Zwei Subnetze über IP-IP Tunnel verbinden
![](https://seccdn.libravatar.org/avatar/87fa8489b108c22d2c6f165cf1faf364.jpg?s=120&d=mm&r=g)
Hallo, ich habe folgendes Problem beim verbinden zweier Subnetze über das Internet: Rechner die sich im Netz A befinden, lassen sich nicht über Netz B erreichen und umgekehrt. Die Router aber können sich gegenseitig erreichen (über alle Interfaces!). Ich habe folgende Konfiguration: Rechner YAVA / Netz A: eth0: 193.xxx.xx3.227 / 255.255.255.0 eth1: 192.168.31.1 / 255.255.255.0 Rechner VERA / Netz B: eth0: 193.xxx.xx2.56 / 255.255.255.0 eth1: 192.168.32.1 / 255.255.255.0 Beide Rechner besitzen eine feste öffentliche IP-Adresse und sind über einen Router mit dem Internet verbunden. An eth1 hängt jeweils ein Switch. Rechner A1 (über Switch an YAVA angeschlossen): 192.168.31.11 / 255.255.255.0 Rechner B1 (über Switch an VERA angeschlossen): 192.168.32.12 / 255.255.255.0 Ich habe jetzt folgende Tunnel aufgebaut: YAVA: modprobe ipip iptunnel add tun0 mode ipip remote 193.xxx.xx2.56 ifconfig tun0 192.168.31.2 pointopoint 192.168.32.2 route add -net 192.168.32.0/24 gw 192.168.32.2 # route -n Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 192.168.32.2 0.0.0.0 255.255.255.255 UH 0 0 0 tun0 192.168.32.0 192.168.32.2 255.255.255.0 UG 0 0 0 tun0 192.168.31.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1 193.xxx.xx3.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0 0.0.0.0 193.xxx.xx3.1 0.0.0.0 UG 0 0 0 eth0 VERA: modprobe ipip iptunnel add tun0 mode ipip remote 193.xxx.xx3.227 ifconfig tun0 192.168.32.2 pointopoint 192.168.31.2 route add -net 192.168.31.0/24 gw 192.168.31.2 # route -n Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 192.168.31.2 0.0.0.0 255.255.255.255 UH 0 0 0 tun0 192.168.32.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1 192.168.31.0 192.168.31.2 255.255.255.0 UG 0 0 0 tun0 193.xxx.xx2.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0 0.0.0.0 193.xxx.xx2.1 0.0.0.0 UG 0 0 0 eth0 Ein ping von YAVA an VERA-eth1 (192.168.32.1) klappt und ein ping von VERA an YAVA-eth1 (192.168.31.1) klappt auch. Es gelingt aber nicht von Rechner A1 ein ping an VERA-eth1 (192.168.31.1) abzusetzen und an B1 natürlich auch nicht. Was läuft da schief? Viele Grüße Bastian
![](https://seccdn.libravatar.org/avatar/e9b6001a83c3925d67b226b0346b73be.jpg?s=120&d=mm&r=g)
Auch Hallo, bin ja kein Routing-Profi aber mir sind zwei Punkte aufgefallen. Bastian Schern wrote:
Hallo,
[...]
Ich habe folgende Konfiguration:
Rechner YAVA / Netz A: eth0: 193.xxx.xx3.227 / 255.255.255.0 eth1: 192.168.31.1 / 255.255.255.0
Rechner VERA / Netz B: eth0: 193.xxx.xx2.56 / 255.255.255.0 eth1: 192.168.32.1 / 255.255.255.0
Die zwei eth0 sind nicht im gleichen Subnetz, da sich die IP-Adressen nicht nur in den letzten 8-bit unterscheiden. Bei der Konfiguration muß IMHO die Subnetz-Maske entsprechend angepasst werden. Und die zwei Maschinen finden sich ? würde mich interessieren warum. [...]
Ein ping von YAVA an VERA-eth1 (192.168.32.1) klappt und ein ping von VERA an YAVA-eth1 (192.168.31.1) klappt auch. Es gelingt aber nicht von Rechner A1 ein ping an VERA-eth1 (192.168.31.1) abzusetzen und an B1 natürlich auch nicht.
