openvpn site to site / routing problem auf einer seite

**TommyH99** · 23.06.15, 16:22

Hallo Linux Gemeinde

Ich habe 2 Standorte, die ich mit einander verbinden möchte bzw verbunden sind.

OPENVPN Server im Standort1:

LAN: 192.168.35.0/24
VPN GW: 192.168.35.202
VPNServer : 192.168.88.1

OPENVPN Client im Standort2:

LAN: 192.168.0.0/24
VPN GW: 192.168.0.150
VPN Client: 192.168.88.11

! VPN Tunnel steht zwischen beiden Standorten !

Standort1:
Clients können die Clients am Standort2 erreichen (LAN to LAN) # wie gewünscht

LAN Client Standort1:

Code:

Ethernet-Adapter intern:
   IPv4-Adresse  . . . . . . . . . . : 192.168.35.200
   Subnetzmaske  . . . . . . . . . . : 255.255.255.0
   Standardgateway . . . . . . . . . : 192.168.35.1

Routing Client Standort1:

Code:

Ständige Routen:
  Netzwerkadresse          Netzmaske  Gatewayadresse  Metrik
          0.0.0.0          0.0.0.0     192.168.35.1  Standard
     192.168.88.0    255.255.255.0   192.168.35.202       1
      192.168.0.0    255.255.255.0   192.168.35.202       1

Ping vom Standort1 Client to Client Standort 2

Antwort von 192.168.0.150: Bytes=32 Zeit=37ms TTL=63

Schaut ja alles gut aus

Standort2:
Clients können die Clients am Standort1 nicht erreichen (LAN to LAN)

LAN Client Standort2:

Code:

 IPv4-Adresse  . . . . . . . . . . : 192.168.0.149
 Subnetzmaske  . . . . . . . . . . : 255.255.255.0
 Standardgateway . . . . . . . . . : 192.168.0.254

Routing am Client

Code:

Ständige Routen:
  Netzwerkadresse          Netzmaske  Gatewayadresse  Metrik
     192.168.35.0    255.255.255.0    192.168.0.150       1
     192.168.88.0    255.255.255.0    192.168.0.150       1

OPENVPN Client Standort2:
erreicht alle Clients am Standort1

Routing am vpn Client

Code:

 route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         192.168.0.254   0.0.0.0         UG    202    0        0 eth0
169.254.0.0     0.0.0.0         255.255.0.0     U     204    0        0 tap0
192.168.0.0     0.0.0.0         255.255.255.0   U     202    0        0 eth0
192.168.35.0    192.168.88.1    255.255.255.0   UG    1      0        0 tap0
192.168.88.0    0.0.0.0         255.255.255.0   U     0      0        0 tap0

TCDUMP:

Code:

tcpdump -nni tap0 icmp
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on tap0, link-type EN10MB (Ethernet), capture size 65535 bytes
15:17:03.750244 IP 192.168.0.149 > 192.168.35.200: ICMP echo request, id 1, seq 63879, length 40
15:17:08.388410 IP 192.168.0.149 > 192.168.35.200: ICMP echo request, id 1, seq 63880, length 40
15:17:13.387572 IP 192.168.0.149 > 192.168.35.200: ICMP echo request, id 1, seq 63881, length 40
15:17:18.386828 IP 192.168.0.149 > 192.168.35.200: ICMP echo request, id 1, seq 63882, length 40

Ich bin blind oder stupide ... aber wieso kann der oder die Clients am Standort2 nicht die Clients erreichen ... das Routing sollte passen ... irgendwie stehe ich an.

Vielleicht kann jemand!
Sollten Infos fehlen, bitte um Info

Danke und LG Tommy

**fork** · 25.06.15, 18:52

Routing scheint ok.

Was mir auffällt ist das an Standort1 am Client ein DefaultGW gesetzt ist und am Standort2 nicht.

Fragen

Der tcpdump ist vom VPN-GW am Standort2 ?
Siehst Du den ping(die ICMP-Pakete) auch via tcpdump auf dem VPN-GW am Standort1 ?
Du verwendest TAP(Bridged-VPN). Hast Du konkreten Bedarf danach, oder würde nicht auch TUN(Routed-VPN) reichen? (Routed-VPN würde ich spontan nehmen, weil es in meiner Vorstellung einfacher zu handeln ist. Kann das jetzt aber direkt auch nicht sachlich begründen.)