Meerdere IP adressen voor een bridge

vrijdag 28 oktober 2011 09:11

Acties:

0 Henk 'm!

Topicstarter

Ik heb enkele weken terug een OpenVPN server opgezet. In die situatie heb ik drie subnetten, te weten:

192.168.20.0/24 (A)
192.168.21.0/24 (B )
192.168.22.0/24 (C)

Wat ik wilde is het C subnet enkel gebruiken voor de VPN clients. Dat is me tot nu toe niet gelukt.

Ik heb een bridge (br0) gemaakt op de server over de interfaces eth0 (de netwerkkaart) en tap0 (de OpenVPN tap interface). Deze bridge - en dus de OpenVPN server - bevindt zich in subnet B op dit adres: 192.168.21.10. Ik push de route voor subnet A mee, zodat deze ook bij VPN clients bekend is.

Wat ik eigenlijk wil is dat de OpenVPN server (en dus br0) ook luistert op 192.168.22.1. Kortom, kan ik meerdere IP adressen aan deze bridge hangen?

De OpenVPN server draait op Debian squeeze.

zeroxcool.net - curity.eu

vrijdag 28 oktober 2011 09:13

Acties:

0 Henk 'm!

BHQ

Hmm, kan je de bridge geen alias meegeven?

Dus br0:1 of iets in die orde.

Just curious, waarom zou je dit willen? Wil je de machine gewoon kunnen benaderen via bijv. ssh?

vrijdag 28 oktober 2011 09:17

Acties:

0 Henk 'm!

m_w_mol

Sluit me aan bij antwoord Jarpse.

Maar als je het echt wilt, check dan het volgende artikel even:
http://forums.freebsd.org/showthread.php?t=8915

Integriteit is altijd het juiste doen, ook als niemand kijkt.

vrijdag 28 oktober 2011 09:20

Acties:

0 Henk 'm!

zeroxcool

Topicstarter

Ik wil de VPN clients in subnet C hangen, omdat ik bijvoorbeeld de VPN clients IP gewijs de toegang wil verbieden op enkele services.

De server moet daarom ook zelf in subnet C hangen om bereikbaar te zijn als een 'gateway' voor de subnetten A en B. Overigens zit de server in subnet B, omdat deze ook enkele andere taken uitvoert.

[edit]
Dat is dus voornamelijk FreeBSD network config syntax, is de Debian variant daarvan dus br0:1?

[ Voor 13% gewijzigd door zeroxcool op 28-10-2011 09:21 ]

zeroxcool.net - curity.eu

vrijdag 28 oktober 2011 09:34

Acties:

0 Henk 'm!

BHQ

Hmm, kan je dan niet beter kiezen voor een routed VPN of is de keus voor een layer2 lijntje bewust?

Je kan ook per client bepalen welke routes er gepusht worden, maar dit heb ik zelf nog niet toegepast. Allicht is een transparante (IP-loze op de gebrugde interfaces, pfSense kan dat) firewall ook een optie.

-edit- Probeer gewoon eens met ifconfig een IP aan br[nummer]:1 te geven, en daarna te checken?

[ Voor 13% gewijzigd door BHQ op 28-10-2011 09:38 ]

vrijdag 28 oktober 2011 09:42

Acties:

0 Henk 'm!

zeroxcool

Topicstarter

Keuze voor layer 2 is vooral gebaseerd op Windows (Samba) shares die gemakkelijk benaderbaar moeten zijn.

Het blocken van bepaalde services is niet op gebruiker niveau, maar gewoon op het hele VPN subnet. Ik weet, ik zou ook de VPN clients in subnet B op een kleine /27 kunnen draaien, maar goed, dat kan altijd nog. Ik was gewoon benieuwd of het kan, aangezien er op het net heel weinig over te vinden is

.

zeroxcool.net - curity.eu

vrijdag 28 oktober 2011 09:46

Acties:

0 Henk 'm!

BHQ

Samba gaat ook gewoon over een routed VPN

Zolang die kist z'n gateway maar kan vinden richting de client.

Allicht is een transparante firewall ertussen + vaste IP's voor je verbindende clients dan de beste optie als je op layer 2 wil blijven. Dan kan je alsnog filteren.

vrijdag 28 oktober 2011 10:15

Acties:

0 Henk 'm!

VisionMaster

Security!

Ik raad je aan om je tap om te zetten naar een tun device. Je hebt geen layer 2 nodig voor Samba/CIFS, je wilt een GW op de openvpn server, zodat je niet het broadcast verkeer steeds over je tunnel heen gooit en je stelt dat je "IP-gewijs" de clients wil scheiden. Dat is leuk, maar je geeft te veel opties vrij aan de VPN clients die deze zaken kunnen negeren.

I've visited the Mothership @ Cupertino

vrijdag 28 oktober 2011 10:52

Acties:

0 Henk 'm!

zeroxcool

Topicstarter

Okay, helder heren. Ga ik dat proberen.

zeroxcool.net - curity.eu

Onderwerpen