VPN bedingtes Subnetting

[harveYY]

Hallo zusammen.

Ich nutze auf einer Firewall vier OpenVPN Instanzen (alles Server).

Logisch handelt es sich um folgende Konfiguration:

Instanz 1: tap0 > 10.0.0.0/24
Instanz 2: tap1 > 10.0.1.0/24
Instanz 3: tap2 > 10.0.2.0/24
Instanz 4: tap3 > 10.0.3.0/24

Schnittstellentechnisch hat jedoch jedes der o.g. tap-Interfaces folgende Konfiguration: 10.0.0.1/8

Sprich, jede Instanz hat in seiner OpenVPN-Serverconfig nur einen ifconfig-pool des entsprechenden logischen Subnetzes.
Geroutet wird dann entsprechend der selben logischen Konstellation.

Bisher lief alles auf eine Bridge, die ebenfalls die Konfiguration 10.0.0.1/8 besaß.
Geroutet werden musste in diesem Fall natürlich nur 10.0.0.0/8 über die Bridge.

Da ich mich aufgrund der OSI-Layer 2 bedingten Ethernetframes und dem damit verbundenen globalen Netzwerkflooding von der Bridge trennen möchte, zumal ich auch noch tap-Interfaces nutze die zumindest theoretisch jeden Ethernetframe an jeden Client senden könnten, muss ich nun entsprechend vorgehen.

Eigentlich hatte ich vor, nur dem tap0 eine konkrete IP zu verpassen und den Rest über das Routing abzuwickeln.
Leider erweist sich diese Lösung als ziemlich tückisch, sollte genau dieses Interface mal abrauchen oder durch menschliche Fehler deaktiviert werden. In diesem Fall würde es keine 10.0.0.1 mehr geben und alle anderen VPN Instanzen würden ihr Routing ins Nirvana jagen.

Also bekamen jetzt alle tap's die selbe IP.

Nun gibt es leider noch eine zusätzliche Instanz, die jedoch auf einem Gateway liegt, welches ein Client von Firewall-Instanz 1 ist.

Es verhält sich folgendermaßen:

Instanz 1 (tap0 / logisch: 10.0.0.0/24) besitzt einen Client - das Gateway (10.0.0.2).
Auf besagtem Gateway existieren zwei Instanzen - zum einen die Client Instanz hin zur 10.0.0.1 und eine Serverinstanz mit dem selben Subnet, jedoch einem ifconfig-pool von 10.0.0.3 - 10.0.0.254.

Man erreicht also die 10.0.0.3 über das Gateway, welches man über die Firewall erreicht.

Nun meine Fragen:

Wie löse ich das Routing auf der Firewall korrekt?

Case a) Ich route 10.0.0.0/24 über tap0 auf der Firewall, route selbiges auf dem Gateway über tap1 (die Gateway-Serverinstanz) und überlasse den Rest mehr oder weniger dem Zufall

Case b) Ich route die 10.0.0.2/32 als Hostroute über tap0 und 10.0.0.0/24 ebenfalls über tap0 auf der Firewall mit der Angabe des Ziel-Gateways 10.0.0.2 (das Gateway routet natürlich selbst noch mal)

Leider gefallen mir beide Fälle nicht besonders, denn wenn man es genau nimmt, würde die Firewall sich selbst, also die 10.0.0.1 in Case b) ebenfalls auf dem Gateway suchen (was natürlich nicht passiert, weil die lokale Konfiguration vorher greift) sowie die Tatsache, dass ich bei Case a) sowohl auf der Firewall, als auch auf dem Gateway eine 10.0.0.3 registrieren könnte und je nach dem, welcher Server als Defaultgateway auf einem Client gesetzt wird, ein anderer Server unter der selben IP antworten würde.

Vielleicht habe ich auch einen starken Denkfehler, leider komme ich gerade nicht weiter.

Ich hoffe irgendjemand vom Fach hat sich die Zeit genommen das gesamte Szenario zu studieren und weiß Rat.

Jedenfalls bedanke ich mich so weit schon mal recht herzlich.

Besten Gruß!

[Natureshadow]

Moin,

für mich sieht das alles sehr konfus aus.

Ich werfe einfahc mal auf gut Glück den Terminus Longest Prefix Match in die Runde, vielleicht hilft dir das ja bei deinen Überlegungen.

Ansonsten sieht dei nSetup schon von Grund auf broken aus.

-nik

[hec_tech]

Zuerst mal mach doch bitte mal eine Grafik vieleicht kenne ich mich dann besser aus.

Wie du bei 10.0.0.0 - 10.0.3.0 auf ein /8 kommst ist mir ein Rätsel. Zusammengefasst würde das 10.0.0.0/22 ergeben.

Sind VPN und FW 2 getrennte Server oder nur ein Server? Für was überhaupt Bridged und Routed Modus gemischt?
Ich würde nur den Routed Mode verwenden.