OpenVPN Routing-Problem (Site2Site)
Hallo!
Ich habe hier einen OpenVPN-Server der ansich läuft und die Verbindung
des Clients akzeptiert.
Realiesieren will eine Site2Site-Anbindung zweier Netzwerke. Hier mal
die Ausgangslage:
Server site (Konfig fürs Lan)
----------
Network: 192.168.100.0/24
Gateway: 192.168.100.99
VPN server: 192.168.100.99 (debain, ip_forward aktiviert)
VPN subnet: 192.168.123.0/24
VPN address: 192.168.132.1
route -n des Servers:
# route -n
Kernel IP Routentabelle
Ziel Router Genmask Flags Metric Ref Use Iface
192.168.123.2 0.0.0.0 255.255.255.255 UH 0 0 0 tun0
83.64.124.96 0.0.0.0 255.255.255.240 U 0 0 0 eth1
192.168.100.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
192.168.200.0 192.168.123.2 255.255.255.0 UG 0 0 0 tun0
192.168.123.0 192.168.123.2 255.255.255.0 UG 0 0 0 tun0
0.0.0.0 83.64.124.97 0.0.0.0 UG 0 0 0 eth1
Client Site:
------------
Network: 192.168.200.0/24
Gateway: keines Eingetragen
VPN Client host: 192.168.200.99 (linux, ip_forward aktiviert)
VPN address: 192.168.123.6
route -n says:
# route -n
Kernel IP Routentabelle
Ziel Router Genmask Flags Metric Ref Use Iface
192.168.123.5 0.0.0.0 255.255.255.255 UH 0 0 0 tun0
83.64.124.96 0.0.0.0 255.255.255.240 U 0 0 0 eth0
192.168.100.0 192.168.123.5 255.255.255.0 UG 0 0 0 tun0
192.168.200.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
192.168.123.0 192.168.123.5 255.255.255.0 UG 0 0 0 tun0
0.0.0.0 83.64.124.97 0.0.0.0 UG 0 0 0 eth0
Symptome:
---------
* Verbindung aktivert.
* Ich kann jeder Maschine in 192.168.100.0/24 von
192.168.200.99 (192.168.123.6, VPNClient) erreichen
* Ich kann 192.168.123.6 (VPN-Client) von jeder Maschine aus
192.168.100.0/24 erreichen
* Ich kann KEINE Maschinen in 192.168.200.0/24 (ClientLAN)
aus 192.168.100.0/24 (ServerLAN) erreichen
* Ich kann KEINE Maschinen in 192.168.100.0/24 (ServerLAN)
aus 192.168.200.0/24 (ClientLAN) erreichen.
Meine Konfiguration:
server.conf
------------
port 1193
proto udp
dev tun
tun-mtu 1500
fragment 1300
mssfix 1300
server 192.168.123.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "route 192.168.1.0 255.255.255.0"
client-config-dir ccd
client-to-client
route 192.168.200.0 255.255.255.0
push "route 192.168.100.0 255.255.255.0"
keepalive 10 120
comp-lzo
user nobody
group nobody
persist-key
persist-tun
status openvpn-status.log
log openvpn.log
verb 4
mute 10
-------------------------
Client conf
-----------
client
dev tun
proto udp
remote 83.64.124.110 1193
resolv-retry infinite
nobind
persist-key
persist-tun
comp-lzo
verb 4
mute 10
tun-mtu 1500
fragment 1300
------------
Wenn ich tcpdump auf dem Server ausführe, und aus dem ClientLAN
(192.168.200.0/24)
ins Server-LAN pinge, bekomme ich folgende Auzfzeichnungen:
11:32:04.259505 IP ns1.inode.at.domain > vpnclient.hausstein.vpn.32771:
60826 1/2/2 (139)
11:32:05.242478 IP vpnclient.hausstein.vpn.32770 >
