10
OpenVPN Site-to-Site Routing Problem
Hallo,
von mir auch mal wida ne Frage ;)
Folgendes ist Gegeben:
1. Xen Server
Externe IP: 94.xxx.xxx.xxx
Internes Netzwerk: 10.0.44.0
Dort Laufen VMs die sich alle über das Interne Netzwerk verständigen können. Per NAT werden auf der Dom0 einzelne Ports an die Verschiedenen VMs weitergeleitet.
2. Citrix Xen Server
Externe IP: 87.xx.xx.xx
Internes Netzwerk 10.0.45.0
Dort laufen ebenfalls VMs die über das Interne Netzwerk verbunden sind und geNATed werden.
Auf diesem Gerät läuft ein OpenVPN Server. Den hab ich soweit, dass ich mich von meinem Mac/Pc verbinden kann und auf das Interne Netzwerk zugreifen kann.
So und jetzt kommt der Hacken: Ich möchte jetzt die beiden Netzwerk 10.0.44.0 und 10.0.45.0 zusammelgen, damit ich auf diese die der eine Xen Server zur verfügung stellt zugreifen kann.
Hab ich mir gedacht kann doch net so schwierig sein, hab ich also aufm dem 1ten Xen OpenVPN drauf gemacht, Zertifikate angelgt und normale Client Config draufgepackt. So super ging schon echt gut, konnte vom 1ten Xen zu allen VMs auf dem 2ten Xen verbindung aufnehmen. Anders rum klapps leider nicht. Also internet befrag und in die Config folgende Zeile eingebaut: "route 10.0.44.0 255.255.255.0". OpenVPN auf beiden Servern neugestartet und nix... Hab Mr. Google befragt, aber irgendwie komm ich auf nix passendes.
Hoffe ihr könnt mir helfen.
Schönen Sonntag
Maxi
von mir auch mal wida ne Frage ;)
Folgendes ist Gegeben:
1. Xen Server
Externe IP: 94.xxx.xxx.xxx
Internes Netzwerk: 10.0.44.0
Dort Laufen VMs die sich alle über das Interne Netzwerk verständigen können. Per NAT werden auf der Dom0 einzelne Ports an die Verschiedenen VMs weitergeleitet.
2. Citrix Xen Server
Externe IP: 87.xx.xx.xx
Internes Netzwerk 10.0.45.0
Dort laufen ebenfalls VMs die über das Interne Netzwerk verbunden sind und geNATed werden.
Auf diesem Gerät läuft ein OpenVPN Server. Den hab ich soweit, dass ich mich von meinem Mac/Pc verbinden kann und auf das Interne Netzwerk zugreifen kann.
So und jetzt kommt der Hacken: Ich möchte jetzt die beiden Netzwerk 10.0.44.0 und 10.0.45.0 zusammelgen, damit ich auf diese die der eine Xen Server zur verfügung stellt zugreifen kann.
Hab ich mir gedacht kann doch net so schwierig sein, hab ich also aufm dem 1ten Xen OpenVPN drauf gemacht, Zertifikate angelgt und normale Client Config draufgepackt. So super ging schon echt gut, konnte vom 1ten Xen zu allen VMs auf dem 2ten Xen verbindung aufnehmen. Anders rum klapps leider nicht. Also internet befrag und in die Config folgende Zeile eingebaut: "route 10.0.44.0 255.255.255.0". OpenVPN auf beiden Servern neugestartet und nix... Hab Mr. Google befragt, aber irgendwie komm ich auf nix passendes.
Hoffe ihr könnt mir helfen.
Schönen Sonntag
Maxi
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 132028
Url: https://administrator.de/contentid/132028
Printed on: April 25, 2024 at 19:04 o'clock
10 Comments
Latest comment
Einen Hacken hat man unten am Fuss oder benutzt ihn im Garten zum Unkraut hacken...
