Re: OpenVPN Routing-Problem (Site2Site)

To: debian-user-german@lists.debian.org
Subject: Re: OpenVPN Routing-Problem (Site2Site)
From: Sven Hartge <sven@svenhartge.de>
Date: Sat, 03 Jun 2006 14:43:14 +0200
Message-id: <[🔎] E1FmVTG-00020F-GU@mids.svenhartge.de>
References: <[🔎] 44816A49.3090806@hausstein.at> <[🔎] 20060603121631.GD7532@kronen.irrlicht.ruhr.de>

Martin Reising <mreising@nixda.org> wrote:
> [-- text/plain, encoding quoted-printable, charset: iso-8859-1, 92 lines --]

> On Sat, Jun 03, 2006 at 12:54:01PM +0200, Martin Müller - Rudolf Hausstein OHG wrote:
>> Server site (Konfig fürs Lan)
>> ----------
>> Network: 192.168.100.0/24
>> Gateway: 192.168.100.99
>> VPN server: 192.168.100.99 (debain, ip_forward aktiviert)
>> VPN subnet: 192.168.123.0/24
>> VPN address: 192.168.132.1
>> 
>> route -n des Servers:
>> # route -n
>> Kernel IP Routentabelle
>> Ziel            Router          Genmask         Flags Metric Ref Use Iface
>> 192.168.123.2   0.0.0.0         255.255.255.255 UH    0      0     0 tun0
>> 83.64.124.96    0.0.0.0         255.255.255.240 U     0      0     0 eth1
>> 192.168.100.0   0.0.0.0         255.255.255.0   U     0      0     0 eth0
>> 192.168.200.0   192.168.123.2   255.255.255.0   UG    0      0     0 tun0
>> 192.168.123.0   192.168.123.2   255.255.255.0   UG    0      0     0 tun0
>> 0.0.0.0         83.64.124.97    0.0.0.0         UG    0      0     0 eth1

> Der Client hat also im VPN-Transfernetz die 192.168.123.2

Nein, das passt schon. Das ist nur die Dummy-Route für das Transfernetz
auf das tun0-Device.

Durhc das "server 192.168.123.0" in OpenVPN wird ein Netz folgender Art
erzeugt:

.0 -> Netz-Adresse Server-"Netz"
.1 -> Server selbst
.2 -> Route auf das tun-Device auf dem Server für das Transfernetz 
.3 -> Broadcast Server-"Netz"
.4 -> Netz-Adresse 1. Client "Netz"
.5 -> Gateway-Adresse "Server" für 1. Client
.6 -> 1. Client eigene Adressen
.7 -> Broadcast 1. Client
...
...
...

Das wird so gebraucht, wenn man Windows-Clients hat, weil die immer
Netz- und Broadcast-Adresse brauchen. Hat man nur Unix-Clients kann man
OpenVPN anders konfigurieren und sich Netz- und Broadcast-Adressen
sparen. Die Routen sehen dabei dann aber ähnlich aus. 

>> Client Site:
>> ------------
>> Network: 192.168.200.0/24
>> Gateway: keines Eingetragen
>> VPN Client host: 192.168.200.99 (linux, ip_forward aktiviert)
>> VPN address: 192.168.123.6

> Wieso hat der Client denn jetzt die 192.168.123.6 im VPN-Transfernetz?
> Sollte das nicht 192.168.123.2 sein?

Nein, das ist schon OK so. 

>> route -n says:
>> # route -n
>> Kernel IP Routentabelle
>> Ziel            Router          Genmask         Flags Metric Ref Use Iface
>> 192.168.123.5   0.0.0.0         255.255.255.255 UH    0      0     0 tun0
>> 83.64.124.96    0.0.0.0         255.255.255.240 U     0      0     0 eth0
>> 192.168.100.0   192.168.123.5   255.255.255.0   UG    0      0     0 tun0
>> 192.168.200.0   0.0.0.0         255.255.255.0   U     0      0     0 eth1
>> 192.168.123.0   192.168.123.5   255.255.255.0   UG    0      0     0 tun0
>> 0.0.0.0         83.64.124.97    0.0.0.0         UG    0      0     0 eth0

> Wer hat denn die 192.168.123.5?
> Sollte die Route nicht die auf den VPN-Server 192.168.123.1 zeigen?

Nein, das ist auch korrekt so. Point-to-Point-Interfaces sind etwas
"eigenwillig" in den möglichen IP-Vergaben.

S°

-- 
Sven Hartge -- professioneller Unix-Geek
Meine Gedanken im Netz: http://www.svenhartge.de/

Reply to:

References:
- OpenVPN Routing-Problem (Site2Site)
  - From: Martin Müller - Rudolf Hausstein OHG <m.mueller@hausstein.at>
- Re: OpenVPN Routing-Problem (Site2Site)
  - From: Martin Reising <mreising@nixda.org>

Prev by Date: Re: Optimale Faxlösung mit Sarge
Next by Date: Laser Maus
Previous by thread: Re: OpenVPN Routing-Problem (Site2Site)
Next by thread: Re: Optimale Faxlösung mit Sarge
Index(es):
- Date
- Thread