ubuntuusers.de

Routing Problem / Masquerading

Status: Ungelöst | Ubuntu-Version: Kein Ubuntu
Antworten |

cdn

Anmeldungsdatum:
10. Dezember 2013

Beiträge: 21

Hallo zusammen,

ich sitze hier an einem Problem und komme einfach nicht weiter. Setup:

Hauptstandort (172.10.10.0) besitzt einen OpenVPN Router der für den IP Adressbereich 10.5.0.0 als Gateway definiert ist.

Nebenstandorte(172.10.XX.0) sind via VPN (Cisco RV320) mit dem Router verbunden.

OpenVPNServer<–>VPNClientGateway<–>RouterHauptstandort<–>RouterNebenstandort

Nun komme ich von den Nebenstandorten nicht bis zum OpenVPNServer. Okay, Routen gecheckt, alle in Ordnung. Firewalls deaktivert, daran liegt es auch nicht. Wenn ich nun aber Masquerading auf dem VPNClientGateway aktivere klappt alles. So dies ist aber keine Lösung da ich auf dem OpenVPNServer definitiv die IPs der Clients benötige.

Wenn ich Masquerading von Intern zu OpenVPNServer aktivere, klappt die Verbidnung vom OpenVPNServer zum Client am Nebenstandort und visa versa.

Hat hier jemand einen Tipp? Bin mit meinem Latein schon ziemlich am Ende....

misterunknown Team-Icon

Ehemalige
Avatar von misterunknown

Anmeldungsdatum:
28. Oktober 2009

Beiträge: 4403

Wohnort: Sachsen

cdn schrieb:

Nun komme ich von den Nebenstandorten nicht bis zum OpenVPNServer. Okay, Routen gecheckt, alle in Ordnung. Firewalls deaktivert, daran liegt es auch nicht. Wenn ich nun aber Masquerading auf dem VPNClientGateway aktivere klappt alles. So dies ist aber keine Lösung da ich auf dem OpenVPNServer definitiv die IPs der Clients benötige.

Dein Problem ist also, dass die Rückroute nicht passt, wenn du die Adressen nicht maskierst. Problemlösung: Setze auf dem OpenVPN-Server eine passende Rückroute. Am besten bootfest 😉

cdn

(Themenstarter)

Anmeldungsdatum:
10. Dezember 2013

Beiträge: 21

Hmm also auf dem OpenVPN Server ist eine Rückrute eingetragen.

Also route 172.10.XX.0 255.255.255.0 sowohl in der server.conf als auch als iroute in der ccd Datei.

misterunknown Team-Icon

Ehemalige
Avatar von misterunknown

Anmeldungsdatum:
28. Oktober 2009

Beiträge: 4403

Wohnort: Sachsen

cdn schrieb:

Hmm also auf dem OpenVPN Server ist eine Rückrute eingetragen.

Also route 172.10.XX.0 255.255.255.0 sowohl in der server.conf als auch als iroute in der ccd Datei.

Und ist die Route aktiv? Zeig mal

ip r s

Mir würde jetzt kein anderes Problem einfallen, welches man mit MASQUERADE erschlagen kann. Ansonsten musst du mal mit traceroute bzw. tcpdump gucken, wo welche Pakete entlang gehen.

cdn

(Themenstarter)

Anmeldungsdatum:
10. Dezember 2013

Beiträge: 21

Jep ist drin:

172.10.176.0/24 via 10.5.0.2 dev tun0

als Beispiel. Traceroute wurde auch beides schon gemacht. Hängt dann immer am VPNClientGateway.

misterunknown Team-Icon

Ehemalige
Avatar von misterunknown

Anmeldungsdatum:
28. Oktober 2009

Beiträge: 4403

Wohnort: Sachsen

Gibt es denn dort eine valide Rückroute?

cdn

(Themenstarter)