83.64.124.110.openvpn: UDP, length: 133
11:32:05.243031 IP 83.64.124.110.openvpn >
vpnclient.hausstein.vpn.32770: UDP, length: 69
11:32:06.242323 IP vpnclient.hausstein.vpn.32770 >
83.64.124.110.openvpn: UDP, length: 133
11:32:07.242407 IP vpnclient.hausstein.vpn.32770 >
83.64.124.110.openvpn: UDP, length: 133
11:32:08.242469 IP vpnclient.hausstein.vpn.32770 >
83.64.124.110.openvpn: UDP, length: 133
11:32:09.241203 arp who-has 83.64.124.110 tell vpnclient.hausstein.vpn
11:32:09.241298 arp reply 83.64.124.110 is-at 00:0e:2e:0b:30:6b
11:32:09.242460 IP vpnclient.hausstein.vpn.32770 >
83.64.124.110.openvpn: UDP, length: 133
11:32:10.242422 IP vpnclient.hausstein.vpn.32770 >
83.64.124.110.openvpn: UDP, length: 133
Das Routing dürfte meiner Meinung nach also klappen. 83.64.124.110 ist
der VPN-Server
Wenn ich am Server tcpdump auf tun0 ausführe, passts auch:
13:00:13.456524 IP 192.168.200.100 > 192.168.100.99: icmp 64: echo
request seq 5285
13:00:14.456554 IP 192.168.200.100 > 192.168.100.99: icmp 64: echo
request seq 5286
Am Server erhalte ich folgenden Mitschnitt auf die Schnittstelle die ins
WAN zeigt:
11:32:44.232076 IP 83.64.124.105.32770 > homestone.hausstein.at.openvpn:
UDP, length 133
11:32:45.232125 IP 83.64.124.105.32770 > homestone.hausstein.at.openvpn:
UDP, length 133
11:32:46.232229 IP 83.64.124.105.32770 > homestone.hausstein.at.openvpn:
UDP, length 133
11:32:46.806972 IP homestone.hausstein.at.21720 >
249.176.102-84.rev.gaoland.net.13999: UDP, length 107
11:32:46.808032 IP homestone.hausstein.at.32769 > ns1.inode.at.domain:
5129+ [1au] PTR? 249.176.102.84.in-addr.arpa. (56)
11:32:46.871778 IP ns1.inode.at.domain > homestone.hausstein.at.32769:
5129 1/2/3 (170)
11:32:47.232332 IP 83.64.124.105.32770 > homestone.hausstein.at.openvpn:
UDP, length 133
11:32:48.232460 IP 83.64.124.105.32770 > homestone.hausstein.at.openvpn:
UDP, length 133
11:32:48.806777 IP homestone.hausstein.at.21720 >
249.176.102-84.rev.gaoland.net.13999: UDP, length 107
11:32:49.232584 IP 83.64.124.105.32770 > homestone.hausstein.at.openvpn:
UDP, length 133
11:32:50.232723 IP 83.64.124.105.32770 > homestone.hausstein.at.openvpn:
UDP, length 133
11:32:51.232818 IP 83.64.124.105.32770 > homestone.hausstein.at.openvpn:
UDP, length 133
11:32:52.232942 IP 83.64.124.105.32770 > homestone.hausstein.at.openvpn:
UDP, length 133
11:32:52.806838 IP homestone.hausstein.at.21720 >
249.176.102-84.rev.gaoland.net.13999: UDP, length 107
11:32:53.233098 IP 83.64.124.105.32770 > homestone.hausstein.at.openvpn:
UDP, length 133
11:32:53.233602 IP homestone.hausstein.at.openvpn > 83.64.124.105.32770:
UDP, length 69
83.64.124.105 ist der Client. Auch hier dürfte die PINGs die Firewall
passieren. Oder irre ich hier?
Ein tcpdump auf tun0 ergibt jedenfalls nichts!
Hier dürfte es also scheitern. Was kann ich machen, um ins LAN zu kommen?
Vielen Dank für eure Antworten!
martin
Reply to: