dasgute
Goto Top

Routing zwischen zwei Standorten und zusätzlichem Router

Hallo Experten,

ich habe zwei Standorte welche erfolgreich via Openvpn verbunden sind. Die Netze 192.168.1.0 und 192.168.2.0 lassen sich gegenseitig erreichen und hin und her pingen, alles bestens.

Nun kam auf beiden Seiten ein weiteres Netzwerk hinzu welches abermals mittels Router an die jeweiligen Netze angebunden wurden. Das sind auf Standort 1 das Netz 192.168.12.0 und auf Standort 2 das Netz 192.168.22.0. Die Router sind Linux-Router. Die Routen werden mittels "ip route"Befehl gesetzt. Router S1RA sowie S2RA dienen für den Zugriff auf das Internet und stellen eine Openvpn-Verbindung zum jeweils anderen Router / Netzwerk her. Router S1RB und S2RB stellen die Verbindung vom internen Netz 2 zum Internen Netz 1 her.

Welche Routen muß ich hinzufügen das die Clients aus Netzwerk 192.168.12.0 mit den Clients aus 192.168.22.0 anpingen kann?

Die Skizze soll den Sachverhalt darstellen

0a374175b656bafc6e8d05d2454fe9bf


Ich bin für jeden erdenklichen Hinweis dankbar.

Content-Key: 240966

Url: https://administrator.de/contentid/240966

Ausgedruckt am: 29.03.2024 um 11:03 Uhr

Mitglied: aqui
aqui 16.06.2014 um 10:33:39 Uhr
Goto Top
Grundlagen zu so einem lokalen Routing mit mehreren IP Netzen kannst du hier nachlesen:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Aber all das hast du ja auch schon richtig umgesetzt wenn man dich oben richtig versteht.
Die lokalen LAN Router S1RB und S2RB bekommen ja so oder so jeweils nur eine default Route auf S1RA bzw. S2RA. Diese dann jeweils einen statische Route in die lokalen LANs wie im o.a. Tutorial beschrieben.

Was du zusätzlich im OVPN machen musst ist in der jeweiligen Konfig Datei des OVPN ist dieses zusätzliche lokale Netz der jeweils anderen Seite zu konfigurieren, das OVPN das mit in den Tunnel routet !
Das erreichst du auf dem OVPN Server mit einem zusätzlichen push route Kommando ala push "route 192.168.22.0 255.255.255.0"
Auf der Client Seite in der Konfig Datei mit iroute 192.168.12.0 255.255.255.0 oder route 192.168.12.0 255.255.255.0

Über netstat kannst du dir dann die Routing Tabelle ansehen ob das alles so richtig übertragen wird.
Traceroute zeigt dir dann an ob alles so richtig ist und die Route Hops alle eingehalten werden.
Mitglied: 108012
108012 16.06.2014 um 10:40:23 Uhr
Goto Top
Hallo,

Nun kam auf beiden Seiten ein weiteres Netzwerk hinzu welches abermals
mittels Router an die jeweiligen Netze angebunden wurden.
Machen die Router denn auch NAT am WAN Port?
Oder routen die nur normal die Pakete weiter?

Gruß
Dobby
Mitglied: dasgute
dasgute 16.06.2014 um 11:09:31 Uhr
Goto Top
Hallo, vielen Dank für die schnelle Antwort. Eventuell habe ich da einen Denkfehler. Das interne Netz 2 liegt doch "hinter" dem internen Netz 1 und nicht parallel sodaß ich nicht einfach die zweite Netzwerkroute über doe OVPN-Konfig pushen könnte?
Mitglied: dasgute
dasgute 16.06.2014 um 11:11:00 Uhr
Goto Top
Ja, die Router machen alle NAT am WAN-Port.
Mitglied: dasgute
dasgute 16.06.2014 aktualisiert um 15:27:09 Uhr
Goto Top
Hallo ich habe nun einmal meine ovpn-Konfig dahingehend angepasst das die Route 192.168.12.0/24 und 192.168.22.0/24 jeweils durch den Tunnel geroutet werden.

Der Tracert vom Windows-Client S1CL1 auf den Client S2CL2 zeigt das das die Pakete für das Netz 192.168.22.1/24 durch den VPN-Tunnel geroutet werden. Der Trace endet jedoch bei 192.168.2.2 also der WAN Seite con S2RB. Ich komme aber im wahrsten Sinne "nicht dahinter".