Zurück zu deinem Problem:
Ein
push "route 10.0.44.0 255.255.255.0"
push "route 10.0.45.0 255.255.255.0"
in der jeweiligen Server Konfig Datei sollte beide Netze problemlos auf den Client routen. Sieh dir dazu einfach immer die Routing Tabelle auf der jeweiligen Seite bei aktivierter OpenVPN Verbindung an ! Dort muss immer das jeweilige Netz eingetragen sein !!
Weitere Details dazu findest du hier:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Zurück zu deinem Problem:
Ein
push "route 10.0.44.0 255.255.255.0"
push "route 10.0.45.0 255.255.255.0"
in der jeweiligen Server Konfig Datei sollte beide Netze problemlos auf den Client routen. Sieh dir dazu einfach immer die Routing Tabelle auf der jeweiligen Seite bei aktivierter OpenVPN Verbindung an ! Dort muss immer das jeweilige Netz eingetragen sein !!
Weitere Details dazu findest du hier:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Hi,
danke für die Antwort am Sonntag ;)
Die beiden Pushs hab ich schon in meiner Config drin... Gäht leider nicht. Meine Idee war es mit
die Route anzupassen, dann bekomm ich jedoch folgenden Fehler:
danke für die Antwort am Sonntag ;)
Die beiden Pushs hab ich schon in meiner Config drin... Gäht leider nicht. Meine Idee war es mit
route add -net 10.0.44.0 netmask 255.255.255.0 gw 10.8.0.18(ip von dem "client"xen) SIOCADDRT: Network is unreachable
Fährst du das OpenVPN im Bridging oder Routing Modus ?? Ohne das du mal deine server.konf postest ist eine qualifizierte Hilfe nicht gerade leicht, denn mit Raten kommt man nicht weit, sorry.. 
Routing...
okay sry... bin grad bisserle durchn Wind...
server.conf
route auf server...
:edit
sehe grad irgendwie fehlt da die 10.0.44.0... sonnst ist die eig da wenn ich mich nicht täusche...
Client Config auch!?
mfg
Maxi
okay sry... bin grad bisserle durchn Wind...
server.conf
port 1194
proto udp
dev tun
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/server.crt
key /etc/openvpn/keys/server.key
dh /etc/openvpn/keys/dh1024.pem
server 10.8.0.0 255.255.0.0
push "route 10.0.45.0 255.255.255.0"
push "route 10.0.44.0 255.255.255.0"
route 10.0.44.0 255.255.255.0
#up ./scripts/route.up
ifconfig-pool-persist ipp.txt
client-to-client
keepalive 10 120
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3route auf server...
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
10.8.0.2 * 255.255.255.255 UH 0 0 0 tun0
87.98.245.0 * 255.255.255.0 U 0 0 0 eth0
10.0.0.0 * 255.255.0.0 U 0 0 0 eth1
10.8.0.0 10.8.0.2 255.255.0.0 UG 0 0 0 tun0
default wazzzzzup.kicks 0.0.0.0 UG 0 0 0 eth0:edit
sehe grad irgendwie fehlt da die 10.0.44.0... sonnst ist die eig da wenn ich mich nicht täusche...
Client Config auch!?
mfg
Maxi
Das ist doch klar das es nicht funktionieren kann !
Sieh dir doch mal deine Routing Tabelle genau an !! Du hast auf dem Interface eth 1 schon das Netzwerk 10.0.0.0 mit einer 16 Bit Maske vergeben. Wie soll da denn noch ein Routing mit 10.0.0.0 und einer 24 Bit Maske über die tun Interfaces klappen ?!
Das geht niemals und ist auch der Grund warum die 10.0.xx Netze mit einer 24 Bit Maske nicht in der Tabelle auftauchen !!
Also entweder anderes IP Netz oder kleinere Maske auf dem eth1, dann wird ein Schuh draus !!
Sieh dir doch mal deine Routing Tabelle genau an !! Du hast auf dem Interface eth 1 schon das Netzwerk 10.0.0.0 mit einer 16 Bit Maske vergeben. Wie soll da denn noch ein Routing mit 10.0.0.0 und einer 24 Bit Maske über die tun Interfaces klappen ?!
