Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Subnet Routing 27-Netz über VPN in 2x 28 -Netz

Mitglied: Kufstein

Kufstein (Level 1) - Jetzt verbinden

21.09.2019 um 19:46 Uhr, 473 Aufrufe, 5 Kommentare

Hallo zusammen


Ich stehe vor folgendes Problem:
Ich bekomme auf eine Debian Maschine über eine OpenVPN Tunnel ein /27 - Subnet geroutet. Dieses würde ich gerne über 2 Standorte via VPN (OpenVPN) aufteilen.


Subnet / 27 => (tun1) Debian 1 wo mir an ens224 das 1. Subnet /28 ausgibt => Subnet /28 (tun1) Debian 2 wo mir an ens256 das 2. Subnet /28 ausgibt.

Anbei mal eine Skizze wie das aussehen sollte. Eigentlich müsste das doch so funktionieren?

Ich habe das Problem mit den Routing/Iptables Regel auf den zwei Maschinen.
Kann mir dabei jemand dabei helfen?


Momentan führe ich nach Verbindungsaufbau folgendes Regelwerk aus:

auf Maschine Standort 1:

ip route add 46.xxx.xxx.240/28 via 10.98.243.2
ip route add default table 10 dev tun1 metric 0
ip rule add from 46.xxx.xxx.224/28 to all prio 0 table 10
ip rule add from 46.xxx.xxx.240/28 to all prio 2 table 10
ip rule add from 10.98.243.2/32 to all prio 3 table 10
ip rule add from all to 46.xxx.xxx.240/28 prio 1 dev tun0
ip rule add from 2a02:xxx:xxx:xxx::0/56 to all prio 9999 table 10
ip -6 route add default dev tun1 metric 1

auf Maschine Standort 2:

ip route add 46.xxx.xxx.224/28 via 10.98.243.1
ip route add default table 10 dev tun0 metric 10
ip rule add from 46.xxx.xxx.240/28 to all prio 9992 dev tun0
ip rule add from all to 46.xxx.xxx.240/28 prio 30 dev ens256
ip route add from all to 10.99.99.0/24 prio 9997 dev ens224


ip.forwading ist auf beiden Eingeschaltet.

An Standort 1 mit dem /28 funktioniert es aber das andere /28 Netz an Standort 2 ist von aussen nicht erreichbar.


Grüsse
window1 - Klicke auf das Bild, um es zu vergrößern
Mitglied: aqui
22.09.2019, aktualisiert um 01:00 Uhr
Das kann so nicht gehen. Sieh selber mal hin, dann wirst du das auch sehen.
Knackpunkt ist das .224 /27 er Netz ! Das kannst du nicht weiter subnetten !! Theoretisch zwar schon aber dann musst du beide Subnetzmasken auf /28 abändern !
Links kommt ja das .224er Subnetz mit einem /27er Prefix also den Hostadressen .225 bis .254. auf das Tunnel Interface am linken Rechner.
Das .224 /27er Subnetz inkludiert ja aber das .224 /28 !
Für das linke Tunnelinterface sind also folglich die /28 er Hostadressen .225 bis .238 ja dann Teil ihres eigenen /27er Netzes. Routing bzw. eine eindeutige Wegefindung ist damit dann unmöglich.

Du hast nur eine Möglichkeit das zu fixen und zwar das Tunnelinterface links auch auf einen /28er Prefix zu setzen.
Damit hast du dann sauber das /27er in 2 separate /28 er aufgeteilt.

Rechts ist es auch falsch ! Das Netzwerk 46.x.x.240 /28 ist da ja doppelt vergeben !
Das müsste wenn dann 46.x.x.224 /28 und 46.x.x.240 /28 lauten, ansonsten ist hier auch Routing unmöglich.
Das geht jetzt davon aus das das ".xx.xx" in der Mitte der netzwerk IP Adresse immer gleich ist ?!
Bitte warten ..
Mitglied: Kufstein
22.09.2019 um 12:45 Uhr
Hallo aqui

Vielen Dank erstmal für deine Antwort.
Ich glaube ich habe ein kleinen Fehler in der Skizze. Die IP (mit 164 am Ende) welche im Tunnel reinkommt und an das Interface tun1 gebunden ist hat die netmask 255.255.252.0 und fällt nicht in das /27 Netz.

