Re: OpenVPN und Routing machen mich konfus...
Am 07.10.2010 00:35, schrieb Sascha Reißner:
Ich musste es mir mal aufzeichnen, damit ich dein Routing nachvollziehen
kann:
Wow, das sieht schon mal gut aus und wer 10.8.0.5 und 10.8.0.6 ist, hast
Du doch schon selbst beantwortet?! Verstehe ich die Frage falsch?
Netzwerk: 192.168.200.0/24
\ | / -------
\|/ | | Internet
O-------------| GW |------------
| | |
| -------
192.168.200.14 | 192.168.200.250
-------
| eth0 |
| | OVPN-Server
| tun0 |
-------
10.8.0.5 |
|
|
| Netzwerk: 10.8.0.0/24
|
|
10.8.0.6 |
-------
| tun0 |
| | OVPN-Client
| eth0 |
-------
192.168.10.15 | 192.168.10.1
| -------
| | |
O-------------| GW |------------
/|\ | | Internet
/ | \ -------
Netzwerk: 192.168.10.0/24
So sieht es bis jetzt aus. Wenn da etwas nicht stimmt, bitte sofort
berichtigen.
Zuerst die Server-Seite ->
-- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- --
OpenVPN Server: Win2k3 (192.168.200.14)
Netzwerkziel Netzwerkmaske Gateway Schnittstelle Metrik
0.0.0.0 0.0.0.0 192.168.200.250 192.168.200.14 100
10.8.0.0 255.255.255.252 10.8.0.1 10.8.0.1 10
Was ist das für eine Netzwerkmaske ???
Die vom OpenVPN-Server unter Windows Server 2003. Die sehen bei allen
OpenVPN-Servern so aus, die ich bisher installiert habe.
10.8.0.0 255.255.255.0 10.8.0.2 10.8.0.1 1
10.8.0.1 255.255.255.255 127.0.0.1 127.0.0.1 10
10.255.255.255 255.255.255.255 10.8.0.1 10.8.0.1 10
192.168.10.0 255.255.255.0 10.8.0.2 10.8.0.1 1
192.168.200.0 255.255.255.0 192.168.200.14 192.168.200.14 100
192.168.200.14 255.255.255.255 127.0.0.1 127.0.0.1 100
192.168.200.255 255.255.255.255 192.168.200.14 192.168.200.14 100
255.255.255.255 255.255.255.255 10.8.0.1 10.8.0.1 1
255.255.255.255 255.255.255.255 192.168.200.14 192.168.200.14 1
Standardgateway:192.168.200.250
Firewall/Standard-Gateway(192.168.200.250):
Static routing -> 10.8.0.0/24 GW 192.168.200.14
und sicherheitshalber auch noch
192.168.10.0/24 GW 192.168.200.14
-----------------------------------------------------------------------
dann die Client-Seite ->
-- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- --
OpenVPN Client: Debian 5 (192.168.10.15)
route -n:
Ziel Router Genmask Flags Metric
10.8.0.5 0.0.0.0 255.255.255.255 UH 0
^^^^^^^^
10.8.0.0 10.8.0.5 255.255.255.0 UG 0
^^^^^^^^
192.168.200.0 10.8.0.5 255.255.255.0 UG 0
^^^^^^^^
Wer ist 10.8.0.5 ???
siehe oben.
192.168.10.0 0.0.0.0 255.255.255.0 U 0
0.0.0.0 192.168.10.1 0.0.0.0 UG 0
ip route:
10.8.0.5 dev tun0 proto kernel scope link src 10.8.0.6
Und wer ist 10.8.0.6 ???
siehe oben. Vllt. verstehe ich nicht, worauf Du hinaus willst.
10.8.0.0/24 via 10.8.0.5 dev tun0
192.168.200.0/24 via 10.8.0.5 dev tun0
192.168.10.0/24 dev eth0 proto kernel scope link src 192.168.10.15
default via 192.168.10.1 dev eth0
Firewall/Standardgateway(192.168.10.1)
Static routing -> 192.168.200.0/24 GW 192.168.10.15
"iptables" ist hier so eingestellt:
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Für mich sieht es so aus, als wäre Server und Client an einander vorbei
configuriert.
Die Routen des Servers deuten darauf hin,
daß der Server die IP 10.8.0.1 und der Client die IP 10.8.0.2 hat.
Jeder OpenVPN-Client bekommt doch quasi per "DHCP" vom OpenVPN-Server
sein Netz mit der Maske 255.255.255.252. Ergo bekommt mein Client seine
eigene IP (10.8.0.6) mit seiner Adresse für die Gegenestelle 10.8.0.5
(oder so ähnlich). So wie ich das verstehe, können sich also
OpenVPN-Server und OpenVPN-Client dadurch unterhalten, dass sie mit
10.8.0.2 und 10.8.0.5 verbunden sind.(!?)
Wie gesagt, das hier ist eine Client-to-Net bzw. Net-to-Net Konfiguration.
Die Routen des Clients deuten darauf hin,
daß der Server die IP 10.8.0.5 und der Client die IP 10.8.0.6 hat.
Ich denke die beiden Hosts routen die Pakete an einander vorbei.
Je nachdem, welche IP's jetzt wirklich verwendet werden, funktioniert
der Ping in die eine oder in die andere Richtung, aber niemals in beide.
Überprüfe die IP's bitte nochmal.
mfG Sascha
Grüße zurück, axel...
Reply to: