per OpenVPN statische IP / SUbnet ins Netz routen

[ChaosEmpire]

Hallo,

beim Thema Routing habe ich leider immer geschlafen, bzw habe 2 linke Hände

Ich habe aktuell meine DS 1813+ mit einem Netzwerkkabel im LAN hängen 172.24.x.x

Über einen IPv4 Provider bekomme ich bei Einwahl per OpenVPN eine feste IP zugewiesen per DHCP und ein 29er Subnet zusätzlich
Testweise habe ich unter Windows einen PC mal mit OpenVPN Client einwählen lassen, der bekommt die externe IP und ich kann die 6 nutzbaren zusätzlichen IPs aus einem anderen Netz als zusätzliche IPs dem Adapter zuweisen (wie ich von da diese IPs im Netz verteilt bekomme, ist mir bereits ein Rätsel, aber auch nicht das Ziel)

Ich würde gerne die DS1813+ sich per OpenVPN beim Provider einwählen lassen, die einzelne IP soll dann für die Serverdienste genutzt werden, statt bisher dyndns
ABER, der wichtige weitere Teil ist...die zusätzlichen 6 festen IPs möchte ich einem PC und den darauf laufenden VMwares zuweisen

Und genau da hab ich keine AHnung wie das gehen soll

Dazu stellt sich natürlich die Frage der Firewall, nicht das mein NAS komplett offen im ipv4 provider netz steht...

Hoffentlich war das nun nicht zu kompliziert erklärt

 

[jahlives]

hm also erstmal glaub ich bei einem /29 hast du nur 5 nutzbare IP Adressen. Denn die erste IP ist das Netz und die letzte der Broadcast des Netzes. Dann musst du imho noch eine abziehen für den Default GW des Netzes. Die DS müsste in dem Fall eine der IPs für sich als default GW nehmen, sonst haben deine Kisten dahinter (im /29) keinen default GW aus ihrem Subnetz.
Bei deinem Vorhaben müsstest du wohl auf der DS den dhcp Server aufsetzen und als Range die 5 verbleibenden IPs des Subnetzes nehmen. Dann sollten deine VMs sich bei der DS eine IP aus deinem 29-er Netz holen können. Die Firewall würde dann die DS machen für dein Netz dahinter

 

[laserdesign]

mit einer /29 rechnest du 2hoch3minus2 = 6 Hostanteil
minus 2 für NetID und Broadcast, wie du ja richtig geschrieben hast.

PS: ahja, der liebe GW, dann bleiben noch 5 IP's für die Hosts, sorry hatte nicht weit genug gelesen.

 

[ChaosEmpire]

sagen wir mal so, am windows pc kann ich auf alle 6 des subnet pingen
ich brauch auch kein gateway eingeben um die zu benutzen, das kann aber alles ein resultat sein, das ich diese zusätzlich zu der per dhcp zugewiesenen externen ip eingetragen habe
man sagte mir, das ich unter linux sogar alle 8 nutzen könnte...nicht das ich das verstehen würde
reichen tun mir effektiv 4-5

nur, was...muss ich wie eintragen in der 1813+

 

[jahlives]

also alle 8 finde ich sehr verdächtig. Ich glaub da hat man dich ver***** ;-)
Ein Host muss einen Gateway aus demselben Subnetz haben, sonst kommt der nicht in ein nicht direkt anliegendes Netz. Ergo minus 1 IP.
Eine IP ist wie gesagt fix weg für das Netz selber. Man kann theoretisch die Broadcastadresse eines Netzes auch an einen Client geben, aber ob das sinnvoll ist ist eine andere Frage. Weil dann funzen alle auf Broadcasts aufsetzenden Protokolle ziemlich sicher nicht mehr (sauber).
Ob du einen DHCP brauchst oder nicht hängt von dir ab. Du kannst die Adressen auch manuell den VMs zuweisen

 

[ChaosEmpire]

Im Endeffekt ist das alles Wurst

die Frage ist

Was muss ich wie einrichten..da hakt es...
ob ich dann 4 oder 6 oder 8 nutzen kann..darum geht es nicht

Ein LAN Anschluss wird internes Netz bleiben müssen
Einen weiteren werd ich vermutlich benötigen für die OpenVPN Verbindung, ggfs kann das aber alles über einen gehen...unbekannt
einen weiteren brauch ich aber jedenfalls um auf den PC mit den VMs zu routen..und das wird mein grösstes Problem, am allerliebsten wären es nur die VMs mit öffentlichen IPs, und der Host PC gar im normalen LAN, aber von dem Gedanen hab ich mich sicherheitshalber bereits verabschiedet

 

[jahlives]

wie soll man wissen was du wo eintragen musst wenn man 1. deine Topologie nicht kennt und man zweitens nicht weiss wieviele LAN Ports du brauchst? Du brauchst nicht unbedingt mehrere Ports im LAN. Du könntest z.B. unterschiedliche Netze am selben Interface via VLAN sauber trennen.
Dann das hier

am allerliebsten wären es nur die VMs mit öffentlichen IPs, und der Host PC gar im normalen LAN, aber von dem Gedanen hab ich mich sicherheitshalber bereits verabschiedet

Aus Sicht der Sicherheit wäre es gerade umgekehrt sicherer: der Host sollte NICHT im selben Netz sein wie die VMs
Richte erstmal den OVPN auf der DS ein. Da wird die DS ein WAN Interface brauchen. Dann musst du dich entscheiden: machst du die LAN Seite mit VLAN, dann kannst du alles über einen Port machen. Machst du es ohne VLAN, dann brauchst du wohl fürs interne LAN und für das /29 Subnetz jeweils einen eigenen Port. Dann konfigurierst du den Port der DS ,welche im /29 hängen wird, mit der ersten verfügbaren IP deines Subs. So wird er zum default GW dieses Netzes. Dann hängst du deinen Host-PC an diesen Port und konfigurierst die Netzwerkkonfig der VMs entsprechend. Oder du richtest auf dem /29 Port der DS einen DHCP Server ein, der die IP Vergabe macht.

 

[ChaosEmpire]

Lach ok
Das Wort sicherheitshalber, war in Bezug auf...das wird dann eh so komplex, das ich es besser direkt vergesse

Und zum Rest müsste eigentlich genug da stehen

LAN1 172.24.x.x Netz

Dazu kommt eine Einwahl per OpenVPN die per DHCP eine feste IP bekommt, parallel lassen sich die IPs eines anderen 29er SUbnet nutzen, diese müssen manuell eingetragen werden und über den OpenVPN Tunnel in sagen wir 4 PCs geroutet werden, diese stehen in Form eines Host PC und 3-x VMs zur verfügung, bevorzugt hat der PC keine öffentliche IP, aber ich kann dmait Leben, wenn doch, weil ich denke es ist einfacher
Genauso gehe ich davon aus, das ich dafür zumidnest das LAN2 benötige, um nciht auch noch mit VLan anfangen zu müssen
Keep it simple...