Anmeldungsdatum:
10. Dezember 2013

Beiträge: 21

ICh weiß jetzt gerade noch so genau was du meinst? Auf dem OpenVPNServer oder wo? Die Rückroute müsste doch wenn auf den VPNGatewayClient gesetzt werden oder?

misterunknown Team-Icon

Ehemalige
Avatar von misterunknown

Anmeldungsdatum:
28. Oktober 2009

Beiträge: 4403

Wohnort: Sachsen

Du brauchst auf allen beteiligten Geräten eine entsprechende Route, es sei denn die Default-Route führt zum Ziel.

cdn

(Themenstarter)

Anmeldungsdatum:
10. Dezember 2013

Beiträge: 21

Die Routen sind definitv auf allen Geräten vorhanden. Ich bin noch einmal beide Wege abgegangen. Hin als auch Rückroute.

misterunknown Team-Icon

Ehemalige
Avatar von misterunknown

Anmeldungsdatum:
28. Oktober 2009

Beiträge: 4403

Wohnort: Sachsen

cdn schrieb:

Die Routen sind definitv auf allen Geräten vorhanden. Ich bin noch einmal beide Wege abgegangen. Hin als auch Rückroute.

Du hast geschrieben, dass es immer am VPNClientGateway. Das muss ja einen Grund haben. Guck an der Stelle einfach mal mit tcpdump, wohin welche Pakete gehen. Ist dort eventuell noch eine Firewall-Regel aktiv, die den Traffic unterbindet?

cdn

(Themenstarter)

Anmeldungsdatum:
10. Dezember 2013

Beiträge: 21

Hmm ja da bekomme ich auf jeden Fall, dass die Pakete reinkommen:

09:58:20.397928 IP 10.5.0.1 > 172.10.176.254: ICMP echo request, id 12254, seq 155, length 64

cdn

(Themenstarter)

Anmeldungsdatum:
10. Dezember 2013

Beiträge: 21

OK. Es scheint irgendwo an den Cisco Routern zu haken...hmm:

IP 172.10.166.254 > 10.5.0.1: ICMP host 172.10.176.100 unreachable, length 92

misterunknown Team-Icon

Ehemalige
Avatar von misterunknown

Anmeldungsdatum:
28. Oktober 2009

Beiträge: 4403

Wohnort: Sachsen

cdn schrieb:

IP 172.10.166.254 > 10.5.0.1: ICMP host 172.10.176.100 unreachable, length 92

unreachable deutet auf eine fehlende Route im Router hin. Nutzen die Cisco-Router den Hauptstandort als Default-Gateway? Oder sind die nochmal separat mit dem Internet verbunden?

cdn

(Themenstarter)

Anmeldungsdatum:
10. Dezember 2013

Beiträge: 21

Sind nochmal separat mit dem Internet verbunden. Also es ist keine default route. Wenn ich aber von einem Client im Hauptnetz einen am Nebenstandort anpinge klappt dies. Auch wenn ich dies direkt vom VPNGateway aus mache...

misterunknown Team-Icon

Ehemalige
Avatar von misterunknown

Anmeldungsdatum:
28. Oktober 2009

Beiträge: 4403

Wohnort: Sachsen

cdn schrieb:

Sind nochmal separat mit dem Internet verbunden. Also es ist keine default route.

Ok.

Wenn ich aber von einem Client im Hauptnetz einen am Nebenstandort anpinge klappt dies.

Und umgekehrt? Ich könnte mir vorstellen, dass die Cisco-Router zwar wissen, dass das Netz 172.10.10.0/24 durchs VPN zum Hauptstandort geroutet werden muss, aber keine Route für 10.5.0.0/24 haben. Die Default-Route funktioniert nicht, da diese ja ins Internet geht und private Adressen im Internet nicht geroutet werden können. Daher müsstest du dieses Netz noch mit ins VPN packen.

Auf dem Hauptstandort-Router sollte ja schon eine Route für 10.5.0.0/24 eingetragen sein.

Antworten |