети на одном коммутаторе и прочие плюшки.

Интернет в общаге раздается весьма своеобразно – через два сервера. На одном крутится две дсл, на другом – еще три. Модемы подключены напрямую, т.е. в одном сервере стоит три сетевушки, во втором – четыре. Это накладывает существенные ограничения во-первых на железо (найти плату с 3 и более PCI-разъемами сложновато), а во-вторых на масштабируемость – добавлять новые сетевухи это не наш метод :) . Т.к. под рукой совершенно случайно оказался управляемый DES-1226G с поддержкой вланов, решено было через этот самый коммутатор подключать модемы, оставив на серверах по две сетевушки – на вход и на выход. На “входящей”, соответственно висели интерфейсы общежитских сетей, на “выходящей” – вланы модемов.
Создается влан-интерфейс чрезвычайно просто:

snake@snake [snake]#ifconfig vlan1692 create vlan 1692 vlandev em1 inet 192.169.2.2 netmask 255.255.255.0

Здесь:
1692 – имя интерфейса
vlan 1692 – так называемый тэг влана (если мы собираемся принимать на этом интерфейсе только тэгированный трафик, что и требуется)
vlandev em1 – указывает родительский интерфейс (транк) на котором и будет висеть влан
далее идет обычная настройка – ip, маска и т.д.
Чтобы изменения сохранились после перезагрузки, в rc.conf нужно добавить следующие строки:

snake@snake [snake]#cat /etc/rc.conf
hostname="snake.hostel5.ru"
ifconfig_em0="inet 10.1.0.1 netmask 255.255.255.0"
cloned_interfaces="vlan1205 vlan1690 vlan1691 vlan1692 vlan1693 vlan1694 vlan1695"
ifconfig_vlan1205="inet 10.12.5.254 netmask 255.255.255.0 vlan 1205 vlandev em0"
ifconfig_vlan1690="inet 192.169.0.2 netmask 255.255.255.0 vlan 1690 vlandev em1"
ifconfig_vlan1691="inet 192.169.1.2 netmask 255.255.255.0 vlan 1691 vlandev em1"
ifconfig_vlan1692="inet 192.169.2.2 netmask 255.255.255.0 vlan 1692 vlandev em1"
ifconfig_vlan1693="inet 192.169.3.2 netmask 255.255.255.0 vlan 1693 vlandev em1"
ifconfig_vlan1694="inet 192.169.4.2 netmask 255.255.255.0 vlan 1694 vlandev em1"
ifconfig_vlan1695="inet 192.169.5.2 netmask 255.255.255.0 vlan 1695 vlandev em1"

В нашем случае создается 7 vlan-интерфейсов – один на “входящей” сетевушке – для общежитской сети, и еще 6 на “выходящей” – часть из них используется для связи с модемами, часть – просто для мониторинга и управления.

Удалить влан интерфейс:

snake@snake [snake]#ifconfig vlan1692 destroy

Не забываем настроить соответствующим образом порты коммутатора – порт, к которому подключается “выходящая” сетевая карта сервера, должен пропускать только тэгированный трафик, порты, к которым подключены модемы – нетэгированный (потому как модемы в большинстве своем про всякую экзотику типа vlan слыхом не слыхивали), причем PVID порта должен совпадать с номером нужного влана (а у нас длинк, к слову. у других производителей все может быть совсем по другому).
Приведу простой пример – “выход” сервера подключен к 10 порту коммутатора. Модемы – соответственно к 11,12 и 13 портам. На 10 порту прописываются соответствующие вланы (для каждого модема отдельный, как мы помним) – все тэгированные, PVID не столь важен, потому что трафик будет пропускаться только тэгированный (от сервера либо с другого порта коммутатора).
На портах, к которым подключены модемы (11,12 и 13) прописываем по влану с опцией untag, и назначаем этим портам PVID, соответствующий номеру влана – таким образом весь нетэгированный трафик на этом порту будет считаться трафиком данного влана.
Если все настроено правильно – модемы должны пинговаться (если правильно настроены ип), и pppoe должен нормально подниматься. Если нет – смотрим, где и что недонастроили (например, интерфейс в настройках mpd).

Всяческие замечания, предложения и критика приветствуются.

]]> http://snake.khd.ru/2010/03/delaem-po-vzroslomu-izuchaem-vlany/feed/ 5