Промискуитет с network bridge на VMWare
Jul. 24th, 2012 10:12 am![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
leo_sosnineСисадминское. Убил два дня колупаясь с OpenVPN, настраиваемом в режиме site-2-site bridge для соединения двух офисов в общую подсеть с бродкастами. При тестировании всё было ОК, а в реале вышел затык: один сегмент сети преспокойно пинговался с обоих концов бриджа, а другой -- нет. Перелопатил конфиги OpenVPN на восемь раз, выкурил все мануалы. В итоге пришлось исключить OpenVPN, тогда стал смотреть в сторону бриджа на Windows 2008 R2, но он работал как часы, и наконец стал смотреть в сторону VMware ESXi 5.0, на котором эта винда стоит.
Оказывается, бриджинг на вмваре по-умолчанию недопустим, т.к. дропаются все promiscuous packets. Чтобы бридж заработал надо в настройках гипервизора включить акцепт промискуитета, делается таг:
vSphere Client'ом подключаемся к нужному гипевизору ESXi, Configuration, Networking, Properties, vSwitch, Edit, Security, Promiscuous mode, Accept.
Кстати, вот конфиги ОВПН на стороне сервера:
port 7878
proto udp
dev tap
dev-node tap-bridge
secret key
ping 60
verb 3
mute 10
comp-lzo
mute-replay-warnings
Клиента:
remote 10.10.10.10 7878
port 7878
proto udp
dev tap
dev-node tap-bridge
secret key
ping 60
verb 3
mute 10
comp-lzo
mute-replay-warnings
Интерфейс OVPN и интерфейс локалки объединяются в бридж средствами операционки, какая бы она ни была на обоих концах туннеля. Не потеряйте только контроль за машиной, если это всё делаете удалённо.
Кстати вот, на всякой удалённой машине, на которой мы настраиваем файрволл (примета: удалённая настройка файрволла -- к поездке), небесполезно делать до себя отдельный ОВПН канальчик, который будет всегда автоустанавливаться, если только на машине будет энторнет.
Оказывается, бриджинг на вмваре по-умолчанию недопустим, т.к. дропаются все promiscuous packets. Чтобы бридж заработал надо в настройках гипервизора включить акцепт промискуитета, делается таг:
vSphere Client'ом подключаемся к нужному гипевизору ESXi, Configuration, Networking, Properties, vSwitch, Edit, Security, Promiscuous mode, Accept.
Кстати, вот конфиги ОВПН на стороне сервера:
port 7878
proto udp
dev tap
dev-node tap-bridge
secret key
ping 60
verb 3
mute 10
comp-lzo
mute-replay-warnings
Клиента:
remote 10.10.10.10 7878
port 7878
proto udp
dev tap
dev-node tap-bridge
secret key
ping 60
verb 3
mute 10
comp-lzo
mute-replay-warnings
Интерфейс OVPN и интерфейс локалки объединяются в бридж средствами операционки, какая бы она ни была на обоих концах туннеля. Не потеряйте только контроль за машиной, если это всё делаете удалённо.
Кстати вот, на всякой удалённой машине, на которой мы настраиваем файрволл (примета: удалённая настройка файрволла -- к поездке), небесполезно делать до себя отдельный ОВПН канальчик, который будет всегда автоустанавливаться, если только на машине будет энторнет.
