[gelöst] VPN-Verbund Routing

Lieber Besucher, herzlich willkommen bei: Ubuntu-Forum & Kubuntu-Forum | www.Ubuntu-Forum.de. Falls dies Ihr erster Besuch auf dieser Seite ist, lesen Sie sich bitte die Hilfe durch. Dort wird Ihnen die Bedienung dieser Seite näher erläutert. Darüber hinaus sollten Sie sich registrieren, um alle Funktionen dieser Seite nutzen zu können. Benutzen Sie das Registrierungsformular, um sich zu registrieren oder informieren Sie sich ausführlich über den Registrierungsvorgang. Falls Sie sich bereits zu einem früheren Zeitpunkt registriert haben, können Sie sich hier anmelden.

oOspikeOo

User

Beiträge: 16

Registrierungsdatum: 15.03.2016

Derivat: unbekannt

Version: unbekannte Version

Architektur: unbekannt

Desktop: unbekannt

15.03.2016, 22:56

VPN-Verbund Routing

Hey Leute,

helft mir doch mal auf die Sprünge. Ich hampel hier nun schon ne weile drauf rum. Ich komme einfach nicht mit dem "Route" und "IRoute" zurecht. Ich erreiche laut TCPDump immer das letzt Ziel, jedoch geht die antwort dann aber verlohren und ich finde sie nicht wieder =). Schaut doch mal rein und versucht mir zu sagen wo mein Fehler liegt.

Beispiel: Ich starte einen ICMP Request von Server #1 mit dem Ziel 10.3.0.1 - die Anfrage läuft über Server #2 und kommt dann auch bei Server #3 an. Der Rückweg scheint dann aber irgendwie nicht hinzuhauen. Alle anderen Punkte erreiche ich. Später soll natürlich auch die kürzere Route aktiv sein.

Schon mal danke für's lesen und nachdenken

Edit:

Die Pfeile zeigen von der Clientinstanz zur Serverinstanz!
IPForwarding ist überall aktiv
IPTabels lassen durch

Server #1

Quellcode

local 84.23.xx.xx

management 84.23.xx.xx 7505 /etc/openvpn/pass.txt

port 1194
;route-delay 10
proto udp
dev tun

ca ca.crt
cert server.crt
key server.key  # This file should be kept secret
dh dh2048.pem
;tls-auth ta.key 0 # This file is secret

server 10.1.0.0 255.255.255.0

topology subnet
mode server

ifconfig-pool-persist ipp.txt

client-config-dir ccd


;push "redirect-gateway def1 bypass-dhcp"
;push "dhcp-option DNS 208.67.222.222"
;push "dhcp-option DNS 208.67.220.220"

client-to-client
keepalive 5 15

comp-lzo

user nobody
group nogroup

persist-key
persist-tun

status openvpn-status.log

;verb 3
verb 6
tun-mtu 1500

ccd für Server #3

	Quellcode
1 2 3 4 5 6	ifconfig-push 10.1.0.2 255.255.255.0 iroute 10.3.0.0 255.255.255.0 push "route 10.2.0.0 255.255.255.0 10.1.0.1 5" ;push "route 10.2.0.0 255.255.255.0 10.3.0.2 6"

Server #2

Quellcode

local 81.89.xxx.xxx

management 81.89.xxx.xxx 7505 /etc/openvpn/pass.txt

port 1194
;route-delay 10
proto udp
dev tun

ca ca.crt
cert server.crt
key server.key  # This file should be kept secret
dh dh2048.pem
;tls-auth ta.key 0 # This file is secret

server 10.2.0.0 255.255.255.0

topology subnet
mode server

ifconfig-pool-persist ipp.txt

client-config-dir ccd

;push "redirect-gateway def1 bypass-dhcp"
;push "dhcp-option DNS 208.67.222.222"
;push "dhcp-option DNS 208.67.220.220"

client-to-client
keepalive 5 15

comp-lzo

user nobody
group nogroup

persist-key
persist-tun

status openvpn-status.log

verb 6
tun-mtu 1500

ccd für Server #1

	Quellcode
1 2 3 4 5 6	ifconfig-push 10.2.0.2 255.255.255.0 iroute 10.1.0.0 255.255.255.0 push "route 10.3.0.0 255.255.255.0 10.2.0.1 5" ;push "route 10.3.0.0 255.255.255.0 10.1.0.2.2 5"

Server #3

Quellcode

local 81.89.xxx.xxx

management 81.89.xxx.xxx 7505 /etc/openvpn/pass.txt

port 1194
;route-delay 10
proto udp
dev tun

ca ca.crt
cert server.crt
key server.key  # This file should be kept secret
dh dh2048.pem
;tls-auth ta.key 0 # This file is secret

server 10.3.0.0 255.255.255.0

topology subnet
mode server

ifconfig-pool-persist ipp.txt

client-config-dir ccd

;push "redirect-gateway def1 bypass-dhcp"
;push "dhcp-option DNS 208.67.222.222"
;push "dhcp-option DNS 208.67.220.220"

client-to-client
keepalive 5 15

comp-lzo

user nobody
group nogroup

persist-key
persist-tun

status openvpn-status.log

verb 6
tun-mtu 1500

ccd für Server #2

	Quellcode
1 2 3 4 5 6	ifconfig-push 10.3.0.2 255.255.255.0 iroute 10.2.0.0 255.255.255.0 push "route 10.1.0.0 255.255.255.0 10.3.0.1 5" ;push "route 10.1.0.0 255.255.255.0 10.2.0.2 6"

