FreeBSD + OpenVPN tap: нид хелп

February 15, 2011 by snakeslair

Собственно, что мы имеем:
FreeBSD 7.2 + OpenVPN client
openvpn настроен на tap (Конфиг не прицнипиален, но если нужно, приложу)

ifcnofig:

    tap10: flags=8943 metric 0 mtu 1500
     ether 00:bd:ed:bf:09:0a
     Opened by PID 80904
    bridge10: flags=8843 metric 0 mtu 1500
     ether aa:fe:fa:21:82:e5
     inet 10.255.1.114 netmask 0xfffffff8 broadcast 10.255.1.119
     id 00:00:00:00:00:00 priority 32768 hellotime 2 fwddelay 15
     maxage 20 holdcnt 6 proto rstp maxaddr 100 timeout 1200
     root id 00:00:00:00:00:00 priority 32768 ifcost 0 port 0
     member: vlan1058 flags=143
      ifmaxaddr 0 port 9 priority 128 path cost 20000
     member: tap10 flags=143
      ifmaxaddr 0 port 7 priority 128 path cost 2000000
    vlan1058: flags=8943 metric 0 mtu 1500
     options=3
     ether 00:30:48:62:97:de
     inet x.x.x.x netmask 0xfffffffc broadcast x.x.x.x
     media: Ethernet autoselect (1000baseTX )
     status: active
     vlan: 1058 parent interface: em0

netstat -rn

    Destination Gateway Flags Refs Use Netif Expire
    default x.x.x.65 UGS 0 5380 vlan10
    10.0.0.0/8 10.255.1.113 UGS 0 65951 bridge
    10.12.0.0/24 10.12.51.1 UGS 0 2303745402 em0
    10.12.4.0/24 link#4 UC 0 0 vlan12
    10.255.1.112/29 link#8 UC 0 0 bridge
    10.255.1.113 00:1c:c0:7c:a6:26 UHLW 5 19 bridge 1185
    x.x.x.x/30 link#9 UC 0 0 vlan10
    x.x.x.65 12:34:56:78:90:12 UHLW 2 248 vlan10 1137
    x.x.x.66 12:34:56:78:90:12 UHLW 1 0 lo0
    127.0.0.1 127.0.0.1 UH 0 8069771 lo0
    192.169.0.0/24 link#2 UC 0 0 em1

Яндексы пингуются, и вроде даже все замечательно, но. Трафик не ходит. Ни веб, ни что-либо иное.
tcpdump показывает странное:
на tap-интерфейсе виды и запросы и ответы (в случае пинга). На целевом узле видно только приходящие пакеты (если пакеты icmp, видно и входящие и исходящие)
на bridge видно только ответы от сервера (исходящие пакеты)
на vlan вообще ничего не видно

Разрешающие правила ipfw ситуацию не меняют ровно никак

А теперь внимание, вопрос, граждане читающие: где я накосячил?
P.S. Пробовал менять mtu на меньшее (1350), пробовал опции –fragment и –mssfix, но толку чуть – по tcpdump видно,что пинги большими пакетами ходят исправно и исправно режутся в соответствии с mtu, но tcp/udp не ходит никак. Уже даже не знаю, что думать 🙁