Ist IP-Forwarding eingeschaltet ? oder ein Paketfilter eingeschaltet der das Routing unterbindet ? Gruß Eric
![](https://seccdn.libravatar.org/avatar/87fa8489b108c22d2c6f165cf1faf364.jpg?s=120&d=mm&r=g)
Eric Scheen schrieb:
Auch Hallo,
bin ja kein Routing-Profi aber mir sind zwei Punkte aufgefallen.
[...]
Die zwei eth0 sind nicht im gleichen Subnetz, da sich die IP-Adressen nicht nur in den letzten 8-bit unterscheiden. Bei der Konfiguration muß IMHO die Subnetz-Maske entsprechend angepasst werden. Und die zwei Maschinen finden sich ? würde mich interessieren warum.
[...]
Du hast recht, die beiden Maschinen befinden sich nicht im gleichen Subnetz. Sie finden sich aber, da der Router an den sie angeschlossen sind beide Netze kennt (www.suse.de ist ja auch nicht im gleichen Subnetz wie Dein Internetrechner und trotzdem wird er gefunden ;-) ).
Ein ping von YAVA an VERA-eth1 (192.168.32.1) klappt und ein ping von VERA an YAVA-eth1 (192.168.31.1) klappt auch. Es gelingt aber nicht von Rechner A1 ein ping an VERA-eth1 (192.168.31.1) abzusetzen und an B1 natürlich auch nicht.
Ist IP-Forwarding eingeschaltet ? oder ein Paketfilter eingeschaltet der das Routing unterbindet ?
Wie kann ich das kontrollieren? Gruss Bastian
![](https://seccdn.libravatar.org/avatar/e9b6001a83c3925d67b226b0346b73be.jpg?s=120&d=mm&r=g)
Moin Moin, Bastian Schern wrote:
Eric Scheen schrieb:
Auch Hallo,
bin ja kein Routing-Profi aber mir sind zwei Punkte aufgefallen.
[...]
Die zwei eth0 sind nicht im gleichen Subnetz, da sich die IP-Adressen nicht nur in den letzten 8-bit unterscheiden. Bei der Konfiguration muß IMHO die Subnetz-Maske entsprechend angepasst werden. Und die zwei Maschinen finden sich ? würde mich interessieren warum.
[...]
Du hast recht, die beiden Maschinen befinden sich nicht im gleichen Subnetz. Sie finden sich aber, da der Router an den sie angeschlossen sind beide Netze kennt (www.suse.de ist ja auch nicht im gleichen Subnetz wie Dein Internetrechner und trotzdem wird er gefunden ;-) ).
ja,ja - wie immer im Leben, wer lesen kann ist klar im Vorteil - da steht doch tatsächlich was von Router ...
Ein ping von YAVA an VERA-eth1 (192.168.32.1) klappt und ein ping von VERA an YAVA-eth1 (192.168.31.1) klappt auch. Es gelingt aber nicht von Rechner A1 ein ping an VERA-eth1 (192.168.31.1) abzusetzen und an B1 natürlich auch nicht.
Ist IP-Forwarding eingeschaltet ? oder ein Paketfilter eingeschaltet der das Routing unterbindet ?
Wie kann ich das kontrollieren?
Gruß Eric
![](https://seccdn.libravatar.org/avatar/edc0122553a27c096f61eb17106711c7.jpg?s=120&d=mm&r=g)
[Eric Scheen]:
Auch Hallo,
bin ja kein Routing-Profi aber mir sind zwei Punkte aufgefallen.
Bastian Schern wrote:
Hallo,
[...]
Ich habe folgende Konfiguration:
Rechner YAVA / Netz A: eth0: 193.xxx.xx3.227 / 255.255.255.0 eth1: 192.168.31.1 / 255.255.255.0
Rechner VERA / Netz B: eth0: 193.xxx.xx2.56 / 255.255.255.0 eth1: 192.168.32.1 / 255.255.255.0
Die zwei eth0 sind nicht im gleichen Subnetz, da sich die IP-Adressen nicht nur in den letzten 8-bit unterscheiden. Bei der Konfiguration muß IMHO die Subnetz-Maske entsprechend angepasst werden. Und die zwei Maschinen finden sich ? würde mich interessieren warum.
