Discussion:
openVPN Routing Problem
(zu alt für eine Antwort)
Frank Stroeter
2019-11-16 21:21:42 UTC
Permalink
Hallo Freunde des Fli,

ich weiss gerade nicht weiter bei einer vpn Verbindung
zwischen 2 Fli 3.10.18

Fli 1 Netz a.a.a.a als Lan-Router hinter Netz b.b.b.b
Verbindung zu Fli 2 Netz b.b.b.b
Eine Route im Fli 1 ins Netz von Fli 2 (b.b.b.b) funktioniert
natürlich nicht. (Da mein Netz Richtung Internet und der Ziel-Fli
die gleichen IP-Adressen haben)

Auf das Netz vor Fli 1 welches meine Internetverbindung zur
Verfügung stellt habe ich keinen Enfluss.

Gibt es irgendeine Möglichkeit eine Route zwischen den beiden
Fli Netzen einzurichten?

Die Verbindung ist als Tunnel eingerichtet und funktioniert (bis auf
die Route ins Zielnetz)

Was braucht ihr aus meiner Konfig?

Danke für Eure Tips
Frank
Frank Stroeter
2019-11-18 18:39:13 UTC
Permalink
Hallo Mitlesende,

hat denn keiner einen Vorschlag?
Ich komme mit der Doku leider auch nicht weiter.

Danke Frank
Post by Frank Stroeter
Hallo Freunde des Fli,
ich weiss gerade nicht weiter bei einer vpn Verbindung
zwischen 2 Fli 3.10.18
Fli 1 Netz a.a.a.a als Lan-Router hinter Netz b.b.b.b
Verbindung zu Fli 2 Netz b.b.b.b
Eine Route im Fli 1 ins Netz von Fli 2 (b.b.b.b) funktioniert
natürlich nicht. (Da mein Netz Richtung Internet und der Ziel-Fli
die gleichen IP-Adressen haben)
Auf das Netz vor Fli 1 welches meine Internetverbindung zur
Verfügung stellt habe ich keinen Enfluss.
Gibt es irgendeine Möglichkeit eine Route zwischen den beiden
Fli Netzen einzurichten?
Die Verbindung ist als Tunnel eingerichtet und funktioniert (bis auf
die Route ins Zielnetz)
Was braucht ihr aus meiner Konfig?
Danke für Eure Tips
Frank
Hans Bachner
2019-11-18 20:57:21 UTC
Permalink
Hallo Frank,
Post by Frank Stroeter
Fli 1 Netz a.a.a.a als Lan-Router hinter Netz b.b.b.b
Verbindung zu Fli 2 Netz b.b.b.b
Eine Route im Fli 1 ins Netz von Fli 2 (b.b.b.b) funktioniert
natürlich nicht. (Da mein Netz Richtung Internet und der Ziel-Fli
die gleichen IP-Adressen haben)
Wenn fli 1 ein Bein im (lokalen) Adressbereich b.b.b.b hat, wird eine
Tunnel zu einem anderen Netz mit dem gleichen Adressbereich wohl nicht
funktionieren.

Woher soll fli1 wissen, ob er z.B. Pakete an die Adresse b.b.b.10 ins
lokalen Netz oder ins Netz hinter dem Tunnel schicken soll?

Du kannst höchstens Routen für einzelne Rechner (oder kleine Teilnetze)
auf das Tunnel-Interface legen, kannst aber dann die Rechner mit diesen
Adressen im lokalen Netz nicht mehr erreichen Weder vom fli 1 noch aus
dem Netz a.a.a.a. Beispielsweise so:

OPENVPN_1_ROUTE_1='b.b.b.17'
OPENVPN_1_ROUTE_2='b.b.b.32/30' # .32-.35
OPENVPN_1_ROUTE_3='b.b.b.196/26' # .196-.254
Post by Frank Stroeter
Auf das Netz vor Fli 1 welches meine Internetverbindung zur
Verfügung stellt habe ich keinen Enfluss.
Dann schau dir einmal an, ob du dem Netz am Ende des Tunnels einen
anderen Adressbereich verpassen kannst. Du ersparst dir damit einiges an
Tüftelei und künftige Konflikte, wenn du zwei Rechner mit den gleichen
Adressen auf beiden Seiten der Internet-Verbindung erreichen musst.

