Hallo Liste. Ich möchte gerne einem Server eine statische Route mitteilen, aber ich weiß nicht genau, was ich einstellen muß, und wäre für Hilfe dankbar. Das Netz sieht so aus: / --Client2 / Netz 2: 192.168.1.0/24 --- Client1 | \ | \ --Zielserver 192.168.1.1/24 | Default gw: 192.168.1.200 | Gateway 192.168.1.200 | | (((VPN))) | | Gateway 192.168.0.200 | Netz 1: 192.168.0.0/24 / | \ / | \ Client3 Client4 OpenVPN-Server 192.168.0.199/24 10.8.0.0/24 | | Road Warrior 10.8.0.6 Ich möchte nun, daß der Road Warrior auf den Zielserver zugreifen kann. Ich glaube auch, daß der Hinweg der Pakete problemlos funktioniert, da der OpenVPN-Server den Zielserver pingen kann und umgekehrt. Der Road Warrior kann auch Client3 und Client4 pingen, und von ihnen gepingt werden. Es kann aber der Zielserver nicht den Roadwarrior pingen. Das ist klar, weil der nicht weiß, wohin mit Paketen an 10.8.0.6. Also gibt er die aufs Gateway, und das weiß auch nicht, wohin damit, und schickt sie zum ISP, wo sie dann versacken. Also möchte ich dem Zielserver eine Route angeben. Dafür dachte ich mir: route add -net 10.8.0.0 netmask 255.255.255.0 gw 192.168.0.199 Die Antwort ist: SIOCADDRT: Network is unreachable. Warum? Welches Netzwerk ist denn unreachable? Wo liegt der Denkfehler? 192.168.0.199 ist doch pingbar und damit erreichbar. Um Erhellung bittend - -- Andre Tann
Am Dienstag, 7. November 2006 12:44 schrieb Andre Tann:
route add -net 10.8.0.0 netmask 255.255.255.0 gw 192.168.0.199
Die Antwort ist: SIOCADDRT: Network is unreachable. Warum? Welches Netzwerk ist denn unreachable? Wo liegt der Denkfehler? 192.168.0.199 ist doch pingbar und damit erreichbar.
Das Problem wird sein das 192.168.0.199 nicht im selben Netz liegt. Das heißt das Paket muß erst mal an 192.168.1.200 gesendet werden. So wie ich das sehe mußt du die Routen auf den Gateways einrichten. also auf 192.168.1.200: route add -net 10.8.0.0 netmask 255.255.255.0 gw 192.168.0.200 und auf 192.168.0.200: route add -net 10.8.0.0 netmask 255.255.255.0 gw 192.168.0.199 Nicht der Client muß den weg kennen sondern die Router. Der Client braucht nur seinen Router kennen. MfG Conny Marco Menebröcker
Hallo Conny, Danke fürs Durchlesen meiner Beschreibung. Conny Marco Menebröcker, Dienstag, 7. November 2006 13:20:
Das Problem wird sein das 192.168.0.199 nicht im selben Netz liegt. Das heißt das Paket muß erst mal an 192.168.1.200 gesendet werden.
Das hatte ich bereits vermutet.
So wie ich das sehe mußt du die Routen auf den Gateways einrichten.
also auf 192.168.1.200: route add -net 10.8.0.0 netmask 255.255.255.0 gw 192.168.0.200
und auf 192.168.0.200: route add -net 10.8.0.0 netmask 255.255.255.0 gw 192.168.0.199
Nicht der Client muß den weg kennen sondern die Router. Der Client braucht nur seinen Router kennen.
Genau so wollte ich es zuerst auch machen, wobei auf der .0.200 die Route schon wie von Dir beschrieben gesetzt ist. Denn sonst könnten Client 3 und 4 den Road Warrior nicht pingen. Leider funktioniert es aber nicht, wenn ich auf der .1.200 die von Dir oben beschriebene Route setze. Der Grund dafür dürfte vermutlich sein, daß dazwischen ein von den beiden Gateways aufgebauter VPN-Tunnel liegt, und die Gateways daher das Routing "in den Tunneln hinein" nicht hinkriegen. Darin besteht nämlich auch der Unterschied zu der Route, die auf der .0.200 gesetzt ist: die zeigt auf einen Host im selben LAN (also .0.199), und nicht ins VPN hinein. Die Gateways sind auch keine normalen Linux-Rechner, sondern jeweils eine SonicWall mit eingebautem Mini-Linux, sodaß meine Möglichkeiten da beschränkt sind. So kam ich auf die Idee, ich könnte es ja gleich dem Zielserver sagen, wohin er mit den Paketen soll. -- Andre Tann
Hallo Andre,
Leider funktioniert es aber nicht, wenn ich auf der .1.200 die von Dir oben beschriebene Route setze. Der Grund dafür dürfte vermutlich sein, daß dazwischen ein von den beiden Gateways aufgebauter VPN-Tunnel liegt, und die Gateways daher das Routing "in den Tunneln hinein" nicht hinkriegen. Darin besteht nämlich auch der Unterschied zu der Route, die auf der .0.200 gesetzt ist: die zeigt auf einen Host im selben LAN (also .0.199), und nicht ins VPN hinein.
