কিভাবে openvpn সেতু মাধ্যমে dhcp ট্রাফিক বন্ধ?

1

ক্ষেত্রে আমার openwpn সেতু সঙ্গে সংযুক্ত দুটি openwrt রাউটার আছে।

Iptables দ্বারা ট্রাফিক বন্ধ করতে পারে iptables-mod-extra: 

iptables -I FORWARD -m physdev --physdev-out tap0 -p udp --dport 67:68 -j DROP
iptables -I FORWARD -m physdev --physdev-in tap0 -p udp --dport 67:68 -j DROP
iptables -I INPUT -m physdev --physdev-in tap0 -p udp --dport 67:68 -j DROP

এছাড়াও ট্রাফিক বন্ধ করা যাবে ebtables দ্বারা: 

ebtables -I FORWARD -i tap0 -p IPv4 --ip-protocol udp --ip-destination-port 67:68 -j DROP 
ebtables -I FORWARD -o tap0 -p IPv4 --ip-protocol udp --ip-destination-port 67:68 -j DROP 
ebtables -I INPUT -i tap0 -p IPv4 --ip-protocol udp --ip-destination-port 67:68 -j DROP 
ebtables -I OUTPUT -o tap0 -p IPv4 --ip-protocol udp --ip-destination-port 67:68 -j DROP
networking  router  dhcp  openvpn  bridge 
5f0f5
সূত্র
আমি সঠিকভাবে বুঝতে পারলে, আপনি দুটি সম্প্রচার ডোমেনে দুটি ডি.এ.সি.সি.পি সার্ভারের সাথে এটির দুটি অংশ সংযুক্ত একটি ভিপিএন সেতু ব্যবহার করার চেষ্টা করছেন। আপনি সেতু মাধ্যমে DHCP ট্রাফিক ব্লক করতে চান। আপনি ব্যাখ্যা করতে পারেন কেন আপনি দুটি DHCP সার্ভার চান এবং কেবল এক নয় - সম্ভবত অন্য দিকে ব্যাকআপের সাথে? এবং কেন একটি সেতু ব্যবহার এবং রাউটিং (tun) না? আপনি tcpdump বা অনুরূপ সঙ্গে কি ঘটছে তা পরিদর্শন করার চেষ্টা করেছিলেন?
Zrin
"1)", "2)" এবং "3)" এর পরে রাউটিং টেবিলটি চেক করুন, 10.0.0.1, 10.0.0.5 পিং করার চেষ্টা করুন এবং ম্যাকবুক থেকে অন্য ডিভাইসগুলি উভয় রাউটারগুলিতে tcpdump আউটপুট দেখছেন - tcpdump man দেখুন পৃষ্ঠা ... এটি আপনাকে কারণটি খুঁজে পেতে সহায়তা করবে।
Zrin
ভাল, এখন আপনার কারণ আছে - এআরপি এর উত্তর "কার 10.0.0.5 আছে?" ম্যাক ফিরে পেতে না। সম্ভবত কিছু ক্যাশে কারণে? আপনি কয়েক মিনিট পরে চেষ্টা করলে কি হবে? এছাড়াও একই Macbook ছাড়া অন্য ডিভাইসের সঙ্গে ঘটবে কিনা তা পরীক্ষা করে দেখুন।
Zrin
ভাল, আপনি দেখেছেন যে 10.0.0.5 থেকে এআরপি উত্তর 10.0.0.1 এ ফিরে আসেনি। যে সমস্যা সম্ভাব্য কারণ। 10.0.0.5 যে ARP উত্তরগুলিকে ভুল ইন্টারফেসে প্রেরণ করছে, সম্ভবত এটি ডিভাইস (ম্যাকবুক) অন্য ইন্টারফেস (Wi-Fi) এর সাথে সংযুক্ত হওয়ার আগে এটি "শিখেছি" - এবং তা এখনও ভুলে যায়নি (এখনো), ম্যাকবুকের এমএসি ঠিকানা সহ এআরপি অনুরোধটি ভিপিএন টানেল / সংযুক্ত TAP ইন্টারফেসের মাধ্যমে পৌঁছেছে যখন এটি অভ্যন্তরীণ সারণী আপডেট করেনি। আমি আপনাকে আপনার প্রশ্ন সম্পাদনা এবং tcpdump এবং এআরপি প্যাকেট সঙ্গে প্রাপ্ত আপনার পর্যবেক্ষণ যোগ সুপারিশ।
Zrin

উত্তর:

2

ভিপিএন ব্রিজ এবং ডিএইচসিপি বিচ্ছেদ সম্পর্কে আপনার সেটআপ সঠিক।

সমস্যা হল আপনার দ্বিতীয় এপি / রাউটারের "10.0.0.5" যা অভ্যন্তরীণভাবে মনে রাখে (খুব দীর্ঘ সময়ের জন্য) যে একটি ডিভাইস তার Wi-Fi ইন্টারফেসের সাথে সংযুক্ত ছিল এবং এটি একই সাথে প্যাকেটগুলির সাথে এই তথ্যটি আপডেট করে না। ম্যাক ঠিকানা অন্য ইন্টারফেস থেকে আসে, আপনার ক্ষেত্রে VPN টানেলের TAP ইন্টারফেস।

আবার "10.0.0.1" এর সাথে সংযুক্ত, আপনার যন্ত্রটি ("ম্যাকবুক") এআরপি অনুরোধগুলিকে "10.0.0.5 কে আছে" প্রেরণ করে যা "10.0.0.5" তে VPN টানেল থেকে যায়, কিন্তু যা উত্তর দেয় না বা না সঠিক (এখন TAP) ইন্টারফেসে ফরোয়ার্ড করুন।

আপনার কনফিগারেশনের জন্য সেতু সেটআপ উপযুক্ত কিনা তা যাচাই করার জন্য আপনাকে এপি / রাউটারের মধ্যে ভিপিএন TAP ইন্টারফেসটি কীভাবে আটকানো দরকার তা যাচাই করতে হবে।

আমি আপনাকে আপনার পরীক্ষার পুনরাবৃত্তি এবং প্রশ্নে ইন্টারফেসগুলিতে tcpdump লগগুলি ক্যাপচার করি, এছাড়াও অভ্যন্তরীণ সেতু এবং / অথবা এআরপি উত্তরগুলি কোথায় যান তা দেখতে Wi-Fi ইন্টারফেসের সাথে, এবং তারপরে এই সম্ভাব্য নির্দিষ্ট সম্পর্কিত উপযুক্ত ট্যাগ সহ একটি নতুন প্রশ্ন খুলুন। আপনার এপি / রাউটার সঙ্গে সমস্যা।

Zrin
সূত্র
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.