Ich habe auch mal beim Provider angefragt ob das Grundsätzlich geht, laut seiner Aussage geht das:

...das ist kein Problem, das Netz kann durch Sie beliebig aufgeteilt werden - auch in /32-Routen, wenn es notwendig ist
Wir routen das 46.xx.xx.224/27 zu Ihrem Router, wie der dann auf Basis seiner lokalen Routingtabelle weiter verfährt, ist dann seine Sache.
...


Es sollte nur ggf. sichergestellt sein, dass an den beteiligten Routern eine Nullroute mit schlechter Metrik für das gesamte /27 existiert, da sonst, wenn z.B. Tun0 einmal nicht aufgebaut ist, keine Routing-Loops entstehen.
Die spezifischeren /28-Routen (oder länger) überschreiben die Nullroute ja in jedem Fall, solange sie existieren.
Bitte warten ..
Mitglied: LordGurke
LÖSUNG 22.09.2019 um 13:34 Uhr
Die IP-Adresse 46.xx.0.164, welche direkt auf Tun1 gebunden ist, ist für das Routing zwischen dem Provider und dir interessant (auf diese IP wird der Provider dir das Netz routen), aber für das Routing zu Standort 2 hat sie keine Auswirkungen mehr.
Diese IP dient letztlich nur dazu, dass eine Kommunikation zwischen deinem Router und dem Provider stattfinden kann.


Versuche mal die Regeln
01.
# Standort 1
02.
ip rule add from all to 46.xxx.xxx.240/28 prio 1 dev tun0
03.

04.
# Standort 2
05.
ip route add default table 10 dev tun0 metric 10
06.
ip rule add from 46.xxx.xxx.240/28 to all prio 9992 dev tun0
nicht direkt auf tun0 zeigen zu lassen sondern auf die Gegenstellen-IP, bspw.:
01.
ip rule add from all to 46.xxx.xxx.240/28 prio 1 via 10.98.243.2 dev tun0
Ansonsten lausche mal mit tcpdump an tun0 von Standort 1, ob du dort ausgehende Pakete siehst.
Wenn je, prüfe an Standort 2, ob du die Pakete auf tun0 ebenfalls siehst u.s.w.
Eine einfache tcpdump-Regel dazu wäre:
01.
tcpdump -nn -i tun0 "net 46.xx.xx.240/28 && not port 22"
Damit kannst du dann sehen, ob die Pakete überhaupt ankommen und ob sie evtl. über ein unerwartetes Interface wieder hinaus gehen. Und du siehst natürlich auch, in welche Richtung es klemmt.
Bitte warten ..
Mitglied: Lochkartenstanzer
LÖSUNG 22.09.2019 um 17:07 Uhr
Zitat von Kufstein:
ip.forwading ist auf beiden Eingeschaltet.

An Standort 1 mit dem /28 funktioniert es aber das andere /28 Netz an Standort 2 ist von aussen nicht erreichbar.


Der wesentliche Knackpunkt ist, daß auf dem VPN-Router auf Standort 2 eine Source-Route für das Netz 46.xxx.xxx.240/28 auf den VPN-Router an Standort 1 gesetzt sein muß.

Wie sieht denn die Routingtabelle jeweils auf den Routern in Standort 1 und Standort 2 aus?

ich würde an Standort 2 einfach einen tcpdump oder wireshark an allen Interfaces mitlaufen lassen und schauen, welchen Weg die Pakete gehen.

lks
Bitte warten ..
Mitglied: Kufstein
22.09.2019 um 21:38 Uhr
Hab das nun lösen können. Woran es genau gelegen hat, kann ich leider nicht sagen (so wie es aussieht am Standort 2).
Zuerst war es nur von Standort 2 nach Standort 1 pingbar aber nicht andersrum.
Ich habe nochmals alle iptables-Einträge alle PBR-Einträge und alle routen gelöscht und anschließend alles neu eingetragen.
Jetzt scheint es zu funktionieren.