Viel Erfolg,
Hans.
Post by Frank Stroeter
Hallo Mitlesende,
hat denn keiner einen Vorschlag?
Ich komme mit der Doku leider auch nicht weiter.
Danke Frank
Post by Frank Stroeter
Hallo Freunde des Fli,
ich weiss gerade nicht weiter bei einer vpn Verbindung
zwischen 2 Fli 3.10.18
Fli 1 Netz a.a.a.a als Lan-Router hinter Netz b.b.b.b
Verbindung zu Fli 2 Netz b.b.b.b
Eine Route im Fli 1 ins Netz von Fli 2 (b.b.b.b) funktioniert
natürlich nicht. (Da mein Netz Richtung Internet und der Ziel-Fli
die gleichen IP-Adressen haben)
Auf das Netz vor Fli 1 welches meine Internetverbindung zur
Verfügung stellt habe ich keinen Enfluss.
Gibt es irgendeine Möglichkeit eine Route zwischen den beiden
Fli Netzen einzurichten?
Die Verbindung ist als Tunnel eingerichtet und funktioniert (bis auf
die Route ins Zielnetz)
Was braucht ihr aus meiner Konfig?
Danke für Eure Tips
Frank
Frank Stroeter
2019-11-19 13:01:22 UTC
Permalink
Hallo Hans,

danke für Deine Antwort. An das Routen der Teilnetze habe ich auch
schon gedacht. Ist aber sehr mühsam. Ich hatte irgendwie an so was wie
maskieren gedacht, weiß da aber nicht ob das in einem VPN-Tunnel geht.

Gruß Frank
Post by Hans Bachner
Hallo Frank,
Post by Frank Stroeter
Fli 1 Netz a.a.a.a als Lan-Router hinter Netz b.b.b.b
Verbindung zu Fli 2 Netz b.b.b.b
Eine Route im Fli 1 ins Netz von Fli 2 (b.b.b.b) funktioniert
natürlich nicht. (Da mein Netz Richtung Internet und der Ziel-Fli
die gleichen IP-Adressen haben)
Wenn fli 1 ein Bein im (lokalen) Adressbereich b.b.b.b hat, wird eine
Tunnel zu einem anderen Netz mit dem gleichen Adressbereich wohl nicht
funktionieren.
Woher soll fli1 wissen, ob er z.B. Pakete an die Adresse b.b.b.10 ins
lokalen Netz oder ins Netz hinter dem Tunnel schicken soll?
Du kannst höchstens Routen für einzelne Rechner (oder kleine Teilnetze)
auf das Tunnel-Interface legen, kannst aber dann die Rechner mit diesen
Adressen im lokalen Netz nicht mehr erreichen Weder vom fli 1 noch aus
OPENVPN_1_ROUTE_1='b.b.b.17'
OPENVPN_1_ROUTE_2='b.b.b.32/30'        # .32-.35
OPENVPN_1_ROUTE_3='b.b.b.196/26'    # .196-.254
Post by Frank Stroeter
Auf das Netz vor Fli 1 welches meine Internetverbindung zur
Verfügung stellt habe ich keinen Enfluss.
Dann schau dir einmal an, ob du dem Netz am Ende des Tunnels einen
anderen Adressbereich verpassen kannst. Du ersparst dir damit einiges an
Tüftelei und künftige Konflikte, wenn du zwei Rechner mit den gleichen
Adressen auf beiden Seiten der Internet-Verbindung erreichen musst.
Viel Erfolg,
Hans.
Post by Frank Stroeter
Hallo Mitlesende,
hat denn keiner einen Vorschlag?
Ich komme mit der Doku leider auch nicht weiter.
Danke Frank
Post by Frank Stroeter
Hallo Freunde des Fli,
ich weiss gerade nicht weiter bei einer vpn Verbindung
zwischen 2 Fli 3.10.18
Fli 1 Netz a.a.a.a als Lan-Router hinter Netz b.b.b.b
Verbindung zu Fli 2 Netz b.b.b.b
Eine Route im Fli 1 ins Netz von Fli 2 (b.b.b.b) funktioniert
natürlich nicht. (Da mein Netz Richtung Internet und der Ziel-Fli
die gleichen IP-Adressen haben)
Auf das Netz vor Fli 1 welches meine Internetverbindung zur
Verfügung stellt habe ich keinen Enfluss.
Gibt es irgendeine Möglichkeit eine Route zwischen den beiden
Fli Netzen einzurichten?
Die Verbindung ist als Tunnel eingerichtet und funktioniert (bis auf
die Route ins Zielnetz)
Was braucht ihr aus meiner Konfig?
Danke für Eure Tips
Frank
Hans Bachner
2019-11-19 14:38:11 UTC
Permalink
Hallo Frank,
Post by Frank Stroeter
Hallo Hans,
danke für Deine Antwort. An das Routen der Teilnetze habe ich auch
schon gedacht. Ist aber sehr mühsam. Ich hatte irgendwie an so was wie
maskieren gedacht, weiß da aber nicht ob das in einem VPN-Tunnel geht.
Maskieren kannst du schon - das ändert aber nur die im Zielnetz
sichtbare Absender-Adresse.

