Verschiedene Gateways per DHCP in gebridgten LAN-Segmetnen

[Natureshadow]

Hallo zusammen,

ich habe hier folgendes Setup:

• Gateway A, IP 172.30.248.1/21, Standort A
• Gateway B, IP 172.30.249.1/21, Standort B
• Server, IP 172.30.255.1/21, Rechenzentrum

Alle drei Nodes sind über ein tinc-VPN miteinander verbunden und bridgen jeweils das tap-Interface mit dem lokalen LAN-Segment. So entsteht - virtuell - ein großes, transaprentes LAN.

Der Server verteilt nun IP-Adressen per DHCP. Es gibt WLAN-Clients, die ich sowhl an Standort A als auch an Standort B anmelden. Sie sollen an beiden Standorten die gleiche Konfiguration erhalten.

Mit einer Ausnahme: Natürlich soll Internet-Traffic nicht über das VPN geroutet werden. Das heißt, die Clients müssen pro Standort ein anderes Default-Gateway erhalten.

hat jemand eine Idee, wie man das realisiert? Anycast wär eeine Idee, aber in IPv4 ist das widerlich ...

Grüße,
Nik

[thorben]

moin,
auf den ersten blick schaut mir dein subnetting komplett kaputt aus. die netzwerke überschneiden sich teilweise. das tät ich weg und dann pro standort dhcp richtig konfigurieren und ggf. routen über dhcp verteilen, falls deine clients das verstehen oder am router entsprechend statisch routen.

gruß
thorben

[Natureshadow]

Hallo thorben,

vielen dank für deine hilfreiche Antwort ... nach der ich leider gar nicht gefragt hatte.

Mein Subnetting ist garantiert nicht "kaputt", ganz einfach weil es nur ein Subnet gibt, nämlich 172.30.248.0/21.

Und wenn das nicht so gedacht gewesen wäre, hätte ich es. anders gemacht.

Vielleicht hilft es dir, wenn du dir die gebridgten VPN-Tunnel als großen Switch vorstellst. Was soll ich denn da mit getrennten Subnets? Ich brauche den vollen OSI-Layer 2.

Grüße,
Nik

[thorben]

moin,
naja, ein subnetz über mehrere standorte sehe ich schon als "kaputt" an, aber gut, das mag auch ansichtssache sein.

wie gesagt, ich würde subnetze für jeden standort machen und den rest sauber über routing lösen.

beste grüße
thorben

[Natureshadow]

Hi,

ok, und dann spiel ich noch mit ARP Proxy und baue zwischen den Standorten noch n neues VPN über das andere, damit ich Ethernet habe.

Aber da ich es noch nie geschafft habe in diesem Forum eine Antwort auf die von mir gestellte Frage zu bekommen, lassen wir's hiermit einfach sein.

-nik

[gbotti]

Hallo.

Ich hab sowas über unseren Router gelöst. Der Router ist das Standard-Gateway, das über DHCP definiert wird.
Auf einem Server im Netzwerk läuft OPENVPN. Von den Rechnern im lokalen Netz soll auf die OPEN-VPN-Netzwerke zugegriffen werden können.
Hierzu habe ich dann auf dem Router eine Route gebaut die in etwa so aussieht:
Wenn eine Anfrage an 10.8.0.0/24 geht, dann verwende das Gateway 192.168.XXX.240.

Alle anderen Anfragen sendet er ins Internet (wie gewohnt)...

Gruß
Georg

[Natureshadow]

Hallo,

in meinem Setup gibt es keine Router.

-nik

[gbotti]

Hallo Nik.

Wie kommen Sie dann ins Internet?

Zitat:

...
Gateway A, IP 172.30.248.1/21, Standort A
Gateway B, IP 172.30.249.1/21, Standort B
Server, IP 172.30.255.1/21, Rechenzentrum
...
...soll Internet-Traffic nicht über das VPN geroutet werden...