Das geht niemals und ist auch der Grund warum die 10.0.xx Netze mit einer 24 Bit Maske nicht in der Tabelle auftauchen !!
Also entweder anderes IP Netz oder kleinere Maske auf dem eth1, dann wird ein Schuh draus !!
oh mann... ist klar... aber trotzdem bin ich zu bläd xd nach dem was ich versucht hab sagt er imma noch network unreachable...
Da ist dann also immer noch ein Bock in deiner OpenVPN Konfig Datei.... Das Szenario funktioniert problemlos...sofern man denn alles richtig macht mit der IP Adressierung.
Nochwas: Wenn man dich richtig versteht, dann hast du auf der einen Seite 10.0.44.0 /24 und auf der anderen Seite 10.0.45.0 /24, richtig ??
Da ist natürlich der Konfigeintrag:
push "route 10.0.45.0 255.255.255.0"
push "route 10.0.44.0 255.255.255.0"
zusammen Blödsinn, denn der propagiert dann beide Routen von der Serverseite.
Wenn der Server im lokalen LAN die 10.0.44.0 /24 hat dann darf er doch niemals auch die 10.0.45.0 /24 per Push route an die remote Seite propagieren, denn dies Netz ist ja dort lokal...das wäre also routingtechnischer Blödsinn und klar das es auch nicht funktioniert !!
Du darfst also mit push route nur das propagieren was du auch selber lokal hast !!
Bedenke das !!
Nochwas: Wenn man dich richtig versteht, dann hast du auf der einen Seite 10.0.44.0 /24 und auf der anderen Seite 10.0.45.0 /24, richtig ??
Da ist natürlich der Konfigeintrag:
push "route 10.0.45.0 255.255.255.0"
push "route 10.0.44.0 255.255.255.0"
zusammen Blödsinn, denn der propagiert dann beide Routen von der Serverseite.
Wenn der Server im lokalen LAN die 10.0.44.0 /24 hat dann darf er doch niemals auch die 10.0.45.0 /24 per Push route an die remote Seite propagieren, denn dies Netz ist ja dort lokal...das wäre also routingtechnischer Blödsinn und klar das es auch nicht funktioniert !!
Du darfst also mit push route nur das propagieren was du auch selber lokal hast !!
Bedenke das !!
Hi,
danke für deine Geduld :P
Hatte das ohne den Zweiten Push eintrag schonmal getestet lief aber auch nicht so wies sollte
Zu deiner Frage ja ich habe die beiden von dir gennanten Netze jeweils.
grüße
Maxi
danke für deine Geduld :P
Hatte das ohne den Zweiten Push eintrag schonmal getestet lief aber auch nicht so wies sollte
Zu deiner Frage ja ich habe die beiden von dir gennanten Netze jeweils.
grüße
Maxi
Aber doch nicht auf einer Seite, oder ?? Das wäre dann falsch !
So sollte das Netzwerk und die Konfig aussehen !!
Die jeweilige Seite muss sein lokales Netz propagieren mit push route...logisch !
So sollte das Netzwerk und die Konfig aussehen !!
Die jeweilige Seite muss sein lokales Netz propagieren mit push route...logisch !
Hey,
okay das seh ich ja ein^^
Aber ein "push" auf der Client seite!? Entweder hab ich was ganz elementares nicht verstanden... oder ich weiß auch nicht mehr... ich weiß grad gar nix mehr...
client.conf -> Vllt. bringt diese ja licht ins dunkle...
lg Maxi
okay das seh ich ja ein^^
Aber ein "push" auf der Client seite!? Entweder hab ich was ganz elementares nicht verstanden... oder ich weiß auch nicht mehr... ich weiß grad gar nix mehr...
client.conf -> Vllt. bringt diese ja licht ins dunkle...
client
dev tun
proto udp
remote 87.xx.xxx.xx 1194
resolv-retry infinite
persist-key
persist-tun
push "route 10.0.44.0 255.255.255.0"
#pull
ca ca.crt
cert ks30xxxxx.crt
key ks30xxxx.key
comp-lzo
verb 3lg Maxi
