Re: OpenVPN: Routing-Problem
Hallo Michael,
Michael Hierweck wrote:
...
> abgesehen
> davon habe von tun auf tap gewechselt, was mir empfohlen wurde, weil das
> Routing dann einfacher sein soll.
Gut. Das benutze ich auch. Deshalb kann ich besser vergleichen.
Bloß mal generell gefragt: Du hast doch sicher in den beiden Servern das
Routing im Linux-Kernel aktiviert, und hast keine iptables-Regeln, die
den Forwarding-Verkehr blockieren?
...
> tap0 Link encap:Ethernet HWaddr 2A:44:57:76:58:30
> inet addr:192.168.111.1 Bcast:192.168.111.255 Mask:255.255.255.0
...
> tap1 Link encap:Ethernet HWaddr 8A:2A:B1:8B:00:E0
> inet addr:192.168.222.2 Bcast:192.168.222.255 Mask:255.255.255.0
...
Ich verstehe immer noch nicht, wozu Du zwei Verbindungen brauchst.
Offenbar benutzt Du einen Kanal für jede Richtung. Was ist der Sinn dabei?
> Kernel IP routing table
> 192.168.100.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
> 192.168.200.0 192.168.222.1 255.255.255.0 UG 0 0 0 tap1
> 192.168.111.0 0.0.0.0 255.255.255.0 U 0 0 0 tap0
> 192.168.222.0 0.0.0.0 255.255.255.0 U 0 0 0 tap1
> 0.0.0.0 192.168.100.250 0.0.0.0 UG 0 0 0 eth0
Ja, das sieht soweit richtig aus. Wobei ich meine dass Du hier auch über
tap0 gehen könntest und damit tap1 einsparen:
192.168.200.0 192.168.111.2 255.255.255.0 UG 0 0 0 tap0
...
> tap0 Link encap:Ethernet HWaddr A2:72:69:3E:ED:84
> inet addr:192.168.222.1 Bcast:192.168.222.255 Mask:255.255.255.0
...
> tap1 Link encap:Ethernet HWaddr D2:22:D4:1A:C0:3E
> inet addr:192.168.111.2 Bcast:192.168.111.255 Mask:255.255.255.0
...
> Kernel IP routing table
> Destination Gateway Genmask Flags Metric Ref Use
> Iface
> 192.168.100.0 192.168.111.1 255.255.255.0 UG 0 0 0 tap1
> 192.168.200.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
> 192.168.111.0 0.0.0.0 255.255.255.0 U 0 0 0 tap1
> 192.168.222.0 0.0.0.0 255.255.255.0 U 0 0 0 tap0
> 0.0.0.0 192.168.200.250 0.0.0.0 UG 0 0 0 eth0
>
> Traffic in das 192.168.100.0er-Netzwerk wird also über tap1 geleitet,
> während anderer Traffic über den Router geht. Dank dieser Route kann ich
> den gegenüberliegenden Server auf seiner IP 192.168.100.100 anpingen.
Wie gesagt, ich glaube tap0 wäre hier überflüssig. tap1 würde dann zu
tap0 werden.
> -----------------------------------------------------------------------
>
> Das Ergebnis ist aber dennoch identisch :-(
>
> Beide Server können sich gegenseitig anpingen, die Server können die
> lokalen und die im anderen Netzwerk liegenden Hosts pingen, aber die
> Hosts nicht den gegenüberliegenden Server bzw. die gegenüber liegenden
> Hosts.
>
> Beispielsweise klappt ping von 192.168.200.100 an 192.168.100.70, aber
> umgekehrt nicht.
Nun ja, da müßte jeder Rechner im Netz ...100... eine Route zum
...200... Netz kennen, die über ...100.100 führt. Als default-Route
haben die Rechner doch alle ...250?
Was meinst Du eigentlich mit "ping klappt"? Siehst Du den Echo-Request
im Netzwerk-Monitor, oder bekommst Du das Echo-Reply zurück und der
Ping-Client gibt es aus? In letzterem Fall wäre das Routing nämlich in
Ordnung. Dann würde ich mir mal den Firewall ansehen.
...
Gruß
Ingo
--
Ingo Strüwing, Senior Software Developer
MySQL GmbH, Radlkoferstr. 2, D-81373 München
Geschäftsführer: Kaj Arnö - HRB München 162140
Reply to: