vbmaxi
Goto Top

OpenVPN Site-to-Site Routing Problem

Hallo,
von mir auch mal wida ne Frage ;)

Folgendes ist Gegeben:

1. Xen Server
Externe IP: 94.xxx.xxx.xxx
Internes Netzwerk: 10.0.44.0
Dort Laufen VMs die sich alle über das Interne Netzwerk verständigen können. Per NAT werden auf der Dom0 einzelne Ports an die Verschiedenen VMs weitergeleitet.

2. Citrix Xen Server
Externe IP: 87.xx.xx.xx
Internes Netzwerk 10.0.45.0
Dort laufen ebenfalls VMs die über das Interne Netzwerk verbunden sind und geNATed werden.
Auf diesem Gerät läuft ein OpenVPN Server. Den hab ich soweit, dass ich mich von meinem Mac/Pc verbinden kann und auf das Interne Netzwerk zugreifen kann.

So und jetzt kommt der Hacken: Ich möchte jetzt die beiden Netzwerk 10.0.44.0 und 10.0.45.0 zusammelgen, damit ich auf diese die der eine Xen Server zur verfügung stellt zugreifen kann.
Hab ich mir gedacht kann doch net so schwierig sein, hab ich also aufm dem 1ten Xen OpenVPN drauf gemacht, Zertifikate angelgt und normale Client Config draufgepackt. So super ging schon echt gut, konnte vom 1ten Xen zu allen VMs auf dem 2ten Xen verbindung aufnehmen. Anders rum klapps leider nicht. Also internet befrag und in die Config folgende Zeile eingebaut: "route 10.0.44.0 255.255.255.0". OpenVPN auf beiden Servern neugestartet und nix... Hab Mr. Google befragt, aber irgendwie komm ich auf nix passendes.

Hoffe ihr könnt mir helfen.

Schönen Sonntag
Maxi

Content-ID: 132028

Url: https://administrator.de/forum/openvpn-site-to-site-routing-problem-132028.html

Ausgedruckt am: 26.12.2024 um 03:12 Uhr

aqui
aqui 20.12.2009, aktualisiert am 18.10.2012 um 18:40:24 Uhr
Goto Top
Einen Hacken hat man unten am Fuss oder benutzt ihn im Garten zum Unkraut hacken...
Zurück zu deinem Problem:
Ein
push "route 10.0.44.0 255.255.255.0"
push "route 10.0.45.0 255.255.255.0"

in der jeweiligen Server Konfig Datei sollte beide Netze problemlos auf den Client routen. Sieh dir dazu einfach immer die Routing Tabelle auf der jeweiligen Seite bei aktivierter OpenVPN Verbindung an ! Dort muss immer das jeweilige Netz eingetragen sein !!
Weitere Details dazu findest du hier:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
vbMaxi
vbMaxi 20.12.2009 um 14:41:32 Uhr
Goto Top
Hi,
danke für die Antwort am Sonntag ;)

Die beiden Pushs hab ich schon in meiner Config drin... Gäht leider nicht. Meine Idee war es mit
route add -net 10.0.44.0 netmask 255.255.255.0 gw 10.8.0.18(ip von dem "client"xen)   
die Route anzupassen, dann bekomm ich jedoch folgenden Fehler:
SIOCADDRT: Network is unreachable
aqui
aqui 20.12.2009 um 15:40:41 Uhr
Goto Top
Fährst du das OpenVPN im Bridging oder Routing Modus ?? Ohne das du mal deine server.konf postest ist eine qualifizierte Hilfe nicht gerade leicht, denn mit Raten kommt man nicht weit, sorry.. face-sad
vbMaxi
vbMaxi 20.12.2009 um 16:18:20 Uhr
Goto Top
Routing...
okay sry... bin grad bisserle durchn Wind...

server.conf
port 1194
proto udp
dev tun
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/server.crt
key /etc/openvpn/keys/server.key
dh /etc/openvpn/keys/dh1024.pem
server 10.8.0.0 255.255.0.0
push "route 10.0.45.0 255.255.255.0"  
push "route 10.0.44.0 255.255.255.0"  
route 10.0.44.0 255.255.255.0
#up ./scripts/route.up
ifconfig-pool-persist ipp.txt
client-to-client
keepalive 10 120
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3

route auf server...
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
10.8.0.2        *               255.255.255.255 UH    0      0        0 tun0
87.98.245.0     *               255.255.255.0   U     0      0        0 eth0
10.0.0.0        *               255.255.0.0     U     0      0        0 eth1
10.8.0.0        10.8.0.2        255.255.0.0     UG    0      0        0 tun0
default         wazzzzzup.kicks 0.0.0.0         UG    0      0        0 eth0

:edit
sehe grad irgendwie fehlt da die 10.0.44.0... sonnst ist die eig da wenn ich mich nicht täusche...