Und wenn ich ein bisschen aufgepasst habe oder mich nicht irre, dann braucht man einen Router um in's Internet zu kommen. Über den, der bei uns installiert ist, hab ich dann die Routen gesetzt.

Gruß
Georg

[Natureshadow]

Hallo Georg,

natürlich über die Gateways an den einzelnen Standorten. Irgendwo her muss ja auch der VPN-Tunnel kommen, oder nicht?

Ist doch nicht so schwer ...

-nik

[gbotti]

Hallo.

Jetzt hab ich ein Verständnisproblem und ich kann nicht mehr mitreden, weil ich dann die Prinzipe Router ( ab OSI-Ebene 3) und Gateway (alle 7 OSI-Ebenen) wohl nicht verstanden habe...

Router werden (meinem Verständnis nach) immer eingesetzt um 2 gleiche Netzwerke, die beispielsweise über IP (Layer 3) arbeiten, miteinander zu verbinden. Das kann ja dann auch über ein Gateway gemacht werden, weil dieser ja die sieben OSI-Schichten bedienen kann. Wieso kann man dann dort die Routen nicht setzen?
Natürlich kann ein "klassisches" Gateway noch mehr, was man aber Theoretisch nicht mehr braucht, denn heutzutage setzen doch quasi alle PC-Systeme TCP/IP ein.

Gruß
Georg

[Natureshadow]

Wo soll ich denn bitte routen? Ich habe nur ein Netz!

Nochmal als Bildchen ...

Code: Alles auswählen

      ------------                         ------------
      |Standort A|                         |Standort B|
      ------------                         ------------
    / eth0 |          172.30.248.0/21            | eth0 \
br0    Gateway A                            Gateway B     br0
    \      |                                     |      /
      tap0 |- - - - - - - - Tunnel - - - - - - - | tap0
           |                   |                 |
       <Internet>              |            <Internet>
                               |
                           DHCP-Server

[Natureshadow]

Die Lösung ist übrigens denkbar einfach, wenn man pro Standort einen DHCP-Server aufsetzt, der seine Daten aus einem zentralen LDAP bezieht:

Auf beiden Gateways lässt sich das mit iptables sauber bewerkstelligen.

Code: Alles auswählen

iptables -I OUTPUT -p udp --destination-port 67 -m physdev --physdev-out tap0 -j DROP

Damit betritt kein DHCPDISCOVER oder DHCPREQUEST mehr den Tunnel und gelangt zum "falschen" DHCP-Server.

Aber wie mache ich das Ganze mit einem einzigen DHCP-Server?

[gbotti]

Hallo.

In unserem Firmennetzwerk wird für die Telefone und für die PC's ein anderer IP-Bereich definiert.
Beispiel in der dhcpd.conf:
...
#########################################################
#TELEFONE
#########################################################
class "phones-1" {
match pick-first-value (option dhcp-client-identifier, hardware);
}
subclass "phones-1" 1:00:11:22:33:44:55;
#########################################################
...
subnet 192.168.222.0 netmask 255.255.255.0 {
pool {
allow members of "phones-1";
option tftp-server-name "http://192.168.222.1/RESTDERURL?MAC={mac}";
range 192.168.222.151 192.168.222.180;
}
pool {
deny members of "phones-1";
range 192.168.222.100 192.168.222.150;
}
...

Vielleicht gibt es da noch eine Möglichkeit das ganze auf Interfaces zu beschränken.
Einen Beitrag hab ich dort gefunden: http://www.linuxforen.de/forums/showthread.php?t=209556

Gruß
Georg

[bluestar]

[quote="Natureshadow"]
....
hat jemand eine Idee, wie man das realisiert? Anycast wär eeine Idee, aber in IPv4 ist das widerlich ...
....
/quote]

Also ich sehe da keine Alternative zu Anycast, wenn du ein Gesamtnetz betreiben willst.