Den mit der Statischen Route habe ich schon lange gepostet
OK: hab ich überlesen
Routing für OpenVPN
- Ersteller jahlives
- Erstellt am
- Status
OK: hab ich überlesen
- Mitglied seit
- 19. Aug 2008
- Beiträge
- 18.275
- Punkte für Reaktionen
- 4
- Punkte
- 0
Einmal so wie auf deiner Seite beschrieben im Router und dann jeweils auf jedem remote System, das ich erreichen will. Ausser der VPN Server, der hat diese route natürlich bereits
Klingt für mich irgendwie noch logisch, damit die remote Systeme auch wissen, dass im Netzwerk plötzlich 254-er Adressen auch gültig sein sollen. Und v.a. wohin damit.
Drum habe ich den Titel des Threads beim erstellen ja auch für's Routing gemacht, weil ich irgendwie dachte, das muss fast damit zu tun haben
Wieso die Route plötzlich umgesetzt wird weiss ich echt ned. Wie gesagt die war zumindest im Webserver schon seit gestern drin und hat nie gefunzt
aber ist ja auch egal, es lüüft jet und so soll's sein. Ich habe jetzt OpenVPN und IPSec-VPN
Nochmals danke und cheers
tobi
- Mitglied seit
- 19. Aug 2008
- Beiträge
- 18.275
- Punkte für Reaktionen
- 4
- Punkte
- 0
Worauf willst du hinaus?Ein Router ist auch nur ein Mensch - UND lernt dazu
Es liegt bei mir wirklich an der Route auf dem entfernten Server. Sobald ich die drin habe klappt es und wenn ich sie rausnehme geht nichts mehr.
Ich dachte auch schon dran ob da eventuell der Router erst noch eine Route "lernen" müsste. Das scheint aber nicht der Fall zu sein.
ubuntulinux
Benutzer
- Mitglied seit
- 23. Jan 2010
- Beiträge
- 2.063
- Punkte für Reaktionen
- 0
- Punkte
- 82
Hehe.
Aber funktioniert jetzt alles in OpenVPN? Normalerweise legt nämlich der Client alle erforderlichen Routen an also etwa so:
Aber funktioniert jetzt alles in OpenVPN? Normalerweise legt nämlich der Client alle erforderlichen Routen an also etwa so:
Code:
C:\WINDOWS\system32\route.exe ADD VPN-GW MASK 255.255.255.255 192.168.5.1 (damit Die Verbindung zum VPN GW nicht über sich selber geroutet wird)
C:\WINDOWS\system32\route.exe DELETE 0.0.0.0 MASK 0.0.0.0 192.168.5.1
C:\WINDOWS\system32\route.exe ADD 0.0.0.0 MASK 0.0.0.0 10.8.0.1 (0.0.0.0 an VPN-GW)
C:\WINDOWS\system32\route.exe ADD 192.168.5.0 MASK 255.255.255.0 10.8.0.1 (Remote-Route auch ans VPN GW)Ich sag auch: Ein Rechner ist auch nur ein Mensch.
Soll soviel heißen wie das eigenwillige Verhalten diverser Patienten.
. . . warum macht der nicht, das sollte doch klappen . .
. . . Nix geändert: neuer TAG, neus Glück. UND: es klappt - keiner weis warum . .
so war es gemeint - und nicht anders!
Hinsichtlich der Route hab ich ja meine vage Vermutung kundgetan.
Ich glaub hinsichtlich Namensauflösung lernen die Router dazu.
Ein jungfräulicher Router benötigt oft etwas länger, was sich scheinbar nach einer gewissen Betriebsdauer gibt.
Gruß Tribun
ubuntulinux
Benutzer
- Mitglied seit
- 23. Jan 2010
- Beiträge
- 2.063
- Punkte für Reaktionen
- 0
- Punkte
- 82
@tribun kannst Dir ja mal eine offene Routerfirmware wie die von Siemens Gigaset SE505 oder DD-WRT/OpenWRT/Tomato anschauen.
- Mitglied seit
- 19. Aug 2008
- Beiträge
- 18.275
- Punkte für Reaktionen
- 4
- Punkte
- 0
@ubuntulinux
Jep es funzt jetzt alles
Allerdings ging es nicht um die Routen auf dem OpenVPN Client selber (bei mir Win XP), sondern um die Routen auf den entfernten Systemen. Diese melden sich ja nicht beim OpenVPN Server an und bekommen darum auch die Route nicht "gepushed".
Ich habe mir jetzt für die entfernten Server (Mail und Web) ein Startscript geschrieben, das die Route beim booten der Server einträgt.
Aber ganz ehrlich, im Vergleich zu IPSec ist es echt grottenlangsam Das kann ich dir jetzt aus dem direkten Vergleich heraus bestätigen
Gruss
tobi
Jep es funzt jetzt alles
Allerdings ging es nicht um die Routen auf dem OpenVPN Client selber (bei mir Win XP), sondern um die Routen auf den entfernten Systemen. Diese melden sich ja nicht beim OpenVPN Server an und bekommen darum auch die Route nicht "gepushed".