Ich habe statische Routen auf Router S1RA und S2RA eingerichtet sodaß ich vom Router aus und dem internen Netz 1 alle Clients im Internen Netz 2 pingen kann. Der WAN/VPN Router kennt also den Weg in das interne Netz 2. Irgendwo ist ein Denkfehler.

Sollten die Router S1RB und S2RB kein NAT machen? Ich glaube es ist ein Problem mit dem Rückweg der Pakete.
Mitglied: aqui
aqui 16.06.2014 aktualisiert um 16:25:08 Uhr
Goto Top
Ja, die Router machen alle NAT am WAN-Port.
Ja aber doch wohl nur ins Internet, oder ??
Du wirst ja wohl kaum so einen Unsinn machen und auch den VPN Traffic in den Tunneln noch NATen oder etwa doch ??
Der Trace endet jedoch bei 192.168.2.2 also der WAN Seite con S2RB
S2RB hat gar keine WAN Seite !! Der routet doch 2 LAN Segmente !! Was nebenbei gesagt ein 30 Euro Mikrotik 750 preiswerter und erheblich Energie effizienter gemacht hätte !

Das bedeutet das der Router dort keinen statischen Routing Eintrag ins .22.0 /24er Netz hat !!
Sieh dir dort mal die Routing Tabelle an und mache von dem System direkt mal
Was du auch S2RB niemals machen darfst ist ein Masquerading also NAT. Diese Router die dir die lokalen IP Netze .1.0 und .12.0 und auch der anderen Seite .2.0 und .22.0 routen dürfen KEIN NAT machen !! Achte darauf !
Folgende Testprozedur sollte funktionieren hier mal exemplarisch für eine Seite beschrieben:
  • S2RB darf KEIN Adress Tranlation oder Masquerading machen zw. den beiden LAN Netzen .2.0 und .22.0 !
  • S2RB bekommt eine simple Default Route auf 192.168.2.1 (S2RA) eingestellt
  • S2RA bekommt mit route add 192.168.22.0 mask 255.255.255.0 192.168.2.2 einen statische Route ins lokale Netz eingestellt.
  • Check der beiden Routing Tabellen in S2RA und RB
  • Ping von S2RA auf die IP 192.168.22.1 muss klappen
  • Ping von einem .22.0 Client an S2RB auf die 192.168.2.1 muss klappen.
Ist das erledigt weisst du das dein lokales Routing sauber funktioniert. Grundlagen erklärt dir das o.a. Routing_Tutorial !!
Mitglied: dasgute
dasgute 17.06.2014 aktualisiert um 07:31:15 Uhr
Goto Top
Hallo

O.k. das war aussagekräftig. Vielen Dank dafür. Ich habe das alles nochmal kontrolliert. Die internen Routings wurden so eingerichtet und funktionieren alle exakt genau so wie sie sollten. Ich glaube das ich irgendwie ein Problem mit der Opnevpn-Konfig habe. Hier mal die config Files der Standorte.

Standort 1 / S1RA

ping-timer-rem
lport 30102
secret /etc/openvpn/STSS0102.secret
proto udp
verb 2
resolv-retry infinite
writepid /var/run/openvpn/STSS0102/pid
persist-key
persist-tun
persist-local-ip
mlock
remote-random
status /var/run/openvpn/STSS0102/status 15
status-version 1
mtu-disc yes
management 127.0.0.1 0
management-log-cache 100
management-writeport /var/run/openvpn/STSS0102/mport
rport 30102
float
comp-lzo
fast-io
fragment 1400
mssfix
tun-mtu 1500
ping 60
ping-restart 180
push "explicit-exit-notify 3"
dev tun
ifconfig 10.0.43.1 10.0.43.102
route 192.168.2.0 255.255.255.0
route 192.168.22.0 255.255.255.0
push "route 192.168.22.0 255.255.255.0"
down-pre


Standort 2 / S2RA

cipher BF-CBC
auth SHA1
remote XXX.XXX.XXX.XXX
proto udp
port 30102
dev tun0
secret /tmp/static.key
verb 2
comp-lzo
fragment 1400
mssfix
tun-mtu 1500
fast-io
ping 60
ping-restart 120
ifconfig 10.0.43.102 10.0.43.1
route 192.168.1.0 255.255.255.0
route 192.168.12.0 255.255.255.0
push "route 192.168.12.0 255.255.255.0"
daemon

Ich bin ganz einfach bisher davon ausgegangen das das richtig eingerichtet ist weil das zwischen S1 Netz1 und S2 Netz1 funktioniert hat.