Hallo zusammen,

ich möchte zwei Netzwerke via OpenVPN verbinden so das alle Clients alle Rechner im eigenen LAN sowie im entfernten LAN unter ihrem Rechnername ansprechen können. OpenVPN ist soweit kein Problem, das bekomme ich hin. Hier wird aber kein Bridging sondern Routing verwendet.
Das zweite Netz wird erst noch eingerichtet und hier stellt sich für mich die Frage wie ich die interne Domain bzw. die Netzwerkadresse am sinnvolsten wähle. Bei der Domain denke ich wird es am sinnvollsten sein den gleichen Namen zu verwenden, oder? Wie sieht es bei der Netzwerkadresse aus. Im ersten Netz habe ich 192.168.0.0/24 Nehme ich im zweiten Netz nun die gleiche oder besser eine andere Klasse-C ? Was ist am Ende einfacher zu handeln?

Viele Grüße
pixel

Gleiches Netz geht nicht, sonst haut das mit dem Routing nicht mehr. Zudem brauchst du ein Transitnetz zwischen den Standorten, also min. zwei IPs für die TUN/TAP Adapter von OpenVPN auf beiden Seiten.

Weiterhin, wenn alle Rechner über ihren Namen ansprechbar sein sollen, dann müssten alle einen DNS-Server verwenden. Die DHCP-Server in den jeweiligen Netzen müsste die jeweiligen Namen dann bei dem einen DNS-Server anmelden.

Oder die Einträge müssen im DNS gepflegt sein, Zonentransfer zwischen den DNS Servern des jeweiligen Standortes wäre auch eine Möglichkeit.

Gleiches Netz geht nicht, sonst haut das mit dem Routing nicht mehr.

Da zwischen den LAN's ein tunnel mit abweichendem Adressbereich liegt wäre es trotzdem noch Routing.


Zudem brauchst du ein Transitnetz zwischen den Standorten, also min. zwei IPs für die TUN/TAP Adapter von OpenVPN auf beiden Seiten.
Ja, das ergibt sich jedoch autom. wenn man OpenVPN im Routing-Modus betreibt

Also wie gesagt auf der einen Seite ist bereits alles fertig:

LAN = 192.168.0.0/24
Tunnel: 10.1.0.0/24
Domain: dreampixel

Dann konfiguriere ich das zweite Netz so:

LAN = 192.168.1.0/24
Tunnel: 10.1.0.0/24
Domain: dreampixel

Weiterhin, wenn alle Rechner über ihren Namen ansprechbar sein sollen, dann müssten alle einen DNS-Server verwenden. Die DHCP-Server in den jeweiligen Netzen müsste die jeweiligen Namen dann bei dem einen DNS-Server anmelden.
Ja, das habe ich bereits. DHCP-Server vergibt IP's und trägt sie in den DNS ein. Das mache ich auf beiden Seiten.

Außerdem sollte ich den DNS-Server als sekundären Server für das jeweilig "entfernte" LAN als einrichten, oder? Damit wird der Traffik gesenkt.

Naja, ich sehe halt zwei Möglichkeiten (vielleicht gibt es auch mehr).

Mein Idee:

Netz A:
- DNS A
- DHCP A

Netz B:
- DHCP B

DHCP A trägt die angemeldeten Clients bei DNS A ein.
DHCP B trägt die angemeldeten Clients bei DNS A ein.
Vorteil: ein DNS-Server (Wartung)
Nachteil: ein DNS-Server (Ausfall)
Nachteil: alle Clients in B fragen immer "ihren" DNS in A ab

Oder die Idee von Bla!zilla:

Netz A:
- DNS A
- DHCP A

Netz B:
- DNS B
- DHCP B

DHCP A trägt alle angemeldeten Clients bei DNS A ein.
DHCP B trägt alle angemeldeten Clients bei DNS B ein.
DNS A und DNS B gleichen sich über die Zone-Files ab

Vorteil: Redundanz, insbesondere wenn die Clients den DNS-Server aus dem jeweils anderen Netz als 2. DNS-Server eingetragen haben.

Nachteil: weiß nicht *g*

EDIT: Theoretisch wäre es wohl auch möglich die beiden Netze über OpenVPN über das TAP-Interface zu verbinden. Dann wäre es ein "echte" Ethernet-Bridge und alles wäre ein Netz, also ein DHCP, ein DNS und ein Netzwerk-Bereich. Theoretisch deswegen, weil ich nicht weiß wie es geht und daher dazu nichts näheres sagen kann.

Da zwischen den LAN's ein tunnel mit abweichendem Adressbereich liegt wäre es trotzdem noch Routing.

Falsch. Wie willst du routen? Willst du ihm sagen "Du erreichst das Netz 192.168.20.0/24 über 10.0.0.1", wenn er selber im Netz 192.168.20.0 liegt? Nein. Netze können exakt einmal vorkommen. Jedes angebundene Netz muss ein anderes Subnetz sein.

Bez. DNS - einfach per DHCP zwei DNS-Server übergeben, den von Standort A und den von Standort B :)

Warum Routing und nicht Bridging?


Ansonsten - mal hier schauen:

http://vpnforum.de/
http://www.openvpn-wiki.de/

mfg
cane

Ich habe mir nochmal Gedanken über die Konfiguration gemacht. In beiden LAN's lokal den gleichen Domainnamen zu benutzen ist wohl eher ungeschickt. Ich denke so funktioniert es:


Standort1
----------------------------------
Netzwerk: 192.168.0.0/24
Domain: standort1

1.DNS-Zone: standort1 (Master)
2.DNS-Zone: standort2 (Slave)



Standort2
----------------------------------
Netzwerk: 192.168.100.0/24
Domain: standort2

1.DNS-Zone: standort2 (Master)
2.DNS-Zone: standort1 (Slave)

Somit verhindere ich auch das die Clients den entfernten DNS zu oft befragen was ja unnötig traffic bedeuten würde.




Warum Routing und nicht Bridging?
Weil das einfacher mit Firewall-Regeln zu handhaben ist und man keine "WINS-Stürme" bekämpfen muß.

Was meint ihr, ist das eine sinvolle Konfiguration?


Viele Grüße
pixel

Warum Routing und nicht Bridging?

Um die Netze als separate Broadcastdomains zu betrachten. Bridging wäre nur eine Variante, wenn vor dem WAN Router mit VLANs und Routing gearbeitet werden würde, das gebridgte WAN Netz also in einem eigenen VLAN wäre. Es macht keinen Sinn, eine Broadcastdomain über mehr als einen Standort zu ziehen.