Ich habe mir jetzt für die entfernten Server (Mail und Web) ein Startscript geschrieben, das die Route beim booten der Server einträgt.
Aber ganz ehrlich, im Vergleich zu IPSec ist es echt grottenlangsam
Das kann ich dir jetzt aus dem direkten Vergleich heraus bestätigen Gruss
tobi
ubuntulinux
Benutzer
- Mitglied seit
- 23. Jan 2010
- Beiträge
- 2.063
- Punkte für Reaktionen
- 0
- Punkte
- 82
@ubuntulinux
Jep es funzt jetzt alles
Allerdings ging es nicht um die Routen auf dem OpenVPN Client selber (bei mir Win XP), sondern um die Routen auf den entfernten Systemen. Diese melden sich ja nicht beim OpenVPN Server an und bekommen darum auch die Route nicht "gepushed".
Ich habe mir jetzt für die entfernten Server (Mail und Web) ein Startscript geschrieben, das die Route beim booten der Server einträgt.
Aber ganz ehrlich, im Vergleich zu IPSec ist es echt grottenlangsam
Gruss
tobi
Aha Du willst also mit der einen DS ins andere Netzwerk? Oder auf den VPN Client im anderen Netzwerk? Für letzteres sollte eigendlich die Route im Router sorgen.
Bei meinen 20mbit/s würde das warscheinlich keinen grossen Unterschied machen
gruss patrick
Ich steh mit Siemens auf Kriegsfuß
Aber deinem Hinweis nach zu urteilen, hat eine Fangemeinde das Teil aufgebohrt, wozu ein überbordender Laden wie Siemens nicht in der Lage ist.
Tribun
ubuntulinux
Benutzer
- Mitglied seit
- 23. Jan 2010
- Beiträge
- 2.063
- Punkte für Reaktionen
- 0
- Punkte
- 82
Falsch, siemens musste die Firmware öffentlich machen weil irgend ein Linux-Teil verwendet wurde, welches GPL war. (So wie beim Linksys-Fall)
@ubuntulinux
Jep es funzt jetzt alles
Aber ganz ehrlich, im Vergleich zu IPSec ist es echt grottenlangsam
Gruss
tobi
Du bist von 100 MBit verwöhnt, aber im direkten Vergleich fällt sowas halt noch gravierender aus.
Tribun
ubuntulinux
Benutzer
- Mitglied seit
- 23. Jan 2010
- Beiträge
- 2.063
- Punkte für Reaktionen
- 0
- Punkte
- 82
Hier wär auch 100mbit/s verfügbar
500 Vor 3d hatte ich noch 400, da war mein rekordtag, 60 Beiträge
500
Vor 3d hatte ich noch 400, da war mein rekordtag, 60 Beiträge
- Mitglied seit
- 19. Aug 2008
- Beiträge
- 18.275
- Punkte für Reaktionen
- 4
- Punkte
- 0
Ich dachte auch das würde der entfernte Router erledigen. Aber nix da, ohne Routen auf den entfernten Systemen keine AntwortAha Du willst also mit der einen DS ins andere Netzwerk? Oder auf den VPN Client im anderen Netzwerk? Für letzteres sollte eigendlich die Route im Router sorgen.
Bei meinen 20mbit/s würde das warscheinlich keinen grossen Unterschied machen
gruss patrick
Und glaub mir der Unterschied ist gewaltig. Siehe meine Sig
Das ist wie Tag und Nacht. Nur schon bei einer ssh Verbindung kann ich auf der Shell nicht mehr flüssig schreiben. Es geht z.T. bis zu 2 Sekunden ehe man mit der Pfeiltaste durch die History der Kommandos von einem zum vorherigen kommt.
Ich merke es auch hier im Forum: Wenn ich via OpenVPN (also den Proxy im entfernten Netzwerk) eine Seite aufrufe, dann warte ich mal locker 2-3 Sekunden.
Bei einer IPSec Verbindung (ebenfall über den remote Proxy), macht es flutsch und die Seite ist geladen.
Ich könnte höchstens mal noch testen ob es einen grossen Unterschied machen würde, wenn ich den OpenVPN Server auf eine der beiden 109+ "zügle". Aber ehrlich gesagt wird da wohl nicht viel rauskommen. Denn via IPSec habe ich die Hardwareunterstützug der Router bei der Verschlüsselung. Beim OpenVPN muss das alles via Software erledigt werden.
Wie gesagt für den schnellen Daten Zugriff von unterwegs, allenfalls noch aus einem WLAN, ist OpenVPN super geeignet. Wenn ich aber meine zwei Netzwerke verbinden will und das bei bestmöglichem Durchsatz und Verschlüsselung, dann geht das nur vernünftig schnell wenn man Router dazu verwendet. Ich schiebe via IPSec zwischen den beiden LANs gut 35MBit/s via eine aes256 gesicherte Verbindung. Beim OpenVPN im besten Fall so ca 4 MBit/s.
