Как разрулить маршрутизацию в сети с openvpn сервером?
Что имеем
Есть сеть вида 172.16.3.0/24. Есть cisco cat 3560g, на которой терминируется несколько вланов в виде InterfaceVlan она же осуществляет IVR.(vlan с сетью 172.16.3.0/24, имеет адрес 172.16.3.1)
К этой циске подключен сервер с Ubuntu на котором поднят OpenVPN сервер и установлен туннель.
Интерфейсы на сервере
eth0 - внешняя сеть с публичным адресом с помощью которой по паблик интернету устанавливается соединения с другим опенвпн сервером,
eth1 интерфейс с адресом 172.16.3.99,
tap0 - интерфейс от опенвпн тоже получил адрес из этой сети 172.16.3.100.
Другой оконечник туннеля тоже получил адрес из этой сети 172.16.3.101
Маршруты на сервере
user@server:~# ip route
default via public_gateway dev eth0
public_net dev eth1 proto kernel scope link src public_ip
172.16.3.0/24 dev eth1 proto kernel scope link src 172.16.3.99
172.16.3.100 dev tap0 scope link
Маршруты на циске
ip route 172.16.3.101 255.255.255.255 172.16.3.99
ip forward на сервере включен, но трафик не ходит, с чем может быть связано?
А то, что они все в одной подсети - это нормально? просто не сталкивался с такой конфигурацией, обычно подсети у локальной сети и моста разные. Еще что интересно - а с циски виден интерфейс 172.16.3.100? Если да, то почему не его указать в качестве next-hop? tcpdump -i eth1 видит пакеты для 101-го адреса?
Сам понимаю что не нормально) Но администратор с другой стороны впн сервера попросил так сделать) я бы просто поднял тунель на циске, если бы уних был ipsec или что-то подобное, но как я понимаю cisco cat3560 не умеет openvpn.
Уберите из настроек интерфейса tap0 адрес, он не нужен.
Ethernet-мост нужен для прямого проброса клиентов в локальную сеть.
Маршрутизация не нужна, поскольку пакеты приходящие на tap-интерфейс уходят сразу с присвоенного физического с его таблицей маршрутизации (поэтому адрес лишний). Маршрут на циске избыточен, поскольку в ARP таблице клиенты будут с mac адресом eth1.
Простой
