Маршрутизация LAN через OpenVPN на OpenBSD 5.5
Ядро бэкпорта полезно для людей, у которых есть новое оборудование, требующее более свежих драйверов, чем, что может предложить стабильная версия.
Установка ядра от нестабильного или тестирование на установке конюшни были бы трудными: необходимо было бы добавить нестабильный или тестирующий как источник, и записать надлежащий предпочтительный файл, чтобы только получить ядро. И возможно столкнитесь с проблемой, если упаковка ядра изменилась, или если другое программное обеспечение, с которым взаимодействуют пакеты ядра, изменилось (загрузчики, платформы компиляции модуля, возможно несовместимости ABI в компиляторах, …).
От бэкпортов Вы получаете источник пакета, в который можно просто заскочить /etc/apt/sources.list.d. И Вы получаете пакет, который работает с загрузчиками, платформы компиляции модуля и так далее Вашего выпуска.
Это оказалось pf.conf. Дополнительное время, потраченное на изучение страницы OpenBSD PF NAT, привело меня к следующему правилу, которое позволило трафику корректно проходить через интерфейс tun0:
# /etc/pf.conf
pass out on tun0 inet from 192.168.2.0/24 to any flags S/SA nat-to (tun0) round-robin
Это, в сущности, означает, что он прочитан: передавать трафик из локальной сети, предназначенный для любого адреса, через tun0, конкретно IPv4, только посмотрите на флаги syn и ack, и выполните исходящее NAT, используя tun0. Круглые скобки вокруг (tun0) указывают pf на автоматическое обновление правила при смене адреса интерфейса. Это может произойти, если ваш VPN поддерживает несколько пиров и вы обходите отказ, и таким образом ручная перезагрузка набора правил становится ненужной.
Некоторое время на странице OpenBSD PF Filtering помогло мне уточнить правило:
# /etc/pf.conf
pass out on $vpn_if inet proto { $protos } from $lan_net to any flags S/SA modulate state nat-to ($vpn_if) round-robin
pass in on $vpn_if inet proto { $protos } from $vpn_gw to any flags S/SA modulate state
Флаг modulate state позволяет pf заменить более сильный Initial Sequence Number, который может помочь защитить некоторые операционные системы в сети.
Шлюз сейчас работает отлично, и я нахожусь в более сложных pf.conf конфигурациях.