Weil dazwischen entsprechende Router liegen. Hauptsache, der nächste Router liegt im selben Segment, den Rest sollte der dann erledigen.
[...]
Ein ping von YAVA an VERA-eth1 (192.168.32.1) klappt und ein ping von VERA an YAVA-eth1 (192.168.31.1) klappt auch. Es gelingt aber nicht von Rechner A1 ein ping an VERA-eth1 (192.168.31.1) abzusetzen und an B1 natürlich auch nicht.
Ist IP-Forwarding eingeschaltet ? oder ein Paketfilter eingeschaltet der das Routing unterbindet ?
Das wäre eine Möglichkeit. Andere Frage: Ist denn auf A1 (bzw. B1) entsprechend das Gateway angegeben, damit A1 (bzw. B1) auch weiß, wohin er die Antwort zurückschicken muss? Was sagt denn route -n auf A1/B1? -- Gruß MaxX
![](https://seccdn.libravatar.org/avatar/87fa8489b108c22d2c6f165cf1faf364.jpg?s=120&d=mm&r=g)
Matthias Houdek schrieb: [...]
Ist IP-Forwarding eingeschaltet ? oder ein Paketfilter eingeschaltet der das Routing unterbindet ?
Das wäre eine Möglichkeit.
Wie kann ich das überprüfen?
Andere Frage: Ist denn auf A1 (bzw. B1) entsprechend das Gateway angegeben, damit A1 (bzw. B1) auch weiß, wohin er die Antwort zurückschicken muss? Was sagt denn route -n auf A1/B1?
Leider handelt es sich um WinDOSEN ;-) ...> ipconfig Windows-IP-Konfiguration Ethernetadapter LAN-Verbindung: Verbindungsspezifisches DNS-Suffix: IP-Adresse. . . . . . . . . . . . : 192.168.31.5 Subnetzmaske. . . . . . . . . . . : 255.255.255.0 Standardgateway . . . . . . . . . : 192.168.31.1 ...> route print =========================================================================== Schnittstellenliste 0x1 ........................... MS TCP Loopback interface 0x10003 ...00 00 e2 34 53 1c ...... Intel 8255x-basierter PCI-Ethernetadapter (10/100) =========================================================================== =========================================================================== Aktive Routen: Netzwerkziel Netzwerkmaske Gateway Schnittstelle Anzahl 0.0.0.0 0.0.0.0 192.168.31.1 192.168.31.5 20 127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1 192.168.31.0 255.255.255.0 192.168.31.5 192.168.31.5 20 192.168.31.5 255.255.255.255 127.0.0.1 127.0.0.1 20 192.168.31.255 255.255.255.255 192.168.31.5 192.168.31.5 20 224.0.0.0 240.0.0.0 192.168.31.5 192.168.31.5 20 255.255.255.255 255.255.255.255 192.168.31.5 192.168.31.5 1 Standardgateway: 192.168.31.1 =========================================================================== Ständige Routen: Keine Ich denke auf A1 und B1 isgt alles okay.
![](https://seccdn.libravatar.org/avatar/edc0122553a27c096f61eb17106711c7.jpg?s=120&d=mm&r=g)
[Bastian Schern]:
Matthias Houdek schrieb: [...]
Ist IP-Forwarding eingeschaltet ? oder ein Paketfilter eingeschaltet der das Routing unterbindet ?
Das wäre eine Möglichkeit.
Wie kann ich das überprüfen?