Client Config auch!?

mfg
Maxi
aqui
aqui 20.12.2009 um 20:59:49 Uhr
Goto Top
Das ist doch klar das es nicht funktionieren kann !
Sieh dir doch mal deine Routing Tabelle genau an !! Du hast auf dem Interface eth 1 schon das Netzwerk 10.0.0.0 mit einer 16 Bit Maske vergeben. Wie soll da denn noch ein Routing mit 10.0.0.0 und einer 24 Bit Maske über die tun Interfaces klappen ?!
Das geht niemals und ist auch der Grund warum die 10.0.xx Netze mit einer 24 Bit Maske nicht in der Tabelle auftauchen !!
Also entweder anderes IP Netz oder kleinere Maske auf dem eth1, dann wird ein Schuh draus !!
vbMaxi
vbMaxi 21.12.2009 um 22:12:06 Uhr
Goto Top
oh mann... ist klar... aber trotzdem bin ich zu bläd xd nach dem was ich versucht hab sagt er imma noch network unreachable...
aqui
aqui 22.12.2009 um 14:01:06 Uhr
Goto Top
Da ist dann also immer noch ein Bock in deiner OpenVPN Konfig Datei.... Das Szenario funktioniert problemlos...sofern man denn alles richtig macht mit der IP Adressierung.
Nochwas: Wenn man dich richtig versteht, dann hast du auf der einen Seite 10.0.44.0 /24 und auf der anderen Seite 10.0.45.0 /24, richtig ??
Da ist natürlich der Konfigeintrag:
push "route 10.0.45.0 255.255.255.0"
push "route 10.0.44.0 255.255.255.0"

zusammen Blödsinn, denn der propagiert dann beide Routen von der Serverseite.

Wenn der Server im lokalen LAN die 10.0.44.0 /24 hat dann darf er doch niemals auch die 10.0.45.0 /24 per Push route an die remote Seite propagieren, denn dies Netz ist ja dort lokal...das wäre also routingtechnischer Blödsinn und klar das es auch nicht funktioniert !!
Du darfst also mit push route nur das propagieren was du auch selber lokal hast !!
Bedenke das !!
vbMaxi
vbMaxi 30.12.2009 um 16:01:02 Uhr
Goto Top
Hi,
danke für deine Geduld :P

Hatte das ohne den Zweiten Push eintrag schonmal getestet lief aber auch nicht so wies sollte face-sad
Zu deiner Frage ja ich habe die beiden von dir gennanten Netze jeweils.

grüße
Maxi
aqui
aqui 01.01.2010 um 22:16:25 Uhr
Goto Top
Aber doch nicht auf einer Seite, oder ?? Das wäre dann falsch !
So sollte das Netzwerk und die Konfig aussehen !!

8d15d63e2acd36afa7f8bcbf50482490

Die jeweilige Seite muss sein lokales Netz propagieren mit push route...logisch !
vbMaxi
vbMaxi 03.01.2010 um 01:36:24 Uhr
Goto Top
Hey,
okay das seh ich ja ein^^

Aber ein "push" auf der Client seite!? Entweder hab ich was ganz elementares nicht verstanden... oder ich weiß auch nicht mehr... ich weiß grad gar nix mehr...

client.conf -> Vllt. bringt diese ja licht ins dunkle...
client
dev tun
proto udp
remote 87.xx.xxx.xx 1194
resolv-retry infinite
persist-key
persist-tun
push "route 10.0.44.0 255.255.255.0"  
#pull
ca ca.crt
cert ks30xxxxx.crt
key ks30xxxx.key
comp-lzo
verb 3

lg Maxi