Re: OpenVPN und Routing machen mich konfus...

[ako <ako77@arcor.de>]

Am 07.10.2010 00:35, schrieb Sascha Reißner:
> Ich musste es mir mal aufzeichnen, damit ich dein Routing nachvollziehen
> kann:

Wow, das sieht schon mal gut aus und wer 10.8.0.5 und 10.8.0.6 ist, hast 
Du doch schon selbst beantwortet?! Verstehe ich die Frage falsch?


> Netzwerk: 192.168.200.0/24
>               \ | /            -------
>                \|/            |       | Internet
>                 O-------------|  GW   |------------
>                 |             |       |
>                 |              -------
> 192.168.200.14 |          192.168.200.250
>              -------
>             | eth0  |
>             |       | OVPN-Server
>             | tun0  |
>              -------
>        10.8.0.5 |
>                 |
>                 |
>                 | Netzwerk: 10.8.0.0/24
>                 |
>                 |
>        10.8.0.6 |
>              -------
>             | tun0  |
>             |       | OVPN-Client
>             | eth0  |
>              -------
>   192.168.10.15 |          192.168.10.1
>                 |              -------
>                 |             |       |
>                 O-------------|  GW   |------------
>                /|\            |       | Internet
>               / | \            -------
> Netzwerk: 192.168.10.0/24
>
> So sieht es bis jetzt aus. Wenn da etwas nicht stimmt, bitte sofort
> berichtigen.
>
> > Zuerst die Server-Seite ->
> > -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- --
> > OpenVPN Server: Win2k3 (192.168.200.14)
> > Netzwerkziel    Netzwerkmaske	Gateway		Schnittstelle	Metrik
> > 0.0.0.0		0.0.0.0		192.168.200.250	192.168.200.14	100
> > 10.8.0.0	255.255.255.252	10.8.0.1	10.8.0.1	10
>
> Was ist das für eine Netzwerkmaske ???

Die vom OpenVPN-Server unter Windows Server 2003. Die sehen bei allen 
OpenVPN-Servern so aus, die ich bisher installiert habe.

> > 10.8.0.0	255.255.255.0	10.8.0.2	10.8.0.1	1
> > 10.8.0.1	255.255.255.255	127.0.0.1	127.0.0.1	10
> > 10.255.255.255	255.255.255.255	10.8.0.1	10.8.0.1	10
> > 192.168.10.0	255.255.255.0	10.8.0.2	10.8.0.1	1
> > 192.168.200.0	255.255.255.0	192.168.200.14	192.168.200.14	100
> > 192.168.200.14  255.255.255.255	127.0.0.1	127.0.0.1	100
> > 192.168.200.255	255.255.255.255	192.168.200.14	192.168.200.14	100
> > 255.255.255.255	255.255.255.255	10.8.0.1	10.8.0.1      	1
> > 255.255.255.255	255.255.255.255	192.168.200.14	192.168.200.14	1
> > Standardgateway:192.168.200.250
> >
> > Firewall/Standard-Gateway(192.168.200.250):
> > Static routing ->  10.8.0.0/24 GW 192.168.200.14
> > und sicherheitshalber auch noch
> > 192.168.10.0/24 GW 192.168.200.14
> > -----------------------------------------------------------------------
> >
> >
> > dann die Client-Seite ->
> > -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- --
> > OpenVPN Client: Debian 5 (192.168.10.15)
> > route -n:
> > Ziel		Router		Genmask		Flags 	Metric
> > 10.8.0.5	0.0.0.0 	255.255.255.255 UH	0
>    ^^^^^^^^
> > 10.8.0.0	10.8.0.5	255.255.255.0   UG    	0
>                    ^^^^^^^^
> > 192.168.200.0	10.8.0.5	255.255.255.0   UG    	0
>                    ^^^^^^^^
> Wer ist 10.8.0.5 ???

siehe oben.

> > 192.168.10.0	0.0.0.0 	255.255.255.0   U     	0
> > 0.0.0.0		192.168.10.1	0.0.0.0         UG    	0
> >
> > ip route:
> > 10.8.0.5 dev tun0  proto kernel  scope link  src 10.8.0.6
>
> Und wer ist 10.8.0.6 ???

siehe oben. Vllt. verstehe ich nicht, worauf Du hinaus willst.

> > 10.8.0.0/24 via 10.8.0.5 dev tun0
> > 192.168.200.0/24 via 10.8.0.5 dev tun0
> > 192.168.10.0/24 dev eth0  proto kernel  scope link  src 192.168.10.15
> > default via 192.168.10.1 dev eth0
> >
> > Firewall/Standardgateway(192.168.10.1)
> > Static routing ->  192.168.200.0/24 GW 192.168.10.15
> >
> > "iptables" ist hier so eingestellt:
> > Chain INPUT (policy ACCEPT)
> > target     prot opt source               destination
> > Chain FORWARD (policy ACCEPT)
> > target     prot opt source               destination
> > ACCEPT     all  --  anywhere             anywhere
> > Chain OUTPUT (policy ACCEPT)
> > target     prot opt source               destination
>
> Für mich sieht es so aus, als wäre Server und Client an einander vorbei
> configuriert.
> Die Routen des Servers deuten darauf hin,
> daß der Server die IP 10.8.0.1 und der Client die IP 10.8.0.2 hat.

Jeder OpenVPN-Client bekommt doch quasi per "DHCP" vom OpenVPN-Server 
sein Netz mit der Maske 255.255.255.252. Ergo bekommt mein Client seine 
eigene IP (10.8.0.6) mit seiner Adresse für die Gegenestelle 10.8.0.5 
(oder so ähnlich). So wie ich das verstehe, können sich also 
OpenVPN-Server und OpenVPN-Client dadurch unterhalten, dass sie mit 
10.8.0.2 und 10.8.0.5 verbunden sind.(!?)
Wie gesagt, das hier ist eine Client-to-Net bzw. Net-to-Net Konfiguration.

> Die Routen des Clients deuten darauf hin,
> daß der Server die IP 10.8.0.5 und der Client die IP 10.8.0.6 hat.
>
> Ich denke die beiden Hosts routen die Pakete an einander vorbei.
> Je nachdem, welche IP's jetzt wirklich verwendet werden, funktioniert
> der Ping in die eine oder in die andere Richtung, aber niemals in beide.
>
> Überprüfe die IP's bitte nochmal.
>
> mfG Sascha

Grüße zurück, axel...