Am Donnerstag, den 07.10.2010, 00:52 +0200 schrieb ako:
Am 07.10.2010 00:35, schrieb Sascha Reißner:
Ich musste es mir mal aufzeichnen, damit ich dein Routing nachvollziehen
kann:
Wow, das sieht schon mal gut aus und wer 10.8.0.5 und 10.8.0.6 ist, hast
Du doch schon selbst beantwortet?! Verstehe ich die Frage falsch?
Ja, sorry, mein Fehler.
10.8.0.5 sollte 10.8.0.1 und 10.8.0.6 sollte 10.8.0.2 lauten.
Aber egal. Mit 5 und 6 stimmen die Routen des Clients, aber dann stimmen
die Routen am Server nicht, oder übersehe ich da welche?
Netzwerk: 192.168.200.0/24
\ | / -------
\|/ | | Internet
O-------------| GW |------------
| | |
| -------
192.168.200.14 | 192.168.200.250
-------
| eth0 |
| | OVPN-Server
| tun0 |
-------
10.8.0.5 |
|
|
| Netzwerk: 10.8.0.0/24
|
|
10.8.0.6 |
-------
| tun0 |
| | OVPN-Client
| eth0 |
-------
192.168.10.15 | 192.168.10.1
| -------
| | |
O-------------| GW |------------
/|\ | | Internet
/ | \ -------
Netzwerk: 192.168.10.0/24
So sieht es bis jetzt aus. Wenn da etwas nicht stimmt, bitte sofort
berichtigen.
Zuerst die Server-Seite ->
-- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- --
OpenVPN Server: Win2k3 (192.168.200.14)
Netzwerkziel Netzwerkmaske Gateway Schnittstelle Metrik
0.0.0.0 0.0.0.0 192.168.200.250 192.168.200.14 100
10.8.0.0 255.255.255.252 10.8.0.1 10.8.0.1 10
Was ist das für eine Netzwerkmaske ???
Die vom OpenVPN-Server unter Windows Server 2003. Die sehen bei allen
OpenVPN-Servern so aus, die ich bisher installiert habe.
Ach, jetzt weis ich was du meinst.
Der Server setzt sich ins 10.8.0.0/30 Netz.
10.8.0.0 Netzwerk
10.8.0.1 Host1 (Server)
10.8.0.2 Host2 (Client)
10.8.0.3 Broadcast
10.8.0.0/24 via 10.8.0.5 dev tun0
192.168.200.0/24 via 10.8.0.5 dev tun0
192.168.10.0/24 dev eth0 proto kernel scope link src 192.168.10.15
default via 192.168.10.1 dev eth0
Firewall/Standardgateway(192.168.10.1)
Static routing -> 192.168.200.0/24 GW 192.168.10.15
"iptables" ist hier so eingestellt:
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Für mich sieht es so aus, als wäre Server und Client an einander vorbei
configuriert.
Die Routen des Servers deuten darauf hin,
daß der Server die IP 10.8.0.1 und der Client die IP 10.8.0.2 hat.
Jeder OpenVPN-Client bekommt doch quasi per "DHCP" vom OpenVPN-Server
sein Netz mit der Maske 255.255.255.252. Ergo bekommt mein Client seine
eigene IP (10.8.0.6) mit seiner Adresse für die Gegenestelle 10.8.0.5
(oder so ähnlich).
Aber der Client muss mit dem Server im selben Netz sein.
Also sollte sich entweder der Server als 10.8.0.5 ins 10.8.0.4/30 Netz
setzen, oder der Client als 10.8.0.2 ins 10.8.0.0/30 Netz.
So wie ich das verstehe, können sich also
OpenVPN-Server und OpenVPN-Client dadurch unterhalten, dass sie mit
10.8.0.2 und 10.8.0.5 verbunden sind.(!?)
Wenn die Netzwerkmasken wirklich 30 Netzwerk-Bits und 2 Host-Bits haben,
sitzen Server und Client in 2 verschiedenen Netzen.
Auf dem Server sieht es zumindest so aus:
10.8.0.0 255.255.255.252 10.8.0.1 10.8.0.1 10
Allerdings gibt es auf den Client keine einzige Route mit einer
30er-Maske.
Dafür gibt es auf Server und Client routen mit einer 24er-Maske.
Der Server sendet ans Gateway 10.8.0.2, nur diese IP hat niemand.
Und der Client sendet ans Gateway 10.8.0.5, die aber auch niemand hat.
Wie gesagt, das hier ist eine Client-to-Net bzw. Net-to-Net Konfiguration.
Vieleicht irre ich mich ja völlig. Hab noch kein Net-to-Net mit OVPN
eingerichtet.