Das Problem bleibt, dass der fli 1 über zwei verschiedene Interfaces
(ethX, tunX) zwei Netze ansprechen muss, in denen die gleichen Adressen
verwendet werden. Mir ist jedenfalls keine andere Lösung bekannt - was
natürlich nicht heißt, dass es nicht doch eine gibt :-)

Ich habe das Problem von Zeit zu Zeit auch. Ich verwende sowohl zuhause
als auch im Büro 10.x.x.x/24 bzw. /18 Netze. Wenn ich mich über eine
meiner Datenkarten in ein Mobilfunknetz einwähle, erhalte ich von einem
Provider nicht immer, aber doch gelegentlich eine 10.y.y.y/8 Adresse.
Normalerweise überschneidet sich das tatsächlich verwendete Subnetz mit
meinen Adressbereichen ohnehin nicht, also behelfe ich mir (in der
Road-Warrior Konfiguration) mit ein paar manuell eingetragenen Routen,
die "meine" Adressen durch den Tunnel schicken.

Schöne Grüße,
Hans.
Post by Frank Stroeter
Gruß Frank
Post by Hans Bachner
Hallo Frank,
Post by Frank Stroeter
Fli 1 Netz a.a.a.a als Lan-Router hinter Netz b.b.b.b
Verbindung zu Fli 2 Netz b.b.b.b
Eine Route im Fli 1 ins Netz von Fli 2 (b.b.b.b) funktioniert
natürlich nicht. (Da mein Netz Richtung Internet und der Ziel-Fli
die gleichen IP-Adressen haben)
Wenn fli 1 ein Bein im (lokalen) Adressbereich b.b.b.b hat, wird eine
Tunnel zu einem anderen Netz mit dem gleichen Adressbereich wohl nicht
funktionieren.
Woher soll fli1 wissen, ob er z.B. Pakete an die Adresse b.b.b.10 ins
lokalen Netz oder ins Netz hinter dem Tunnel schicken soll?
Du kannst höchstens Routen für einzelne Rechner (oder kleine
Teilnetze) auf das Tunnel-Interface legen, kannst aber dann die
Rechner mit diesen Adressen im lokalen Netz nicht mehr erreichen Weder
OPENVPN_1_ROUTE_1='b.b.b.17'
OPENVPN_1_ROUTE_2='b.b.b.32/30'        # .32-.35
OPENVPN_1_ROUTE_3='b.b.b.196/26'    # .196-.254
Post by Frank Stroeter
Auf das Netz vor Fli 1 welches meine Internetverbindung zur
Verfügung stellt habe ich keinen Enfluss.
Dann schau dir einmal an, ob du dem Netz am Ende des Tunnels einen
anderen Adressbereich verpassen kannst. Du ersparst dir damit einiges
an Tüftelei und künftige Konflikte, wenn du zwei Rechner mit den
gleichen Adressen auf beiden Seiten der Internet-Verbindung erreichen
musst.
Viel Erfolg,
Hans.
Post by Frank Stroeter
Hallo Mitlesende,
hat denn keiner einen Vorschlag?
Ich komme mit der Doku leider auch nicht weiter.
Danke Frank
Post by Frank Stroeter
Hallo Freunde des Fli,
ich weiss gerade nicht weiter bei einer vpn Verbindung
zwischen 2 Fli 3.10.18
Fli 1 Netz a.a.a.a als Lan-Router hinter Netz b.b.b.b
Verbindung zu Fli 2 Netz b.b.b.b
Eine Route im Fli 1 ins Netz von Fli 2 (b.b.b.b) funktioniert
natürlich nicht. (Da mein Netz Richtung Internet und der Ziel-Fli
die gleichen IP-Adressen haben)
Auf das Netz vor Fli 1 welches meine Internetverbindung zur
Verfügung stellt habe ich keinen Enfluss.
Gibt es irgendeine Möglichkeit eine Route zwischen den beiden
Fli Netzen einzurichten?
Die Verbindung ist als Tunnel eingerichtet und funktioniert (bis auf
die Route ins Zielnetz)
Was braucht ihr aus meiner Konfig?
Danke für Eure Tips
Frank
Loading...