ubuntuusers.de

Hallo liebes Forum

Ich habe ein Problem, dass mich nicht mehr loslässt und ich seit Monaten immer wieder drauf stosse und mir immer wieder die Mühe nehme um es wieder anzugehen.

Zur Situation (siehe PDF im Anhang):

Wir haben diverse Kundenanlagen mit Fernwartung. Diese Fernwartung realisieren wir über VPN-Industrierouter. Dazu haben wir in der Firma einen OpenVPN-Server stehen und die Kundenanlagen verbinden sich über die Router als OpenVPN-Clients mit dem Server. Soweit funktioniert das auch bestens, solange sich nur eine Anlage mit dem Server verbindet. Sobald es mehrere sind funktioniert es nicht mehr. Das hat den Grund, dass die jeweiligen Maschinennetze immer gleich sind (10.13.0.0/24).

Jetzt schwirrt mir seit langem die Idee im Kopf herum, ob ich nicht aufrund einer definierten IP die Netze miteinader verbinden kann. Ich habe mal einen Test-Server erstellt (Linux) und die OpenVPN-Konfiguration so erstellt, dass jede VPN-Verbidung aufgrund der Zertifikate im Konfig-File eine feste IP erhalten (Stichwort "client-config-dir"). Das Funktioniert schon mal - je nachdem welches Konfig-File ich zur Verbindung verwende, erhalte ich für die VPN-Schnittstelle eine definierte VPN-IP. Jetzt komme ich aber zu dem Punkt wo ich nicht weiss ob es geht resp.in welche Richtung ich im Netz suchen soll. Wie kann ich jetzt auf dem OpenVPN-Server bewerkstelligen, dass er z.B. alle Anfragen von der VPN-IP 10.254.1.11 welche als Ziel das Netz 10.13.0.0 haben, über den Router mit der VPN-IP 10.254.1.21 sendet? Blöd gesagt müsste ich jetzt aufgrund einer Absender-IP ein Gateway definieren können –> Ist Absender-IP A.A.A.A und Ziel ist 10.13.0.0, dann verwende das Gateway mit der IP X.X.X.X, ist Absender-IP B.B.B.B und Ziel ist 10.13.0.0, dann verwende das Gateway Y.Y.Y.Y So will ich erreichen, dass ich einfach das richtige Konfig-File auf meinem Rechner zur Verbindung nehmen muss, um mich mit der Kundenanlage XY zu verbinden.

Wie ihr sicher bereits aufgrund meiner "unfachlichen" Problembeschreibung erkennen konntet, bin ich gelinde gesagt "blutiger Anfänger" was die Thematik VPN und Routing betrifft. Trotzdem interessiert mich das Thema so sehr, dass ich immer wieder stundenlang im Netz nach Lösungen gesucht habe und auch schon sehr viele Ansätze ausprobiert habe - erfolglos. Jetzt würde ich mich um noch so jeden kleinen Tipp freuen, den ihr mir geben könntet. Seien das auch nur Schlagwörter, mit welchen ich wieder weitersuchen kann.

Besten Dank jetzt schon für eure Antworten!

Gruss Conolus

Conolus schrieb:

[…] Wie kann ich jetzt auf dem OpenVPN-Server bewerkstelligen, dass er z.B. alle Anfragen von der VPN-IP 10.254.1.11 welche als Ziel das Netz 10.13.0.0 haben, über den Router mit der VPN-IP 10.254.1.21 sendet? Blöd gesagt müsste ich jetzt aufgrund einer Absender-IP ein Gateway definieren können –> Ist Absender-IP A.A.A.A und Ziel ist 10.13.0.0, dann verwende das Gateway mit der IP X.X.X.X, ist Absender-IP B.B.B.B und Ziel ist 10.13.0.0, dann verwende das Gateway Y.Y.Y.Y

Das geht mit policy routing, indem für jede VPN-IP eine eigene route table verwendet wird. Du benötigst Regeln der Form:

1

ip rule from 10.254.1.11 table 11

In der table XX stehen dann die spezifischen Routen für den Absender XX, erzeugt mit

1

ip route add <Ziel> table XX dev <Schnittstelle>     # Ausdrücke <...> ersetzen!

Lies man ip-rule und man ip-route und informiere Dich über das Thema policy routing. Das ist keine leiche Kost!

Ergänzend zu den korrekten Ausführungen von kB: Ich finde es wirklich unglücklich, dass du für alle Systeme das gleiche Netz nutzt. In dieser Konstellation ist es auch wesentlich schwieriger ein kompaktes, übersichtliches Firewall-Regelwerk zu erstellen, weil du ja keine richtigen Netzübergänge hast. Ich würde das Netz also, wenn möglich, auftrennen, und separate Netze nutzen. Dann musst du auf dem Server auch nicht mit Policy-Routing rumhantieren.

@kB: Vielen Dank für deinen Input! Ich werde diese beiden Themen genauer anschauen. Auf den ersten Blick sieht es schon mal vielversprechend aus.

@misterunknown: Da muss ich dir natürlich vollkommen Recht geben. Leider ist es so, dass diese Konstellation bereits so ist und auch nicht geändert werden kann (da müsste man bei jedem Kunden vorbei und das Anlagennetz anpassen). Wer das damals vor x Jahren entschieden hat und was seine Überlegungen gewesen sind, kann ich auch nicht sagen. Ich steh jetzt einfach da und habe die Probleme 😉

Gruss

Hallo, ich möchte gerne dieses doch schon etwas in die Jahre gekommene Thema aufwärmen. Ich habe genau die selbe Ausgangsituation wie hier beschrieben ist.

Ich habe bereits mit ip-rule getestet, aber ich bekomme es irgendwie nicht hin.

Ist den grundlegend bekannt, das es mit ip-rule möglich ist das umzusetzten?