Re: OpenVPN und Routing machen mich konfus...
Am Donnerstag, den 07.10.2010, 00:52 +0200 schrieb ako:
>
> Am 07.10.2010 00:35, schrieb Sascha Reißner:
> >
> > Ich musste es mir mal aufzeichnen, damit ich dein Routing nachvollziehen
> > kann:
>
> Wow, das sieht schon mal gut aus und wer 10.8.0.5 und 10.8.0.6 ist, hast
> Du doch schon selbst beantwortet?! Verstehe ich die Frage falsch?
Ja, sorry, mein Fehler.
10.8.0.5 sollte 10.8.0.1 und 10.8.0.6 sollte 10.8.0.2 lauten.
Aber egal. Mit 5 und 6 stimmen die Routen des Clients, aber dann stimmen
die Routen am Server nicht, oder übersehe ich da welche?
>
> > Netzwerk: 192.168.200.0/24
> > \ | / -------
> > \|/ | | Internet
> > O-------------| GW |------------
> > | | |
> > | -------
> > 192.168.200.14 | 192.168.200.250
> > -------
> > | eth0 |
> > | | OVPN-Server
> > | tun0 |
> > -------
> > 10.8.0.5 |
> > |
> > |
> > | Netzwerk: 10.8.0.0/24
> > |
> > |
> > 10.8.0.6 |
> > -------
> > | tun0 |
> > | | OVPN-Client
> > | eth0 |
> > -------
> > 192.168.10.15 | 192.168.10.1
> > | -------
> > | | |
> > O-------------| GW |------------
> > /|\ | | Internet
> > / | \ -------
> > Netzwerk: 192.168.10.0/24
> >
> > So sieht es bis jetzt aus. Wenn da etwas nicht stimmt, bitte sofort
> > berichtigen.
> >
> >> Zuerst die Server-Seite ->
> >> -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- --
> >> OpenVPN Server: Win2k3 (192.168.200.14)
> >> Netzwerkziel Netzwerkmaske Gateway Schnittstelle Metrik
> >> 0.0.0.0 0.0.0.0 192.168.200.250 192.168.200.14 100
> >> 10.8.0.0 255.255.255.252 10.8.0.1 10.8.0.1 10
> >
> > Was ist das für eine Netzwerkmaske ???
>
> Die vom OpenVPN-Server unter Windows Server 2003. Die sehen bei allen
> OpenVPN-Servern so aus, die ich bisher installiert habe.
Ach, jetzt weis ich was du meinst.
Der Server setzt sich ins 10.8.0.0/30 Netz.
10.8.0.0 Netzwerk
10.8.0.1 Host1 (Server)
10.8.0.2 Host2 (Client)
10.8.0.3 Broadcast
> >
> >> 10.8.0.0 255.255.255.0 10.8.0.2 10.8.0.1 1
> >> 10.8.0.1 255.255.255.255 127.0.0.1 127.0.0.1 10
> >> 10.255.255.255 255.255.255.255 10.8.0.1 10.8.0.1 10
> >> 192.168.10.0 255.255.255.0 10.8.0.2 10.8.0.1 1
> >> 192.168.200.0 255.255.255.0 192.168.200.14 192.168.200.14 100
> >> 192.168.200.14 255.255.255.255 127.0.0.1 127.0.0.1 100
> >> 192.168.200.255 255.255.255.255 192.168.200.14 192.168.200.14 100
> >> 255.255.255.255 255.255.255.255 10.8.0.1 10.8.0.1 1
> >> 255.255.255.255 255.255.255.255 192.168.200.14 192.168.200.14 1
> >> Standardgateway:192.168.200.250
> >>
> >> Firewall/Standard-Gateway(192.168.200.250):
> >> Static routing -> 10.8.0.0/24 GW 192.168.200.14
> >> und sicherheitshalber auch noch
> >> 192.168.10.0/24 GW 192.168.200.14
> >> -----------------------------------------------------------------------
> >>
> >>
> >> dann die Client-Seite ->
> >> -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- --
> >> OpenVPN Client: Debian 5 (192.168.10.15)
> >> route -n:
> >> Ziel Router Genmask Flags Metric
> >> 10.8.0.5 0.0.0.0 255.255.255.255 UH 0
> > ^^^^^^^^
> >> 10.8.0.0 10.8.0.5 255.255.255.0 UG 0
> > ^^^^^^^^
> >> 192.168.200.0 10.8.0.5 255.255.255.0 UG 0
> > ^^^^^^^^
> > Wer ist 10.8.0.5 ???
