[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: OpenVPN: Routing-Problem

Hallo Michael,

Michael Hierweck wrote:
...
>  abgesehen
> davon habe von tun auf tap gewechselt, was mir empfohlen wurde, weil das
> Routing dann einfacher sein soll.

Gut. Das benutze ich auch. Deshalb kann ich besser vergleichen.

Bloß mal generell gefragt: Du hast doch sicher in den beiden Servern das
Routing im Linux-Kernel aktiviert, und hast keine iptables-Regeln, die
den Forwarding-Verkehr blockieren?

...
> tap0      Link encap:Ethernet  HWaddr 2A:44:57:76:58:30
>           inet addr:192.168.111.1  Bcast:192.168.111.255  Mask:255.255.255.0
...
> tap1      Link encap:Ethernet  HWaddr 8A:2A:B1:8B:00:E0
>           inet addr:192.168.222.2  Bcast:192.168.222.255  Mask:255.255.255.0
...

Ich verstehe immer noch nicht, wozu Du zwei Verbindungen brauchst.
Offenbar benutzt Du einen Kanal für jede Richtung. Was ist der Sinn dabei?

> Kernel IP routing table
> 192.168.100.0   0.0.0.0         255.255.255.0   U     0      0        0 eth0
> 192.168.200.0   192.168.222.1   255.255.255.0   UG    0      0        0 tap1
> 192.168.111.0   0.0.0.0         255.255.255.0   U     0      0        0 tap0
> 192.168.222.0   0.0.0.0         255.255.255.0   U     0      0        0 tap1
> 0.0.0.0         192.168.100.250 0.0.0.0         UG    0      0        0 eth0

Ja, das sieht soweit richtig aus. Wobei ich meine dass Du hier auch über
tap0 gehen könntest und damit tap1 einsparen:

192.168.200.0  192.168.111.2  255.255.255.0  UG  0  0  0 tap0

...
> tap0      Link encap:Ethernet  HWaddr A2:72:69:3E:ED:84
>           inet addr:192.168.222.1  Bcast:192.168.222.255  Mask:255.255.255.0
...
> tap1      Link encap:Ethernet  HWaddr D2:22:D4:1A:C0:3E
>           inet addr:192.168.111.2  Bcast:192.168.111.255  Mask:255.255.255.0
...
> Kernel IP routing table
> Destination     Gateway         Genmask         Flags Metric Ref    Use
> Iface
> 192.168.100.0   192.168.111.1   255.255.255.0   UG    0      0        0 tap1
> 192.168.200.0   0.0.0.0         255.255.255.0   U     0      0        0 eth0
> 192.168.111.0   0.0.0.0         255.255.255.0   U     0      0        0 tap1
> 192.168.222.0   0.0.0.0         255.255.255.0   U     0      0        0 tap0
> 0.0.0.0         192.168.200.250 0.0.0.0         UG    0      0        0 eth0
> 
> Traffic in das 192.168.100.0er-Netzwerk wird also über tap1 geleitet,
> während anderer Traffic über den Router geht. Dank dieser Route kann ich
> den gegenüberliegenden Server auf seiner IP 192.168.100.100 anpingen.

Wie gesagt, ich glaube tap0 wäre hier überflüssig. tap1 würde dann zu
tap0 werden.

> -----------------------------------------------------------------------
> 
> Das Ergebnis ist aber dennoch identisch :-(
> 
> Beide Server können sich gegenseitig anpingen, die Server können die
> lokalen und die im anderen Netzwerk liegenden Hosts pingen, aber die
> Hosts nicht den gegenüberliegenden Server bzw. die gegenüber liegenden
> Hosts.
> 
> Beispielsweise klappt ping von 192.168.200.100 an 192.168.100.70, aber
> umgekehrt nicht.

Nun ja, da müßte jeder Rechner im Netz ...100... eine Route zum
...200... Netz kennen, die über ...100.100 führt. Als default-Route
haben die Rechner doch alle ...250?

Was meinst Du eigentlich mit "ping klappt"? Siehst Du den Echo-Request
im Netzwerk-Monitor, oder bekommst Du das Echo-Reply zurück und der
Ping-Client gibt es aus? In letzterem Fall wäre das Routing nämlich in
Ordnung. Dann würde ich mir mal den Firewall ansehen.

...

Gruß
Ingo
-- 
Ingo Strüwing, Senior Software Developer
MySQL GmbH, Radlkoferstr. 2, D-81373 München
Geschäftsführer: Kaj Arnö - HRB München 162140
Reply to: