Как разделять работу 2 dhcp серверов соединенных мостом VPN?

Question

[tayanov]

Есть два роутера openwrt в разных точках, домах.
Каждый имеет свой выход в интернет.
Первый 10.0.0.1 клиент VPN
Второй 10.0.0.100 сервер VPN

между ними openvpn ethernet tap туннель, без ip на конце.
Тем самым клиенты одной видны всем клиентам другой сети.
Работают широковещательные пакеты. Без всякой маршрутизации. Все клиенты в одном сегменте сети 10.0.0.0

У каждого есть свои локальные клиенты wifi и лан.
И у каждого роутера есть свой DHCP.
Проблема в том что хочется ограничить работу DHCP в каждом доме.

Иначе иногда клиент dhcp получает ip и шлюз от удаленного роутера. тем самым инет адекватно не работает на устройствах.
Кажется получается "треугольная" маршрутизация какая то - кажется так называется.
и проблема не в полученном ip а в полученном шлюзе.
Как разграничить их работу?

Answer 1

[tayanov]

В решении поможет ebtables
В OpenWRT прийдется доставить ядерный модуль kmod-ebtables-ipv4

#!/bin/sh
# Выбираем порт$BAN_IF=tap0
# Добавляем правила
ebtables -A INPUT -i $BAN_IF -p ipv4 --ip-prot udp --ip-sport 67:68 -j DROP
ebtables -A INPUT -i $BAN_IF -p ipv4 --ip-proto udp --ip-dport 67:68 -j DROP
ebtables -A FORWARD -i $BAN_IF -p ipv4 --ip-proto udp --ip-dport 67:68 -j DROP
ebtables -A FORWARD -i $BAN_IF -p ipv4 --ip-proto udp --ip-sport 67:68 -j DROP

Answer 2

[satoo]

• повесить dhcp на конкретный интерфейс (если есть такая возможность - не указан используемый dhcp сервер)
  
• блокировать udp 67 из интерфейса vpn. 100% гарантия на любом интерфейсе
  

Comments

[tayanov]

С момента вопроса так и не нашел решения. Установлен odhcpd, видимо дефолтовый для openwrt.
и видимо повесить dhcp на конкретный интерфейс не удастся, так так wi-fi lan и tap0 объеденины мостом(в одну зону).
И настройки производятся сразу для всей зоны.

пытался блочить udp 67 на интерфейсе tap0, не помогло. скроее всего из-за отсутствия нужной компетенции.
может предложите строки правил для блока пакетов для tap0.