>
> siehe oben.
>
> >> 192.168.10.0 0.0.0.0 255.255.255.0 U 0
> >> 0.0.0.0 192.168.10.1 0.0.0.0 UG 0
> >>
> >> ip route:
> >> 10.8.0.5 dev tun0 proto kernel scope link src 10.8.0.6
> >
> > Und wer ist 10.8.0.6 ???
>
> siehe oben. Vllt. verstehe ich nicht, worauf Du hinaus willst.
Der Client setzt sich aber ins 10.8.0.4/30 Netz.
10.8.0.4 Netzwerk
10.8.0.5 Host1 (Server)
10.8.0.6 Host2 (Client)
10.8.0.7 Broadcast
Sollte der Client nicht auch im 10.8.0.0/30 Netz sein mit der IP
10.8.0.2 ?
> >> 10.8.0.0/24 via 10.8.0.5 dev tun0
> >> 192.168.200.0/24 via 10.8.0.5 dev tun0
> >> 192.168.10.0/24 dev eth0 proto kernel scope link src 192.168.10.15
> >> default via 192.168.10.1 dev eth0
> >>
> >> Firewall/Standardgateway(192.168.10.1)
> >> Static routing -> 192.168.200.0/24 GW 192.168.10.15
> >>
> >> "iptables" ist hier so eingestellt:
> >> Chain INPUT (policy ACCEPT)
> >> target prot opt source destination
> >> Chain FORWARD (policy ACCEPT)
> >> target prot opt source destination
> >> ACCEPT all -- anywhere anywhere
> >> Chain OUTPUT (policy ACCEPT)
> >> target prot opt source destination
> >
> > Für mich sieht es so aus, als wäre Server und Client an einander vorbei
> > configuriert.
> > Die Routen des Servers deuten darauf hin,
> > daß der Server die IP 10.8.0.1 und der Client die IP 10.8.0.2 hat.
>
> Jeder OpenVPN-Client bekommt doch quasi per "DHCP" vom OpenVPN-Server
> sein Netz mit der Maske 255.255.255.252. Ergo bekommt mein Client seine
> eigene IP (10.8.0.6) mit seiner Adresse für die Gegenestelle 10.8.0.5
> (oder so ähnlich).
Aber der Client muss mit dem Server im selben Netz sein.
Also sollte sich entweder der Server als 10.8.0.5 ins 10.8.0.4/30 Netz
setzen, oder der Client als 10.8.0.2 ins 10.8.0.0/30 Netz.
> So wie ich das verstehe, können sich also
> OpenVPN-Server und OpenVPN-Client dadurch unterhalten, dass sie mit
> 10.8.0.2 und 10.8.0.5 verbunden sind.(!?)
Wenn die Netzwerkmasken wirklich 30 Netzwerk-Bits und 2 Host-Bits haben,
sitzen Server und Client in 2 verschiedenen Netzen.
Auf dem Server sieht es zumindest so aus:
> 10.8.0.0 255.255.255.252 10.8.0.1 10.8.0.1 10
Allerdings gibt es auf den Client keine einzige Route mit einer
30er-Maske.
Dafür gibt es auf Server und Client routen mit einer 24er-Maske.
Der Server sendet ans Gateway 10.8.0.2, nur diese IP hat niemand.
Und der Client sendet ans Gateway 10.8.0.5, die aber auch niemand hat.
> Wie gesagt, das hier ist eine Client-to-Net bzw. Net-to-Net Konfiguration.
Vieleicht irre ich mich ja völlig. Hab noch kein Net-to-Net mit OVPN
eingerichtet.
> > Die Routen des Clients deuten darauf hin,
> > daß der Server die IP 10.8.0.5 und der Client die IP 10.8.0.6 hat.
> >
> > Ich denke die beiden Hosts routen die Pakete an einander vorbei.
> > Je nachdem, welche IP's jetzt wirklich verwendet werden, funktioniert
> > der Ping in die eine oder in die andere Richtung, aber niemals in beide.
> >
> > Überprüfe die IP's bitte nochmal.
> >
> > mfG Sascha
>
> Grüße zurück, axel...
Sascha
Reply to: