[fli4l] openvpn mit Roadwarrior und 2x Fli

Sebastian Klein fli4l at wysiwyng.de
So Jan 14 15:52:01 CET 2018


Moin Frank,

ich nehme mal den original Post um zu antworten...

Am 10.01.18 um 15:17 schrieb Frank Stroeter:
> Frohes Neues an alle (wenn man das noch sagen darf;-))
> 
> ich habe ein paar Routingfragen zu openvpn.
> Ich hoffe ihr könnt mir helfen.
> 
> Ich möchte mit einem Roadwarrior auf 2 Fli 3.10.11 zugreifen welche
> miteinander über openvpn verbunden sind.
> 
> Roadwarrior --- vpn Tunnel --- Fli_1 --- vpn Tunnel --- Fli_2
> 
> Verbindungen vom RW zu Fli_1 funktionieren
> Verbindungen von Fli_1 zu Fli_2 und zurück funktionieren
> Verbindungen vom RW über Fli_1 zu Fli_2 nicht

das sieht mir erstmal nach einem Routing Problem aus.
Zu überprüfen wäre:
1. fli4l_1 hat einen Routeneintrag zu fli4l_2 und dessen Netz
2. fli4l_2 hat einen Routeneintrag zu fli4l_1 und dessen Netz
3. fli4l_2 hat einen Routeneintrag zum RW
4. der RW braucht die Routen zu beiden fli4l und deren Netzen

3. ist nicht unbedingt nötig sofern der fli4l_1 ein snat/masquerade
auf den RW macht

> Ich denke es ist ein config-Problem der openvpn.txt in Fli_1
> ...
> OPENVPN_1_TYPE=     'tunnel'
> OPENVPN_1_REMOTE_VPN_IP='172.x.y.202'
> OPENVPN_1_LOCAL_VPN_IP= '172.x.y.201'
> OPENVPN_1_ROUTE_N=     '0'
> OPENVPN_1_ROUTE_1=     ''
> OPENVPN_1_PF_INPUT_N=     '1'
> OPENVPN_1_PF_INPUT_1=     'ACCEPT'
> OPENVPN_1_PF_FORWARD_N= '1'
> OPENVPN_1_PF_FORWARD_1= 'ACCEPT'
> ...

ich würde das ein wenig konkreter schreiben als nur "ACCEPT"
siehe dazu auch die Doku unter [1]

> Meine Recherche ergab das Einträge wie "OPENVPN_1_PF_POSTROUTING_1="
> fehlen. Leider kann ich sie nicht mit "Leben" füllen.

ein Beispiel wäre z.B.:

OPENVPN_1_PF_POSTROUTING_1='10.1.0.6 0.0.0.0/0 SNAT:10.150.10.1'

dies ist ein SNAT von einem meiner RW's (10.1.0.6)
die 0.0.0.0/0 sind alle Ziele (alle Adressen des IPv4 Raums)
und er soll die Quelladresse mit der 10.150.10.1 austauschen.
Weitere Behandlung der Pakete findet dann in der base.txt statt.

> Auf dem RW sind 2 Routen (zum Fli_1-Netz und Fli_2-Netz) eingetragen.
> ...
> ifconfig 172.x.y.202 172.x.y.201
> route 192.168.Fli_1-Netz.0 255.255.255.0
> route 192.168.Fli_2-Netz.0 255.255.255.0
> ...

das ist schon mal gut siehe oben...

[1] http://www.fli4l.de/fileadmin/doc/deutsch/html/fli4l-3.10.11/node18.html

-- 
Grüße,
Sebastian
[fli4l-team]


Mehr Informationen über die Mailingliste Fli4L