ARP応答がブリッジモードでOpenVPNを使用してbr0からtap0に消える

OpenVPNサーバーとして機能するLinuxボックス（esxi5上）をセットアップしました。サーバーはクライアントに対してブリッジングを使用するように構成されていますが、基本的には1つの例外を除いて機能します。

クライアントがサーバー自体ではないネットワーク上のマシンにpingを送信しても、機能しません。私が知っているすべてのもの（iptablesなど）を除外し、tcpdumpを実行すると、次のことがわかります。

tap0とbr0にARPリクエストが表示されます
br0にARP応答が表示されます
tap0にARP応答が表示されない

質問：br0デバイスがARP応答をtap0デバイスに転送しないのはなぜですか？

— フェン
ソース

わかりました-私はさらに一歩進みました。brctl showmacsを使用してブリッジのMACテーブルを見ると、tap0側に私のVPNクライアントのMACアドレスが表示されます。ここでvpnクライアントからサブネットへのpingを開始すると、MACアドレスがオーバーブリッジポートに移動しますが、これはもちろんサブネットのarp応答をブロックします。pingが停止すると、Macはすぐに元に戻ります。だから私が知らないのは、なぜMACアドレスが間違ったスイッチポートに切り替わったのかです-私のすべての検索は今のところ何の結果ももたらしませんでした。

— 2011

それが別のポートに「移動」する場合、MACアドレスがネットワークに複数存在するか、ネットワークループ（アクティブによって接続された同じブリッジの2つのポート）の影響が発生していることの明確な手がかりになります。道）。どちらも設定の問題であり、修正する必要があります。

— the-wabbit 2014

最初にクライアントで静的ARPエントリを使用して問題を特定します。その後pingがうまく機能する場合は、ARPのトラブルシューティングに進むことができます。それが機能しない場合は、ARPだけでなく、より大きなネットワークの問題があります。

— Ricardo

私たちはあなたのネットワークがどのように見えるかについてそれについて何も知ることができないので。ロングショット; あなたは持っているんclient-to-clientサーバーのOpenVPNの設定ファイルに？サーバーがopenvpnをクライアントとして使用してVPNネットワークに接続されている場合、文はtrueになる可能性があります。PS。どんなディストリビューションを使っていますか？

— Michal Sokolowski、2015年

回答:

これ以上の情報がなければ、私たちは推測していますが、試してみましょう：

まず、eth0とtap0の両方が無差別モードであることを確認します。br0は無差別モードであってはなりません。

次に、干渉している可能性のあるarptablesおよびiptablesルールがあることを確認します。

あなたはすでにarp応答を受け取っているので、おそらくこれを持っていませんが、とにかくそれをチェックしてください。

最後にrp_filter設定を確認しますが、設定した追加のsysctlパラメータも確認します。

— ヒギタ
ソース

...そしてESXiなので、仮想スイッチで無差別モードが有効になっていることを確認します。

— Gerald Combs

^ ^ ^ ^ ESXiを実行している場合は、vSwitchでプロミスキャスモードを有効にすることが不可欠です。本当に。

— roaima 2017年

ESXiホストにネットワークへの冗長接続がある場合、Net.ReversePathFwdCheckPromiscのデフォルト設定が原因で発生する可能性のあるさまざまなARP問題があります。CARPを使用するpfSenseユーザーは、これをデバッグする最初期のユーザーの1人でした。

同様の環境で、OpenBSDブリッジがFreeBSDでセットアップされていますが、vlanの追加の複雑さもあります。Net.ReversePathFwdCheckPromiscが1に設定されていないホストで、ネットワークへの複数のアップリンクが存在する場合、タップデバイスへのインバウンドトラフィックで大量のパケット損失（95％以上）が発生します。1に設定すると問題なく動作します。

— JG23
ソース