Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss
openVPN Routing Problem
2 views
Skip to first unread message
Frank Stroeter
Nov 16, 2019, 4:21:19 PM11/16/19
to
Hallo Freunde des Fli,
ich weiss gerade nicht weiter bei einer vpn Verbindung
zwischen 2 Fli 3.10.18
Fli 1 Netz a.a.a.a als Lan-Router hinter Netz b.b.b.b
Verbindung zu Fli 2 Netz b.b.b.b
Eine Route im Fli 1 ins Netz von Fli 2 (b.b.b.b) funktioniert
natürlich nicht. (Da mein Netz Richtung Internet und der Ziel-Fli
die gleichen IP-Adressen haben)
Auf das Netz vor Fli 1 welches meine Internetverbindung zur
Verfügung stellt habe ich keinen Enfluss.
Gibt es irgendeine Möglichkeit eine Route zwischen den beiden
Fli Netzen einzurichten?
Die Verbindung ist als Tunnel eingerichtet und funktioniert (bis auf
die Route ins Zielnetz)
Was braucht ihr aus meiner Konfig?
Danke für Eure Tips
Frank
ich weiss gerade nicht weiter bei einer vpn Verbindung
zwischen 2 Fli 3.10.18
Fli 1 Netz a.a.a.a als Lan-Router hinter Netz b.b.b.b
Verbindung zu Fli 2 Netz b.b.b.b
Eine Route im Fli 1 ins Netz von Fli 2 (b.b.b.b) funktioniert
natürlich nicht. (Da mein Netz Richtung Internet und der Ziel-Fli
die gleichen IP-Adressen haben)
Auf das Netz vor Fli 1 welches meine Internetverbindung zur
Verfügung stellt habe ich keinen Enfluss.
Gibt es irgendeine Möglichkeit eine Route zwischen den beiden
Fli Netzen einzurichten?
Die Verbindung ist als Tunnel eingerichtet und funktioniert (bis auf
die Route ins Zielnetz)
Was braucht ihr aus meiner Konfig?
Danke für Eure Tips
Frank
Frank Stroeter
Nov 18, 2019, 1:39:15 PM11/18/19
to
Hallo Mitlesende,
hat denn keiner einen Vorschlag?
Ich komme mit der Doku leider auch nicht weiter.
Danke Frank
hat denn keiner einen Vorschlag?
Ich komme mit der Doku leider auch nicht weiter.
Danke Frank
Hans Bachner
Nov 18, 2019, 3:57:23 PM11/18/19
to
Hallo Frank,
> Fli 1 Netz a.a.a.a als Lan-Router hinter Netz b.b.b.b
> Verbindung zu Fli 2 Netz b.b.b.b
> Eine Route im Fli 1 ins Netz von Fli 2 (b.b.b.b) funktioniert
> natürlich nicht. (Da mein Netz Richtung Internet und der Ziel-Fli
> die gleichen IP-Adressen haben)
Wenn fli 1 ein Bein im (lokalen) Adressbereich b.b.b.b hat, wird eine
Tunnel zu einem anderen Netz mit dem gleichen Adressbereich wohl nicht
funktionieren.
Woher soll fli1 wissen, ob er z.B. Pakete an die Adresse b.b.b.10 ins
lokalen Netz oder ins Netz hinter dem Tunnel schicken soll?
Du kannst höchstens Routen für einzelne Rechner (oder kleine Teilnetze)
auf das Tunnel-Interface legen, kannst aber dann die Rechner mit diesen
Adressen im lokalen Netz nicht mehr erreichen Weder vom fli 1 noch aus
dem Netz a.a.a.a. Beispielsweise so:
OPENVPN_1_ROUTE_1='b.b.b.17'
OPENVPN_1_ROUTE_2='b.b.b.32/30' # .32-.35
OPENVPN_1_ROUTE_3='b.b.b.196/26' # .196-.254
> Auf das Netz vor Fli 1 welches meine Internetverbindung zur
> Verfügung stellt habe ich keinen Enfluss.
Dann schau dir einmal an, ob du dem Netz am Ende des Tunnels einen
anderen Adressbereich verpassen kannst. Du ersparst dir damit einiges an
Tüftelei und künftige Konflikte, wenn du zwei Rechner mit den gleichen
Adressen auf beiden Seiten der Internet-Verbindung erreichen musst.
Viel Erfolg,
Hans.
> Fli 1 Netz a.a.a.a als Lan-Router hinter Netz b.b.b.b
> Verbindung zu Fli 2 Netz b.b.b.b
> Eine Route im Fli 1 ins Netz von Fli 2 (b.b.b.b) funktioniert
> natürlich nicht. (Da mein Netz Richtung Internet und der Ziel-Fli
> die gleichen IP-Adressen haben)
Tunnel zu einem anderen Netz mit dem gleichen Adressbereich wohl nicht
funktionieren.
