Routing über VPN

Einrichten des lokalen Netzes, Verbindung zu anderen Computern und Diensten.
Antworten
radi
Beiträge: 5
Registriert: 05.09.2005 21:38:49
Wohnort: Sachsen-Anhalt

Routing über VPN

Beitrag von radi » 05.09.2005 23:05:54

Hallo Forum,

folgendes Problem: Zwei Netzwerke verbunden über VPN-Router. Ein Ping von einem Netz zum anderen ist nicht möglich! Wie stelle ich das an?!
Hier die Netzstruktur:

Code: Alles auswählen

                         Clientnetzwerk 192.168.10.0
                                       |
                               eth0:192.168.10.1
                                    Server1
                               eth1:192.168.11.1
                                       |
                                192.168.11.254
                                    Router1
                                dyn.IP-Adresse
                                       |
                               Internet (VPN-Tunnel)
                                       |
                                dyn.IP-Adresse
                                    Router2
                                192.168.21.254
                                       |
                               eth0:192.168.21.1
                                    Server2
                               eth1:192.168.20.1
                                       |
                         Clientnetzwerk 192.168.10.0
und die Routingtabelle vom Server1

Code: Alles auswählen

Kernel IP Routentabelle
Ziel            Router          Genmask         Flags Metric Ref    Use Iface
192.168.11.0    0.0.0.0         255.255.255.0   U     0      0        0 eth1
192.168.10.0    0.0.0.0         255.255.255.0   U     0      0        0 eth0
0.0.0.0         192.168.11.254  0.0.0.0         UG    0      0        0 eth1
Die Routing Tabelle vom Server2 ist analog aufgebaut.
Ich hoffe mir kann jemand helfen!!! Danke im Vorraus
Nur wer nix macht, macht nix verkehrt
Nach oben
Benutzeravatar
Hosi
Beiträge: 226
Registriert: 17.03.2003 15:17:29

Beitrag von Hosi » 06.09.2005 02:57:53

Einer der beiden Router sollte optimalerweise ne statische IP-Adresse haben (wenn das nicht geht, musst Du auf DynDNS oder einen analogen Service zurückgreifen). Dann kannst Du dem Router1 sagen, dass das andere Netz über die statische IP-Adresse erreichbar ist. Je nach VPN-Software wird dann z.B. folgende Route eingetragen:

Code: Alles auswählen

192.168.20.0   123.123.123.123        255.255.255.0   UG     0      0        0 ipsec0
Das Client-Netzwerk bei Server 2 sollte dann aber auch die 192.168.20.0 haben. Falls das kein Tippfehler ist, und beide Netze intern die 192.168.10.0/24 haben, wird das so ohne weiteres nicht gehen (nur durch Masquerading).

Willst Du auch eine Verbindung von Router1 auf Router2 haben (nicht nur die dahinterliegende Netze), muss noch eine VPN-Verbindung mehr eingetragen werden, oder Du setzt jeweils als Absenderadresse die interne IP. Z.B. bei IPSec:

Code: Alles auswählen

ip route replace 192.168.20.0/24 dev ipsec0 src 192.168.10.1
Wenn Dir die Sicherheit egal ist (ala SNMP: Security is not my problem ;-)), kannst Du das VPN so aufbauen:

Code: Alles auswählen

ip tunnel add VPN1 mode gre remote $REMOTE_PUB_IP local $LOCAL_PUB_IP ttl 255
ip addr add $LOCAL_PRIV_IP dev VPN1
ip link set VPN1 up
ip route add $REMOTE_PRIV_NET dev VPN1
Ansonsten ist ein IPSec-VPN natürlich vorzuziehen.
Nach oben
radi
Beiträge: 5
Registriert: 05.09.2005 21:38:49
Wohnort: Sachsen-Anhalt

Beitrag von radi » 06.09.2005 08:06:29

Hallo Hosi,

ich glaube hier liegt ein Missverständnis vor. Die beiden Router stellen die VPN her d.h. zwischen Router1 und Router2 wird bei Bedarf automatisch eine VPN übers Internet hergestellt (Kann also als quasi statische Verbindung betrachtet werden).
Ausführliche Ping-Versuche ergaben folgende Ergebnisse:
Der Server2 ist vom Netzwerk1 erreichbar und zwar auf beiden IP-Adressen. Ebenso Server1 von Netzwerk2. Daher vermute ich den Fehler in den Routing-Tabellen der Server.
Nur wer nix macht, macht nix verkehrt
Nach oben
radi
Beiträge: 5
Registriert: 05.09.2005 21:38:49
Wohnort: Sachsen-Anhalt

Beitrag von radi » 13.09.2005 17:15:12

Hallo Forum,

nach umfangreichen Ping-Versuchen und verschiedensten Routerkonfigurationen konnte ich das Problem weiter eingrenzen.
Eine komplette Neukonfiguration der Router exakt nach Anleitung, führte dazu, dass die Windosen sich gegenseitig erreichen können d.h. 192.168.20.x erreicht 192.168.10.y
Soweit so gut, jedoch können sie nicht den Fileserver 192.168.10.z erreichen. Auch andere Systeme wie Drucker sind nicht erreichbar per Ping o.a.
Vielleicht hat Hosi ja noch einen heißen Tip ?