Dieser Beitrag wurde bereits 4 mal editiert, zuletzt von »oOspikeOo« (17.03.2016, 17:00)

Zum Seitenanfang

Fredl

Ubuntu-Forum-Team

Beiträge: 11 331

16.03.2016, 00:45

tun1 von client1 und tun0 von client2 haben in der Skizze die gleiche IP. So kann man sich verschiedene Reime machen, wo die Pakete hingehen und wie sie verloren gehen. Kannst du das mal richtigstellen? Ansonsten wär's nämlich klar...

PS: 192.0.x.x ist nicht für private Netzadressen vorgesehen, 192.0.2.x sollte nicht geroutet werden. Wenn das nur eine Beispielkonfiguration ist, dann ist es egal. Nur nicht wundern, wenn es "in echt" nicht läuft.

Beim Erstellen dieser Nachricht kamen keine Tiere zu Schaden.

me is all sausage
but don't call me Ferdl

Zum Seitenanfang

oOspikeOo

User

Beiträge: 16

Registrierungsdatum: 15.03.2016

Derivat: unbekannt

Version: unbekannte Version

Architektur: unbekannt

Desktop: unbekannt

16.03.2016, 01:10

Japp richtig - war falsch eingetragen! Habs geändert.

das mit der 192. ist automatisch drin. Das sind 3 vServer und das liegt wohl an den Hosts.Die 192 fungiert nur als default gw. Weiss der Geier warum =)

Der Grund für das Konstrukt ist ja nebensächlich, aber wenns hilft zu verstehen warum - ich habe auf 2en einen Mailserver die synchron laufen - ebenso MYSQL als Master/Master. Und der Abgleich soll dann halt ins VPN, sowie Abfragen vom Icinga / Cacti... ausserdem sollen Clients das VPN nutzen können und von jeder Ecke aus Zugang haben damit, wenn eins ausfällt Ersatz geleistet wird. UND ich will einfach wissen wie es funktioniert. Immer was dazulernen - so machts spass und man bleibt am Ball =)

P.S.: Die Map gibt es nun auch in groß :thumbsup:

Ausserdem habe ich kleine S/C für Server/Client zugefügt.

Dieser Beitrag wurde bereits 3 mal editiert, zuletzt von »oOspikeOo« (16.03.2016, 01:24)

Zum Seitenanfang

Fredl

Ubuntu-Forum-Team

Beiträge: 11 331

16.03.2016, 15:38

Ich versteh grad nicht, warum du absichtlich überall die jeweils längere Route erzwingst. Du sagst zwar, daß später auch die kürzeren "aktiv" sein sollen, aber mit statischem Routing wirst du spätestens dann ohnehin anstehen. Da gewinnt immer der erste Treffer, und wenn der tot ist, kommt erstmal gar nichts mehr an. Dazu kommt:

Zitat von »oOspikeOo«

damit, wenn eins ausfällt Ersatz geleistet wird

Wenn sowas vorkommen kann (und das kann es natürlich), wäre allein schon deshalb dynamisches Routing angesagt. Von der eigenen Bequemlichkeit ganz zu schweigen :-) (1x installieren und einrichten, dann lernt es die Routen und reagiert auf Änderungen von selbst)

Beim Erstellen dieser Nachricht kamen keine Tiere zu Schaden.

me is all sausage
but don't call me Ferdl

Zum Seitenanfang

oOspikeOo

User

Beiträge: 16

Registrierungsdatum: 15.03.2016

Derivat: unbekannt

Version: unbekannte Version

Architektur: unbekannt

Desktop: unbekannt

16.03.2016, 15:48

Ich habe die config mal bereinigt und ist somit zu 80 lauffäuhig.

Japp es ist ziemlich umständlich. Muss ich ganz ehrlich sagen. Ich habe nämlich den ganzen Tag dran gesessen und verschiedenste routen irouten kombiniert. Ich kanns schon net mehr sehen.

Ich schau mir jetzt mal deinen Link an und versuche mich da mal. Hilfestellungen nehme ich gern an wenn jemand dahingehend Erfahrungen hat.

So ich bin mal lesen =)

Edit: quagga passend zu meinem Setting

Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von »oOspikeOo« (16.03.2016, 15:56)

Zum Seitenanfang

oOspikeOo

User

Beiträge: 16

Registrierungsdatum: 15.03.2016

Derivat: unbekannt

Version: unbekannte Version

Architektur: unbekannt

Desktop: unbekannt

16.03.2016, 16:45

Hmm schöne Idee nur haut es wohl nicht hin da ich ja vServer habe.