Woher soll fli1 wissen, ob er z.B. Pakete an die Adresse b.b.b.10 ins
lokalen Netz oder ins Netz hinter dem Tunnel schicken soll?
Du kannst höchstens Routen für einzelne Rechner (oder kleine Teilnetze)
auf das Tunnel-Interface legen, kannst aber dann die Rechner mit diesen
Adressen im lokalen Netz nicht mehr erreichen Weder vom fli 1 noch aus
dem Netz a.a.a.a. Beispielsweise so:
OPENVPN_1_ROUTE_1='b.b.b.17'
OPENVPN_1_ROUTE_2='b.b.b.32/30' # .32-.35
OPENVPN_1_ROUTE_3='b.b.b.196/26' # .196-.254
> Auf das Netz vor Fli 1 welches meine Internetverbindung zur
> Verfügung stellt habe ich keinen Enfluss.
anderen Adressbereich verpassen kannst. Du ersparst dir damit einiges an
Tüftelei und künftige Konflikte, wenn du zwei Rechner mit den gleichen
Adressen auf beiden Seiten der Internet-Verbindung erreichen musst.
Viel Erfolg,
Hans.
Frank Stroeter
Nov 19, 2019, 8:01:23 AM11/19/19
to
Hallo Hans,
danke für Deine Antwort. An das Routen der Teilnetze habe ich auch
schon gedacht. Ist aber sehr mühsam. Ich hatte irgendwie an so was wie
maskieren gedacht, weiß da aber nicht ob das in einem VPN-Tunnel geht.
Gruß Frank
danke für Deine Antwort. An das Routen der Teilnetze habe ich auch
schon gedacht. Ist aber sehr mühsam. Ich hatte irgendwie an so was wie
maskieren gedacht, weiß da aber nicht ob das in einem VPN-Tunnel geht.
Gruß Frank
Hans Bachner
Nov 19, 2019, 9:38:11 AM11/19/19
to
Hallo Frank,
Frank Stroeter schrieb am 19.11.2019 um 14:01:
> Hallo Hans,
>
> danke für Deine Antwort. An das Routen der Teilnetze habe ich auch
> schon gedacht. Ist aber sehr mühsam. Ich hatte irgendwie an so was wie
> maskieren gedacht, weiß da aber nicht ob das in einem VPN-Tunnel geht.
Maskieren kannst du schon - das ändert aber nur die im Zielnetz
sichtbare Absender-Adresse.
Das Problem bleibt, dass der fli 1 über zwei verschiedene Interfaces
(ethX, tunX) zwei Netze ansprechen muss, in denen die gleichen Adressen
verwendet werden. Mir ist jedenfalls keine andere Lösung bekannt - was
natürlich nicht heißt, dass es nicht doch eine gibt :-)
Ich habe das Problem von Zeit zu Zeit auch. Ich verwende sowohl zuhause
als auch im Büro 10.x.x.x/24 bzw. /18 Netze. Wenn ich mich über eine
meiner Datenkarten in ein Mobilfunknetz einwähle, erhalte ich von einem
Provider nicht immer, aber doch gelegentlich eine 10.y.y.y/8 Adresse.
Normalerweise überschneidet sich das tatsächlich verwendete Subnetz mit
meinen Adressbereichen ohnehin nicht, also behelfe ich mir (in der
Road-Warrior Konfiguration) mit ein paar manuell eingetragenen Routen,
die "meine" Adressen durch den Tunnel schicken.
Schöne Grüße,
Hans.
Frank Stroeter schrieb am 19.11.2019 um 14:01:
> Hallo Hans,
>
> danke für Deine Antwort. An das Routen der Teilnetze habe ich auch
> schon gedacht. Ist aber sehr mühsam. Ich hatte irgendwie an so was wie
> maskieren gedacht, weiß da aber nicht ob das in einem VPN-Tunnel geht.
sichtbare Absender-Adresse.
Das Problem bleibt, dass der fli 1 über zwei verschiedene Interfaces
(ethX, tunX) zwei Netze ansprechen muss, in denen die gleichen Adressen
verwendet werden. Mir ist jedenfalls keine andere Lösung bekannt - was
natürlich nicht heißt, dass es nicht doch eine gibt :-)
Ich habe das Problem von Zeit zu Zeit auch. Ich verwende sowohl zuhause
als auch im Büro 10.x.x.x/24 bzw. /18 Netze. Wenn ich mich über eine
meiner Datenkarten in ein Mobilfunknetz einwähle, erhalte ich von einem
Provider nicht immer, aber doch gelegentlich eine 10.y.y.y/8 Adresse.
Normalerweise überschneidet sich das tatsächlich verwendete Subnetz mit
meinen Adressbereichen ohnehin nicht, also behelfe ich mir (in der
Road-Warrior Konfiguration) mit ein paar manuell eingetragenen Routen,
die "meine" Adressen durch den Tunnel schicken.
Schöne Grüße,
Hans.
0 new messages