Re: OpenVPN Routing-Problem (Site2Site)
Martin Reising <mreising@nixda.org> wrote:
> [-- text/plain, encoding quoted-printable, charset: iso-8859-1, 92 lines --]
> On Sat, Jun 03, 2006 at 12:54:01PM +0200, Martin Müller - Rudolf Hausstein OHG wrote:
>> Server site (Konfig fürs Lan)
>> ----------
>> Network: 192.168.100.0/24
>> Gateway: 192.168.100.99
>> VPN server: 192.168.100.99 (debain, ip_forward aktiviert)
>> VPN subnet: 192.168.123.0/24
>> VPN address: 192.168.132.1
>>
>> route -n des Servers:
>> # route -n
>> Kernel IP Routentabelle
>> Ziel Router Genmask Flags Metric Ref Use Iface
>> 192.168.123.2 0.0.0.0 255.255.255.255 UH 0 0 0 tun0
>> 83.64.124.96 0.0.0.0 255.255.255.240 U 0 0 0 eth1
>> 192.168.100.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
>> 192.168.200.0 192.168.123.2 255.255.255.0 UG 0 0 0 tun0
>> 192.168.123.0 192.168.123.2 255.255.255.0 UG 0 0 0 tun0
>> 0.0.0.0 83.64.124.97 0.0.0.0 UG 0 0 0 eth1
> Der Client hat also im VPN-Transfernetz die 192.168.123.2
Nein, das passt schon. Das ist nur die Dummy-Route für das Transfernetz
auf das tun0-Device.
Durhc das "server 192.168.123.0" in OpenVPN wird ein Netz folgender Art
erzeugt:
.0 -> Netz-Adresse Server-"Netz"
.1 -> Server selbst
.2 -> Route auf das tun-Device auf dem Server für das Transfernetz
.3 -> Broadcast Server-"Netz"
.4 -> Netz-Adresse 1. Client "Netz"
.5 -> Gateway-Adresse "Server" für 1. Client
.6 -> 1. Client eigene Adressen
.7 -> Broadcast 1. Client
...
...
...
Das wird so gebraucht, wenn man Windows-Clients hat, weil die immer
Netz- und Broadcast-Adresse brauchen. Hat man nur Unix-Clients kann man
OpenVPN anders konfigurieren und sich Netz- und Broadcast-Adressen
sparen. Die Routen sehen dabei dann aber ähnlich aus.
>> Client Site:
>> ------------
>> Network: 192.168.200.0/24
>> Gateway: keines Eingetragen
>> VPN Client host: 192.168.200.99 (linux, ip_forward aktiviert)
>> VPN address: 192.168.123.6
> Wieso hat der Client denn jetzt die 192.168.123.6 im VPN-Transfernetz?
> Sollte das nicht 192.168.123.2 sein?
Nein, das ist schon OK so.
>> route -n says:
>> # route -n
>> Kernel IP Routentabelle
>> Ziel Router Genmask Flags Metric Ref Use Iface
>> 192.168.123.5 0.0.0.0 255.255.255.255 UH 0 0 0 tun0
>> 83.64.124.96 0.0.0.0 255.255.255.240 U 0 0 0 eth0
>> 192.168.100.0 192.168.123.5 255.255.255.0 UG 0 0 0 tun0
>> 192.168.200.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
>> 192.168.123.0 192.168.123.5 255.255.255.0 UG 0 0 0 tun0
>> 0.0.0.0 83.64.124.97 0.0.0.0 UG 0 0 0 eth0
> Wer hat denn die 192.168.123.5?
> Sollte die Route nicht die auf den VPN-Server 192.168.123.1 zeigen?
Nein, das ist auch korrekt so. Point-to-Point-Interfaces sind etwas
"eigenwillig" in den möglichen IP-Vergaben.
S°
--
Sven Hartge -- professioneller Unix-Geek
Meine Gedanken im Netz: http://www.svenhartge.de/
Reply to: