DHCP パケットは tun0 インターフェイスを通過しません。

tag-icon tag-icon networking routing firewall openvpn dhcp
DHCP パケットは tun0 インターフェイスを通過しません。

リモートオフィスには次の設定があります。

--- vlan interface --- Remote Router --tun0--> Main office Firewall --> Active Directory DHCP

私はそれを使用してdhcp3-relaydhcpリクエスト(ブロードキャスト)をプライマリADサーバー(ユニキャスト)に転送します。問題は、dhcp要求がリモートルータvlanインターフェイス(ブロードキャスト)に到着し、ルーティングを介してADサーバーに正しく転送され、回答を提供しますが、パケットを受信すると内部的にリモートルータのインターフェイスtun0に転送されないことです。vlanXXX要求はもともとから来ました。これはtcpdumpリモートルータの出力です。

tun0相互作用:

tcpdump -i tun0 -nevvv udp port 67 or 68

13:23:45.049995 Out ethertype IPv4 (0x0800), length 592: (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto UDP (17), length 576) IP.VPN.REMOTE.OFFICE.67 > IP.OF.AD.SERVER.67: BOOTP/DHCP, Request from MAC:ADDR:OF:THE:REMOTE:CLIENT, length 548, hops 1, xid 0x2c896edc, secs 11527, Flags [none] (0x0000)
          Gateway-IP IP.OF.NET.GATEWAY
          Client-Ethernet-Address MAC:ADDR:OF:THE:REMOTE:CLIENT [|bootp]

13:23:45.145014  In ethertype IPv4 (0x0800), length 350: (tos 0x0, ttl 125, id 24829, offset 0, flags [none], proto UDP (17), length 334) IP.OF.AD.SERVER.67 > IP.OF.NET.GATEWAY.67: BOOTP/DHCP, Reply, length 306, xid 0x2c896edc, Flags [none] (0x0000)
          Your-IP NEW.LEASE.FROM.AD
          Server-IP IP.OF.AD.SERVER
          Gateway-IP IP.OF.NET.GATEWAY
          Client-Ethernet-Address MAC:ADDR:OF:THE:REMOTE:CLIENT [|bootp]

ここでは、ソフトウェアによってパケットがdhcrelay本社に正しく転送され、ADがホストに新しいリースを提供していることがわかります。私たちは、openvpn(mpls)に基づいていない他のリンクからこのソリューションを使用してリモートオフィスにIPを割り当てました。

vlanXXX相互作用:

tcpdump -i vlanXXX -nevvv udp port 67 or 68

13:21:45.022067 MAC:ADDR:OF:THE:REMOTE:CLIENT > ff:ff:ff:ff:ff:ff, ethertype IPv4 (0x0800), length 590: (tos 0x0, ttl 64, id 147, offset 0, flags [none], proto UDP (17), length 576) 0.0.0.0.68 > 255.255.255.255.67: BOOTP/DHCP, Request from MAC:ADDR:OF:THE:REMOTE:CLIENT, length 548, xid 0x496364c3, secs 11407, Flags [none] (0x0000)
          Client-Ethernet-Address MAC:ADDR:OF:THE:REMOTE:CLIENT [|bootp]

tun0ホストからのブロードキャスト要求のみを表示できますが、到着してルーティングする必要がある応答は表示されませんvlanXXX

さらに、リモートルーターはこのプロトコルに非常に寛大です。

iptables -A INPUT  -p udp --sport 67:68 --dport 67 -j ACCEPT
iptables -A OUTPUT -p udp --sport 67 --dport 67:68 -j ACCEPT
iptables -A FORWARD -p udp --sport 67:68 --dport 67 -j ACCEPT
iptables -A FORWARD -p udp --sport 67 --dport 67:68 -j ACCEPT

dhcp3 - リレープロセス情報:

hafw:~# ps fax | grep dhc
 5714 pts/0    D+     0:00                      \_ grep dhc
 5087 ?        Ss     0:04 /usr/sbin/dhcrelay3 -i vlanxxx IP.OF.AD.SERVER

デフォルト割り当て(/etc/default/dhcp3-relay):

# Defaults for dhcp3-relay initscript
# sourced by /etc/init.d/dhcp3-relay
# installed at /etc/default/dhcp3-relay by the maintainer scripts

#
# This is a POSIX shell fragment
#

# What servers should the DHCP relay forward requests to?
SERVERS="IP.OF.AD.SERVER"

# On what interfaces should the DHCP relay (dhrelay) serve DHCP requests?
INTERFACES="vlanXXX"

# Additional options that are passed to the DHCP relay daemon?
OPTIONS=""

ソフトウェアバージョン:

hafw:~# dpkg -l | grep dhcp3-relay
ii  dhcp3-relay                            3.1.1-6+lenny6           DHCP relay daemon

リレー設定で試した操作は動作を変更しません。

  • -aプロキシ拡張を追加するオプション
  • ホップ数を追加-c 20し、デフォルト値(10)から20に増やします。それにもかかわらず、ADに到達するには8つのホップしかありません。
  • インターネットに向かってインターネットVLANインターフェイスを追加しますtun0vlanYYY
  • INTERFACES=オプションがないように空にしてください-i

私は何を逃したことがありませんか?

ベストアンサー1

これはユーティリティ自体のデザインバグのように見えますdhcrelay。それはただ聞くことができます放送インターフェイスであり、OpenVPNはピアツーピア相互作用。この-iフラグはこれを変更しません(セットで選択したインターフェイスの数だけを減らす)。放送相互作用)。

dhcrelay解決策は、ゲートウェイ自体ではなくリモートLAN内のデバイスで実行するようです。その後、中継されたユニキャストトラフィックはOpenVPNトンネルを介してDHCPサーバーに転送され、戻ります。

このような作業に小型で手頃な価格のサーバーが必要な場合は、Raspbianを実行するRaspberry Piをお勧めします。各リモートオフィスの一対のサーバーでDNSを実行します。

引用する

おすすめ記事