Quellcode

1
2
3

# modprobe fuse
modprobe: ERROR: ../libkmod/libkmod.c:507 kmod_lookup_alias_from_builtin_file() could not open builtin file '/lib/modules/2.6.32-042stab108.8/modules.builtin.bin'
modprobe: FATAL: Module fuse not found.

Zum Seitenanfang

Fredl

Ubuntu-Forum-Team

Beiträge: 11 331

16.03.2016, 19:52

Was hat fuse jetzt damit zu tun?

Beim Erstellen dieser Nachricht kamen keine Tiere zu Schaden.

me is all sausage
but don't call me Ferdl

Zum Seitenanfang

oOspikeOo

User

Beiträge: 16

Registrierungsdatum: 15.03.2016

Derivat: unbekannt

Version: unbekannte Version

Architektur: unbekannt

Desktop: unbekannt

16.03.2016, 20:18

Ist wohl bestandteil der dependency !?

Quellcode

# service quagga restart
Stopping Quagga monitor daemon: watchquagga.
Stopping Quagga daemons (prio:0): ospfd (waiting) .. zebra (bgpd) (ripd) (ripngd) (ospf6d) (isisd) (babeld).
Removing all routes made by zebra.
Loading capability module if not yet done.
modprobe: ERROR: ../libkmod/libkmod.c:507 kmod_lookup_alias_from_builtin_file() could not open builtin file '/lib/modules/2.6.32-042stab108.8/modules.builtin.bin'
Starting Quagga daemons (prio:10): zebra ospfd.
Starting Quagga monitor daemon: watchquagga.

Zum Seitenanfang

oOspikeOo

User

Beiträge: 16

Registrierungsdatum: 15.03.2016

Derivat: unbekannt

Version: unbekannte Version

Architektur: unbekannt

Desktop: unbekannt

16.03.2016, 21:03

Ok mein Provider sagt das es gehen muss. Ich probiere mal dran rum und melde mich dann wieder zu Worte.

Zum Seitenanfang

oOspikeOo

User

Beiträge: 16

Registrierungsdatum: 15.03.2016

Derivat: unbekannt

Version: unbekannte Version

Architektur: unbekannt

Desktop: unbekannt

17.03.2016, 16:52

Das jeweilige entfernte Netz ist weiterhin nicht erreichbar. Tips für Herrangehensweisen?

SRV1

Quellcode

srv1-router# show ip route ospf
Codes: K - kernel route, C - connected, S - static, R - RIP,
   	O - OSPF, I - IS-IS, B - BGP, A - Babel,
   	> - selected route, * - FIB route

O   10.1.0.0/24 [110/10] is directly connected, tun0, 00:01:12
O   10.2.0.0/24 [110/10] is directly connected, tun1, 00:01:10
O>* 10.3.0.0/24 [110/20] via 10.1.0.2, tun0, 00:00:48
  *                  	via 10.2.0.1, tun1, 00:00:48
srv1-router# show ip forwarding  
IP forwarding is on

SRV2

Quellcode

srv2-router# show ip route ospf
Codes: K - kernel route, C - connected, S - static, R - RIP,
   	O - OSPF, I - IS-IS, B - BGP, A - Babel,
   	> - selected route, * - FIB route

O>* 10.1.0.0/24 [110/20] via 10.2.0.2, tun0, 00:01:10
  *                  	via 10.3.0.1, tun1, 00:01:10
O   10.2.0.0/24 [110/10] is directly connected, tun0, 00:01:30
O   10.3.0.0/24 [110/10] is directly connected, tun1, 00:01:28
srv2-router# show ip forwarding  
IP forwarding is on

SRV3

Quellcode

srv3-router# show ip route ospf
Codes: K - kernel route, C - connected, S - static, R - RIP,
   	O - OSPF, I - IS-IS, B - BGP, A - Babel,
   	> - selected route, * - FIB route

O   10.1.0.0/24 [110/10] is directly connected, tun1, 00:01:44
O>* 10.2.0.0/24 [110/20] via 10.3.0.2, tun0, 00:01:09
  *                  	via 10.1.0.1, tun1, 00:01:09
O   10.3.0.0/24 [110/10] is directly connected, tun0, 00:01:46
srv3-router# show ip forwarding  
IP forwarding is on

Zum Seitenanfang

oOspikeOo

User

Beiträge: 16

Registrierungsdatum: 15.03.2016

Derivat: unbekannt

Version: unbekannte Version

Architektur: unbekannt

Desktop: unbekannt

17.03.2016, 17:00

OK - Gelöst. Ich musste nur die jeweilige iRoute wieder in der ccd/ config aktivieren, damit auch OpenVPN intern weiss wo und das es sie gibt.

Vielen Dank für die Hilfe

Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von »oOspikeOo« (17.03.2016, 17:17)