Re: OpenVPN: Routing-Problem

To: Debian Mailingliste <debian-user-german@lists.debian.org>
Subject: Re: OpenVPN: Routing-Problem
From: Michael Hierweck <team@edv-serviceteam.net>
Date: Sun, 20 May 2007 13:24:29 +0200
Message-id: <[🔎] 20070520112422.85F442E6EB@murphy.debian.org>
In-reply-to: <[🔎] 46502B17.7020003@mysql.com>
References: <[🔎] 20070516074710.C89752DFA3@murphy.debian.org> <[🔎] 464B716A.8060003@mysql.com> <[🔎] 20070517115424.610A42E243@murphy.debian.org> <[🔎] 46502B17.7020003@mysql.com>

Ingo Strüwing wrote:
> Hallo Michael,
> 
> Michael Hierweck wrote:
> ...
>>  abgesehen
>> davon habe von tun auf tap gewechselt, was mir empfohlen wurde, weil das
>> Routing dann einfacher sein soll.
> 
> Gut. Das benutze ich auch. Deshalb kann ich besser vergleichen.

ich habe es jetzt zwar für Sascha zurückgebaut ;-), ich bin da aber zum
Testen flexibel.

> Bloß mal generell gefragt: Du hast doch sicher in den beiden Servern das
> Routing im Linux-Kernel aktiviert, und hast keine iptables-Regeln, die
> den Forwarding-Verkehr blockieren?

Ja. Siehe Antwort auf Saschas Posting.

> ...
>> tap0      Link encap:Ethernet  HWaddr 2A:44:57:76:58:30
>>           inet addr:192.168.111.1  Bcast:192.168.111.255  Mask:255.255.255.0
> ...
>> tap1      Link encap:Ethernet  HWaddr 8A:2A:B1:8B:00:E0
>>           inet addr:192.168.222.2  Bcast:192.168.222.255  Mask:255.255.255.0
> ...
> 
> Ich verstehe immer noch nicht, wozu Du zwei Verbindungen brauchst.
> Offenbar benutzt Du einen Kanal für jede Richtung. Was ist der Sinn dabei?

Der Sinn war, dass ich mit nur einem Kanal/Tunnel (siehe anderes
Posting), nicht mal in beide Richtungen pingen kann.

>> Beispielsweise klappt ping von 192.168.200.100 an 192.168.100.70, aber
>> umgekehrt nicht.
> 
> Nun ja, da müßte jeder Rechner im Netz ...100... eine Route zum
> ...200... Netz kennen, die über ...100.100 führt. Als default-Route
> haben die Rechner doch alle ...250?

Nein, als Default Route haben alle Hosts den lokalen VPN-Rechner. Dieser
routet dann entweder über das VPN oder per Default Route an den
Internet-Router.

> Was meinst Du eigentlich mit "ping klappt"? Siehst Du den Echo-Request
> im Netzwerk-Monitor, oder bekommst Du das Echo-Reply zurück und der
> Ping-Client gibt es aus? In letzterem Fall wäre das Routing nämlich in
> Ordnung. Dann würde ich mir mal den Firewall ansehen.

Ich konnte mir tcpdump -i tapX icmp feststellen, dass fast alles
funktioniert, aber:

Host X <-> Server X <-> VPN <-> Server Y <-> Host Y

Host X in Netz X pingt auf Host Y in Netz Y

Der Request erreicht Host Y. Die Response erreicht auch noch Server Y,
aber bereits nicht mehr Server X und damit auch nicht mehr Host X.

Viele Grüße

Michael

Reply to:

References:
- OpenVPN: Routing-Problem
  - From: Michael Hierweck <team@edv-serviceteam.net>
- Re: OpenVPN: Routing-Problem
  - From: Ingo Strüwing <ingo@mysql.com>
- Re: OpenVPN: Routing-Problem
  - From: Michael Hierweck <team@edv-serviceteam.net>
- Re: OpenVPN: Routing-Problem
  - From: Ingo Strüwing <ingo@mysql.com>

Prev by Date: Re: OpenVPN: Routing-Problem
Next by Date: Twonkyserver im Internet?
Previous by thread: Re: OpenVPN: Routing-Problem
Next by thread: dpkg -x hat Extraktions-Verzeichnis-Permissions angefasst
Index(es):
- Date
- Thread