Indem du dir die Konfiguration deiner SuSE genauer anschaust. Leider hast du nicht geschrieben, was auf VERA und YAVA läuft (Welche Distri/Version, welcher Kernel). Bei einem 2.4er Kernel prüfst du die Paketfilter mit iptables -L. Wenn dann nur eine Fehlermeldung kommt, hast keinen Paketfilter installiert. Wenn für alle INPUT, OUTPUT und FORWARD ein ACCEPT angezeigt wird, ist alles erlaubt. IP-Forwarding ist ein Kernelparameter. Wenn in /proc/sys/net/ipv4/ip_forward eine 1 steht, ist alles O.K., ansonsten einfach (oder sicherheitshalber): echo "1" > /proc/sys/net/ipv4/ip_forward
Andere Frage: Ist denn auf A1 (bzw. B1) entsprechend das Gateway angegeben, damit A1 (bzw. B1) auch weiß, wohin er die Antwort zurückschicken muss? Was sagt denn route -n auf A1/B1?
Leider handelt es sich um WinDOSEN ;-) ...> ipconfig Windows-IP-Konfiguration
Ethernetadapter LAN-Verbindung:
Verbindungsspezifisches DNS-Suffix: IP-Adresse. . . . . . . . . . . . : 192.168.31.5 Subnetzmaske. . . . . . . . . . . : 255.255.255.0 Standardgateway . . . . . . . . . : 192.168.31.1
[...] Ich denke auf A1 und B1 isgt alles okay.
Jepp, das Standardgateway ist richtig so. -- Gruß MaxX
![](https://seccdn.libravatar.org/avatar/87fa8489b108c22d2c6f165cf1faf364.jpg?s=120&d=mm&r=g)
Matthias Houdek schrieb:
[Bastian Schern]:
Matthias Houdek schrieb: [...]
Ist IP-Forwarding eingeschaltet ? oder ein Paketfilter eingeschaltet der das Routing unterbindet ?
Das wäre eine Möglichkeit.
Wie kann ich das überprüfen?
Indem du dir die Konfiguration deiner SuSE genauer anschaust.
Leider hast du nicht geschrieben, was auf VERA und YAVA läuft (Welche Distri/Version, welcher Kernel).
SuSE 8.1, Kernel 2.4.19-4GB
Bei einem 2.4er Kernel prüfst du die Paketfilter mit iptables -L. Wenn dann nur eine Fehlermeldung kommt, hast keinen Paketfilter installiert. Wenn für alle INPUT, OUTPUT und FORWARD ein ACCEPT angezeigt wird, ist alles erlaubt.
~ # iptables -L Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (policy DROP) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination Für FORWARD wird DROP angezeigt. Habe hetzt einfach mal mit iptables -P FORWARD ACCEPT auf ACCEPT gesetzt und siehe da: Es geht!!! Vielen Dank Bastian
![](https://seccdn.libravatar.org/avatar/edc0122553a27c096f61eb17106711c7.jpg?s=120&d=mm&r=g)
[Bastian Schern]:
Matthias Houdek schrieb:
[Bastian Schern]:
Matthias Houdek schrieb: [...]
Ist IP-Forwarding eingeschaltet ? oder ein Paketfilter eingeschaltet der das Routing unterbindet ?
Das wäre eine Möglichkeit.
Wie kann ich das überprüfen?
Indem du dir die Konfiguration deiner SuSE genauer anschaust.
Leider hast du nicht geschrieben, was auf VERA und YAVA läuft (Welche Distri/Version, welcher Kernel).
SuSE 8.1, Kernel 2.4.19-4GB
Bei einem 2.4er Kernel prüfst du die Paketfilter mit iptables -L. Wenn dann nur eine Fehlermeldung kommt, hast keinen Paketfilter installiert. Wenn für alle INPUT, OUTPUT und FORWARD ein ACCEPT angezeigt wird, ist alles erlaubt.
~ # iptables -L Chain INPUT (policy ACCEPT) target prot opt source destination
Chain FORWARD (policy DROP) target prot opt source destination
Chain OUTPUT (policy ACCEPT) target prot opt source destination
Für FORWARD wird DROP angezeigt. Habe hetzt einfach mal mit
iptables -P FORWARD ACCEPT
auf ACCEPT gesetzt und siehe da: Es geht!!!
Was Wunder, die Weiterleitung (FORWARD) wurde ja vorher auch geDROPt ;-) Schön, dass es klappt. -- Gruß MaxX
participants (3)
-
Bastian Schern
-
Eric Scheen
-
Matthias Houdek