я наконец забыл добавлять внешний файл конфигурации к профилю apparmor. теперь все работает
Без дополнительной информации, мы предполагаем, но давайте попробуем:
Сначала убедитесь, что и eth0, и tap0 находятся в беспорядочном режиме. br0 не должен находиться в неразборчивом режиме.
Затем проверьте, есть ли у вас arptables и какие-либо правила iptables, которые могут мешать.
Поскольку вы уже получаете ответы arp, вероятно, у вас нет this , но все равно проверьте его.
наконец проверьте настройки rp_filter , но также проверьте любые дополнительные sysctl параметры, которые вы могли установить.
Если ваш хост ESXi имеет избыточные подключения к сети, существует множество проблем ARP, которые могут возникнуть из-за настройки по умолчанию Net.ReversePathFwdCheckPromisc. Пользователи pfSense, использующие CARP, были одними из первых, кто отладил это, что описано на https://doc.pfsense.org/index.php/CARP_Configuration_Troubleshooting
. В аналогичной среде мы установили мост OpenVPN на FreeBSD, но также дополнительное усложнение vlans. На хосте, где для Net.ReversePathFwdCheckPromisc не установлено значение 1 и где существует несколько восходящих каналов связи с сетью, мы видим огромную потерю пакетов (95% +) во входящем трафике к устройству с ответвлением. Он отлично работает при значении 1.