Du siehst ich bin etwas paranoid und liebe Geschwindigkeit, also kommt für mich für grosse Datenmengen nur eine Router-zu-Routerlösung in Frage
Für kleine Wartungsarbeiten an den Servern von unterwegs, werde ich jedoch mit Sicherheit OpenVPN verwenden
Grüässli
tobi
ubuntulinux
Benutzer
- Mitglied seit
- 23. Jan 2010
- Beiträge
- 2.063
- Punkte für Reaktionen
- 0
- Punkte
- 82
Dann hast Du aber irgend ein anderes Problem mit OpenVPN oder der DS, denn bei mir geht SSH und surfen (wie gesagt, TV-Streaming aus den USA über 8'000km entfernt von der DS funktioniert sehr flüssig) gut.
Danke jedenfalls für dein Feedback. Was genau soll ich an meiner Anleitung abändern/ergänzen?
gruss patrick
Danke jedenfalls für dein Feedback. Was genau soll ich an meiner Anleitung abändern/ergänzen?
gruss patrick
- Mitglied seit
- 19. Aug 2008
- Beiträge
- 18.275
- Punkte für Reaktionen
- 4
- Punkte
- 0
Ich denke die Ergänzug würde dort hinpassen wo die Regel für den Router erstellt wird. Das muss man für jeden Client im entfernten LAN auch machen. Bei dir kam das wohl nicht zum tragen, weil du gemäss deiner Sig "nur" eine DS hast und die ist gleichzeitig der Endpunkt des OpenVPN Tunnels. Damit war ihr natürlich die Route bekannt
Meine beiden anderen DS'sen wussten ja gar nichts von OpenVPN (müssen sie ja auch nicht wirklich) und haben daher den Traffic für 254-sub einfach gedroppt. Also musste ich eine Regel erstellen, um den Kisten mitzuteilen, dass das 254-er Subnetz an die "reale" IP des OpenVPN Servers (200-er IP) als gateway geschickt wird. Es müsste theoretisch auch gehen beim route Eintrag als gateway IP, die "reale" IP des Routers zu verwenden (bei mir 192.168.200.1).
Das hätte dann aber zur Folge, dass der Router diese Pakete an den OpenVPN Server schaufeln muss. Wäre also ein unnötiger roundtrip. Lieber gleich an den OpenVPN Server senden
Gruss
tobi
ubuntulinux
Benutzer
- Mitglied seit
- 23. Jan 2010
- Beiträge
- 2.063
- Punkte für Reaktionen
- 0
- Punkte
- 82
Hi Tobi.
Ich habe zwei DS' und es wird alles ist erreichbar vom OpenVPN. Jedes einzelne Netzwerkgerät ist vom OpenVPN Netz aus erreichbar.
Also bei mir funktioniert alles so wie ich das wünsche
Gruss Patrick
Ich habe zwei DS' und es wird alles ist erreichbar vom OpenVPN. Jedes einzelne Netzwerkgerät ist vom OpenVPN Netz aus erreichbar.
Also bei mir funktioniert alles so wie ich das wünsche
Gruss Patrick
- Mitglied seit
- 19. Aug 2008
- Beiträge
- 18.275
- Punkte für Reaktionen
- 4
- Punkte
- 0
Sorry ich dachte du hättest du eine DSHi Tobi.
Ich habe zwei DS' und es wird alles ist erreichbar vom OpenVPN. Jedes einzelne Netzwerkgerät ist vom OpenVPN Netz aus erreichbar.
Also bei mir funktioniert alles so wie ich das wünsche
Das finde ich jetzt strange, weil bei mir gehts ohne die manuellen Routen wirklich ned. Kannst du mal bei deiner zweiten DS (also diejenige die nicht der OpenVPN Endpunkt ist) gucken was für Routen du hast?
Code:
routeGruss
tobi
ubuntulinux
Benutzer
- Mitglied seit
- 23. Jan 2010
- Beiträge
- 2.063
- Punkte für Reaktionen
- 0
- Punkte
- 82
Nix OpenVPN'iges. Aber ich kann von jedem PC im Netzwerk die OpenVPN Clients erreichen, dafür sorgt ja die statische Route im Router.
So sieht die Route-Tabelle in Syno2 (Backup) aus.
gruss patrick
Code:
backup> route
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.5.0 * 255.255.255.0 U 0 0 0 eth0
default router.lan.vb-s 0.0.0.0 UG 0 0 0 eth0
backup>gruss patrick
- Mitglied seit
- 19. Aug 2008
- Beiträge
- 18.275
- Punkte für Reaktionen
- 4
- Punkte
- 0
Und du kannst wirklich von unterwegs mit dem Laptop (wo du den OpenVPN Client installiert hat) dich direkt auf die 5-er IP deiner zweiten DS verbinden?
Das würde mich wirkich sehr wundern
Ich will ja nicht den/die OpenVPN Client(s) erreichen können, sondern mit dem OpenVPN Client von ausserhalb direkt auf Mitglieder des entfernten LAN zugreifen. Auch auf solche die nicht als OpenVPN-Clients mit dem OpenVPN-Server verbunden sind
Gruss
tobi
- Status
Kaffeautomat
Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.
Als Dankeschön schalten wir deinen Account werbefrei.
