[fli4l] Routing-Problem

B. Sprenger b.sprenger at sprenger-ffm.de
Mi Jan 1 15:42:10 CET 2014 

Hallo zusammen und ein frohes neues Jahr.
Ich habe ein Routing-Problem (welches zugegebenermaßen nur indirekt mit 
dem FLi4l zu tun hat):
Es gibt im Netzwerk einen Open-VPN-Server, der nicht auf dem 
Default-Gateway läuft.
Nach dem Verbindungsaufbau kann ich somit nur auf die im Netzwerk 
befindlichen Clients zugreifen, wenn in deren Netzwerkeinstellungen das 
Defaultgateway von der IP-Adresse des Routers (FLI4l) auf die IP-Adresse 
des VPN-Servers geändert wird.

Frage:
Wie kann ich es anstellen, dass die Antworten der Clients an mein 
OpenVPN-Server gesendet werden?


Hintergrund und ausführliche Beschreibung:
Auf dem FLi4l läuft natürlich OpenVPN. Die Verbindung zu anderen 
Fli4l's, sowie die Einwahl als Roadwarrior funktionieren einwandfrei.
Hin und wieder klemmt es aber doch mal irgendwo. Für diesen Fall gibt es 
in jedem Subnetz eine ISDN-Karte in einem Rechner, mit Hilfe derer ich 
mich einwählen und nach dem rechten schauen kann. Da für das ISDN-Netz 
aber bereits das Totenglöckchen läutet habe ich mir die Alternative mit 
einem zweiten Gateway ausgedacht. Ich habe einen brachliegenden 
DSL-Anschluss über den ich mich bei Bedarf über Openvpn einwählen möchte.
Netzwerk: 192.168.1.0/24, Router (Fli4l): 192.168.1.1
Zusätzlicher Router (Cisco E1200): 192.168.1.9
Auf dem zusätzlichen Router läuft dd-wrt mit OpenVPN.
Ich habe ihm eine zusätzliche IP-Adresse aus einem zusätzlichen Subnetz 
verpasst (192.168.4.9)
Auf dem FLI4l habe ich eine Route nach dem Schema 192.168.4.0/24 mit der 
192.168.1.9 als Gateway gesetzt.
Die Firewall des Ciscos ist wie folgt konfiguriert:
iptables -I INPUT 1 -p udp --dport 10025 -j ACCEPT
iptables -I FORWARD 1 --source 192.168.200.0/24 -j ACCEPT
iptables -I INPUT 1 -i tun2 -j ACCEPT
iptables -A FORWARD -i tun2 -j ACCEPT
und natürlich die zusätzliche IP-Adresse mit
ifconfig br0:1 192.168.4.9 netmask 255.255.255.0
eingestellt.
(Der Tunnel hat die IP-Adressen aus dem Subnetz 192.168.200.0/24)


Ich kann bei der Einwahl (vom Roadwarrior PC) den Router (192.168.4.9) 
anpingen.
Vom Server PC, der natürlich auch 2 IP-Adressen hat (192.168.1.11 und 
192.168.4.11) kann ich alle Stationen anpingen. Von den Stationen die 
nur eine IP-Adresse im 1er-Netz haben, kann ich alle Stationen im 
4er-Netz anpingen. Also funktioniert die zusätzliche Route auf dem FLi4l 
und auch das Routing auf dem Cisco.
Was aber eben nicht funktioniert ist die der Ping durch den Tunnel auf 
den Server (192.168.4.11).
Muss ich auf dem FLi4L an den Firewalleinstellungen drehen?
Oder was habe ich vergessen?


Schon mal vielen Dank für da Lesen bis hierher.
mfg
B. Sprenger

Mehr Informationen über die Mailingliste Fli4L