Vielen Dank alle für die Tipps.
Bitte warten ..
Ähnliche Inhalte
Netzwerkgrundlagen
Subnet Routing
Frage von Markus93Netzwerkgrundlagen4 Kommentare

Moin liebe Genossen, ich als eingefleischter Softwareentwickler wurde nun zum aufstellen der neuen Server-Infrastruktur verdonnert - Für mich ist ...

Netzwerkgrundlagen

Verständnissproblem Routing mit SG300-28

gelöst Frage von mario89Netzwerkgrundlagen15 Kommentare

Hallo Leute, leider komme ich mit meinem neuen Cisco Switch noch nicht ganz klar und würde euch deshalb gerne ...

Netzwerke

2 DSL-Anschluesse - 2 Router - 1 Subnet - Routing VPN

Frage von beatz99Netzwerke16 Kommentare

Hallo Kollegen. Routing ist nicht unbedingt meine Stärke. Ich denke einige von euch wissen da wesentlich mehr und können ...

Router & Routing

Routing von lokalem Netz in VPN Netz möglich?

gelöst Frage von schosselRouter & Routing17 Kommentare

Wir haben zur Zeit ein lokales Netzwerk 192.168.15.0/24 mit mehreren Clients. Wichtig hier sind aber nur die beiden .201 ...

Neue Wissensbeiträge
Windows 10
Die tickende DSGVO-Zeitbombe von Microsoft
Information von Frank vor 11 StundenWindows 101 Kommentar

Hier ein guter Beitrag von Golem.de zum Thema DSGVO und das Windows 10 aktuell nicht DSGVO konform ist! Das ...

Microsoft Office

Gebrandete OEM-Version von Office 2003 auf Nachfolgerechner installieren

Tipp von Lochkartenstanzer vor 13 StundenMicrosoft Office

Hallo Kollegen, gerade mal wieder ein Kundensystem mit Widows 10 in den Fingern gehabt, bei dem der Besitzer sein ...

Windows Server

Ein Feature, welches einem das Arbeiten mit Windows-2019-Coreservern erleichtern kann

Information von DerWoWusste vor 14 StundenWindows Server2 Kommentare

Man kann mittels Kommando nun folgendes auf Server 2019 in der Coreversion v1809 freischalten, so dass man es lokal ...

Windows 10
MS möchte offenbar lokale Konten abschaffen
Information von UweGri vor 1 TagWindows 1011 Kommentare

Guten Tag Admins, ab und an lese ich bei Dr.-Windows Bei dieser Meldung dachte ich, wird MS jetzt offen ...

Heiß diskutierte Inhalte
Erkennung und -Abwehr
MS-Hotline-Telefonterror
Frage von HenereErkennung und -Abwehr22 Kommentare

Servus zusammen, seit ca 3 Wochen haben wir immer wieder Anrufe von unbekannten Nummern, teils aus dem Ausland. Nach ...

Batch & Shell
Active Directory Picker - Get-ADGroup kann nicht in den Typ konvertiert werden
Frage von dispatcherBatch & Shell17 Kommentare

Mahlzeit zusammen, Im folgenden Skript erhalte ich immer die Meldung: Get-ADGroup : "System.Object " kann nicht in den Typ "Microsoft.ActiveDirectory.Management.ADGroup" ...

Batch & Shell
Last Logon Datum per Powershell abrufen
gelöst Frage von DerWoWussteBatch & Shell12 Kommentare

Moin Kollegen. Wer ist vor 10 schon so fit, mir Folgendes zu erklären: Das zum Titel passende Skript ist ...

Windows 10
Windows 10 mit kaputtem .Net 4.8
Frage von krischeuWindows 1012 Kommentare

Hi, ich habe mit dem Programm ADDISON ein Stabilitätsproblem. Es stürzt regelmäßig während des Arbeitens ab. In der Ereignisanzeige ...