在某些情况下,我有两个通过 openvpn 桥连接的 openwrt 路由器。
iptables 可以使用 iptables-mod-extra 来阻止流量:
iptables -I FORWARD -m physdev --physdev-out tap0 -p udp --dport 67:68 -j DROP
iptables -I FORWARD -m physdev --physdev-in tap0 -p udp --dport 67:68 -j DROP
iptables -I INPUT -m physdev --physdev-in tap0 -p udp --dport 67:68 -j DROP
ebtables 也可以阻止流量:
ebtables -I FORWARD -i tap0 -p IPv4 --ip-protocol udp --ip-destination-port 67:68 -j DROP
ebtables -I FORWARD -o tap0 -p IPv4 --ip-protocol udp --ip-destination-port 67:68 -j DROP
ebtables -I INPUT -i tap0 -p IPv4 --ip-protocol udp --ip-destination-port 67:68 -j DROP
ebtables -I OUTPUT -o tap0 -p IPv4 --ip-protocol udp --ip-destination-port 67:68 -j DROP
答案1
您关于 VPN 桥接和 DHCP 分离的设置是正确的。
问题(很可能)出在您的第二个 AP/路由器“10.0.0.5”中,它内部记住(时间太长?)某个设备已连接到其 Wi-Fi 接口,并且当具有相同 MAC 地址的数据包来自另一个接口(在您的情况下是 VPN 隧道的 TAP 接口)时,它不会更新此信息。
再次连接到“10.0.0.1”,您的设备(“Macbook”)发送 ARP 请求“谁有 10.0.0.5”,该请求通过 VPN 隧道到达“10.0.0.5”,但没有得到答复或没有转发到正确的(现在是 TAP)接口。
如果桥接设置适合您的配置,您需要检查 VPN TAP 接口如何在 AP/路由器内桥接。
我建议您重复测试并捕获有问题的接口上的 tcpdump 日志,还有内部桥接器和/或 Wi-Fi 接口,以查看 ARP 回复的去向,然后使用适当的标签就您的 AP/路由器可能存在的特定问题提出一个新问题。