source based routing mit OpenVPN

Maximilian Wilhelm max at rfc2324.org
Tue Apr 22 14:46:04 CEST 2008 

Am Tuesday, den 22 April hub Markus Wigge folgendes in die Tasten:

Hi!

> >> ich breche mir grade die Finger an OpenVPN und hoffe jemand von euch 
> >> hier hat eine Idee.

> >> Ziel soll in etwa folgendes sein:

> >> (192.168.1.0/24)        (192.168.1.0/24)
> >>      client1                 client2
> >>          |                      |
> >>          +----------+-----------+
> >>                     |
> >>                  server (pool:10.8.1.0/24)
> >>       (10.10.1.0/24 | 10.10.2.0/24)
> > 
> > Hier komm ich nicht mehr ganz mit.

> > Was hat es genau mit den 10.* IPs auf sich?
> > Welche Bereich wird wofür genutzt?

> Das sind Subnetze eines großen 10.10.0.0/16 das der Maschine über IPsec 
> reingeroutet wird.
> Aus diesem Bereich werden IPs an Mobile Endgeräte vergeben und die 
> OpenVPN Clients Verbinden quasi ein Netz mit den zugehörigen Endgeräten.

> >> Also beide (oder noch mehr) Clients haben den selben privaten 
> >> Adressbereich und der Server soll abhängig von der Quell-IP die Pakete 
> >> an den entsprechenden Client zustellen.

> > Das sollte prinzipiell möglich sein.
> > Die Idee mit 'ip rule' ist da IMO schon ganz gut.

> Scheitert aber scheinbar daran, dass ich in der Client-Config 
> (ccd-Verzeichnis) dem Client eine "iroute" mitgeben muss, damit das 
> interne Routing von OpenVPN die Pakete auch richtig zustellt. Leider 
> kann ich nicht mehreren Clients die selbe "iroute" zuweisen...

Warum willst Du das denn tun?

Mal doch bitte mal ein komplettes Bild, damit wir sehen, wie das Netz
aussieht und wie das VPN Overlay aussieht.

> > Kannst Du mal ein Bildchen malen, dass die physikalie Struktur und
> > eins, dass das VPN-Overlay zeigt? Ich habe noch nicht ganz kapiert,
> > was Du da IP technisch machst. :)

> Naja, physikalisch hat die Kiste nur eine Netzwerkschnittstelle, der 
> Rest kommt über IPsec und soll scheibchenweise via OpenVPN und/oder 
> IPsec, je nach Anwendung, an andere Netze verteilt werden.

Physikalisch im Sinne von IP Netz ohne VPN.

> Diese anderen Netze liegen aber nicht in unserem Hoheitsbereich und 
> können sich in privaten Adressbereichen überschneiden oder, bei ganz 
> grossen Helden, auch zufällige offizielle Netzbereiche überschneiden.

Ciao
Max
-- 
	Follow the white penguin.

More information about the Linux mailing list