Das Routen in den Tunnel muß eigentlich funktionieren. Für das Netz 192.168.0.0 geht es ja auch. Hat das Gateway evtl. ein Paketfilter? MfG Conny Marco Menebröcker
Andre Tann wrote:
Hallo Liste.
Ich möchte gerne einem Server eine statische Route mitteilen, aber ich weiß nicht genau, was ich einstellen muß, und wäre für Hilfe dankbar.
Das Netz sieht so aus:
/ --Client2 / Netz 2: 192.168.1.0/24 --- Client1 | \ | \ --Zielserver 192.168.1.1/24 | Default gw: 192.168.1.200 | Gateway 192.168.1.200 | | (((VPN))) | | Gateway 192.168.0.200 | Netz 1: 192.168.0.0/24 / | \ / | \ Client3 Client4 OpenVPN-Server 192.168.0.199/24 10.8.0.0/24 | | Road Warrior 10.8.0.6
Ich möchte nun, daß der Road Warrior auf den Zielserver zugreifen kann. Ich glaube auch, daß der Hinweg der Pakete problemlos funktioniert, da der OpenVPN-Server den Zielserver pingen kann und umgekehrt. Der Road Warrior kann auch Client3 und Client4 pingen, und von ihnen gepingt werden.
Es kann aber der Zielserver nicht den Roadwarrior pingen. Das ist klar, weil der nicht weiß, wohin mit Paketen an 10.8.0.6. Also gibt er die aufs Gateway, und das weiß auch nicht, wohin damit, und schickt sie zum ISP, wo sie dann versacken.
Wenn die Pakete bis zum Gateway 192.168.1.200 wandern, ist der erste Schritt schon geschafft. Das ist in Ordnung. Du musst am Zielserver nichts mehr machen. Das falsche Routing findet auf dem Gateway 192.168.1.200 statt. Hier muss die Route auf das Gateway 192.168.0.200 gesetzt werden, und auch dieses muss wissen, wohin das Netz 10.8.0.0/24 geroutet werden muss, nämlich zum OpenVPN-Server.
Also möchte ich dem Zielserver eine Route angeben. Dafür dachte ich mir:
route add -net 10.8.0.0 netmask 255.255.255.0 gw 192.168.0.199
Die Antwort ist: SIOCADDRT: Network is unreachable. Warum? Welches Netzwerk ist denn unreachable? Wo liegt der Denkfehler? 192.168.0.199 ist doch pingbar und damit erreichbar.
Du kannst immer nur den Nexthop angeben, und der Server 192.168.0.199 ist nicht erreichbar. Wie gesagt, auf dem Zielserver ist nichts mehr zu machen, die Route muss auf den Gateways richtig gesetzt werden. Sandy -- Antworten bitte nur in die Mailingliste! PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com
Hallo Sandy, Sandy Drobic, Dienstag, 7. November 2006 14:03:
Wenn die Pakete bis zum Gateway 192.168.1.200 wandern, ist der erste Schritt schon geschafft. Das ist in Ordnung. Du musst am Zielserver nichts mehr machen.
OK.
Das falsche Routing findet auf dem Gateway 192.168.1.200 statt. Hier muss die Route auf das Gateway 192.168.0.200 gesetzt werden,
Das kann ich zwar setzen, aber es funktioniert nicht, möglicherweise deswegen, weil zwischen den beiden Gateways ein VPN liegt.
und auch dieses muss wissen, wohin das Netz 10.8.0.0/24 geroutet werden muss, nämlich zum OpenVPN-Server.
Das ist dem .0.200 bekannt, denn sonst wäre der Roadwarrior aus dem Netz 1 nicht pingbar.
Die Antwort ist: SIOCADDRT: Network is unreachable. Warum? Welches Netzwerk ist denn unreachable? Wo liegt der Denkfehler? 192.168.0.199 ist doch pingbar und damit erreichbar.
Du kannst immer nur den Nexthop angeben, und der Server 192.168.0.199 ist nicht erreichbar. Wie gesagt, auf dem Zielserver ist nichts mehr zu machen, die Route muss auf den Gateways richtig gesetzt werden.
Danke für die Erklärung, das macht es für mich schon klarer, auch wenn ich mir das so ähnlich schon gedacht habe. Mir war nicht klar (genug), daß man immer nur den Nexthop angeben kann. Da dieser stimmt, kann ich wohl in der Tat nur noch an den Gateways ansetzen. Dort allerdings kann ich nicht ansetzen, weil es sich wie im Nachbarposting schon geschrieben um ein proprietäres Stück Hardware handelt mit einem Mini-Linux darin, wo ich nix dran rumschrauben kann. Ist es ein prinzipielles Problem, ein solches Routing durch ein VPN hindurch zu erstellen? Ich meine, wären die Gateways normale Linux-Kisten, wäre es dann problematisch, die Routen so zu setzen, daß sie in den Tunnel hinein zeigen? -- Andre Tann
participants (3)
-
Andre Tann
-
Conny Marco Menebröcker
-
Sandy Drobic