Danke im Vorraus für Eure Antworten
Nur wer nix macht, macht nix verkehrt
Nach oben
Benutzeravatar
DynaBlaster
Beiträge: 958
Registriert: 25.03.2004 18:18:57
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: DF0://dynablaster.adf

Beitrag von DynaBlaster » 13.09.2005 17:36:41

Uff,

läuft denn eine Firewall auf den Servern (Server1 bzw. Server2) ? Wenn ich das jetzt richtig verstanden habe, kommst du zwar von Netz 1 nach Netz 2 und umgekehrt, aber kannst auf die Dienste, die auf den Servern selbst laufen nicht zugreifen. Das spricht dafür, daß das Firewall-Script auf den Servern Traffic in der FORWARD-CHAIN zulässt, aber INPUT- bzw. OUTPUT-CHAIN blockiert.
Nach oben
radi
Beiträge: 5
Registriert: 05.09.2005 21:38:49
Wohnort: Sachsen-Anhalt

Beitrag von radi » 13.09.2005 18:02:12

Hallo DynaBlaster,

Firewalls laufen nur auf den Routern.
Beim Ping vom Router1 z.B. passiert folgendes:
DIe Windosen 192.168.10.x erzeugen Host unreachable, der Drucker 192.168.10.y antwortet korrekt, der Server 192.168.10.z antwortet garnicht.

Ich hoffe die Angaben helfen.
Nur wer nix macht, macht nix verkehrt
Nach oben
Benutzeravatar
DynaBlaster
Beiträge: 958
Registriert: 25.03.2004 18:18:57
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: DF0://dynablaster.adf

Beitrag von DynaBlaster » 14.09.2005 11:37:31

Wie sieht denn die Routing-Tabelle auf den Router1 bzw. Router2 aus. Ich nehme mal an, die Clients in Netz 1 haben 192.168.10.1 als Standardgateway und die Clients in Netz 2 entsprechend 192.168.20.1.

Evtl. hilft auch das Firewallscript auf den Routern weiter weiter (dazu aber bitte nopaste.debianforum.de benutzen).
Nach oben
radi
Beiträge: 5
Registriert: 05.09.2005 21:38:49
Wohnort: Sachsen-Anhalt

Beitrag von radi » 14.09.2005 16:27:55

Hallo DynaBlaster,

Die Vermutung der Standardgateways ist richtig.
Die Routingtabelle sieht wie folgt aus
Router1

Code: Alles auswählen

IP-Adresse       Netzmaske       Router
-----------------------------------------------
192.168.10.0     255.255.255.0   Router1
192.168.11.0     255.255.255.0   Router1
192.168.20.0     255.255.255.0   192.168.21.1
255.255.255.255  0.0.0.0         Internet
Router 2 entsprechend.
Die Firewall der Router lässt alle von Stationen 192.168.10.0 und 192.168.11.0 an Stationen 192.168.20.0 ankommenden Dienste zu.

Merkwürdig ist ja, dass die Arbeitsplätze erreichbar sind. Nicht jedoch der zweite Server, der identisch angeschlossen ist
Nur wer nix macht, macht nix verkehrt
Nach oben
Benutzeravatar
DynaBlaster
Beiträge: 958
Registriert: 25.03.2004 18:18:57
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: DF0://dynablaster.adf

Beitrag von DynaBlaster » 14.09.2005 17:02:05

In der Tat ist das etwas komisch. Einziger Unterschied zwischen den Servern und den Clients ist das zusätzliche Netz zwischen den Servern und den Routern. Deshalb hatte ich ja auch eine Firewall die derart konfiguriert ist vermutet:

Server1:
Traffic vom und ins Netz 192.168.10.xyz erlaubt.
Traffic von 192.168.20.xyz nach 192.168.10.xyz erlaubt.
Rest verboten

Dies würde genau den Effekt erzeugen, den du beschreibst. Die Clients 192.168.10.xyz erreichen Dienste des Servers 1 auf 192.168.10.1. Darüberhinaus passieren Anfragen aus dem Netz 192.168.20.0/24 den Server (FORWARD-CHAIN). Aber für Anfragen der Clients 192.168.20.xyz an den Server 1 (also 192.168.10.1 bzw. 192.168.11.1) fehlen entsprechende iptables-Regeln in der INPUT- bzw. OUTPUT-CHAIN.

Vielleicht hat noch jemand eine andere Idee ...
Nach oben
Antworten

Zurück zu „Netzwerk“