OpenVPN -- bridges -- Firewall -- Netzwerkproblem

OpenVPN -- bridges -- Firewall -- Netzwerkproblem

am 23.11.2006 10:54:56 von SS

Hallo,

ich habe folgendes Problem, wirklich seltsam:

OpenVPN Netzwerk mit Defaultroute über Openvpn (tap Interface im bridge
modus). System: debian.
OpenVPN server:
eth0, tap0 --> zu br0 gebridged --> kommt mit ping direkt ins Internet,
und ist durch öffentl. IP auch anbingbar
eth1 --> Privates netz (192.168.10.1)

OpenVPN client:
eth0 --> zu br0 gebridged (192.168.0.8)
eth1 (192.168.10.8) --> darufber wird tap100 aufgebaut und
funktioniert --> Internet Verbindung mit default route steht
die öffentliche IP Adresse des clients ist wenn ich die Firewall
freischalte auch mögllich.
Sprich die öffentl. IP Adressen des Servers und des Clienets sind aus
dem Internet anpingbar, der client kann den server anpingen.

Aber der Server kann den client nicht anbingen.
Auswertung mit "iptraf -u" ergab ergab:
Die packete verlassen den Server über tap0 interface, und kommen als
"echo req" auf dem tap100 Interface an.
Der client wiederrum sendet die Antwort (reply) nicht auf tap100
interface, sondern versucht auf eth1 zusenden, was durch firewall gesperrt
ist.
Pingt jedoch ein client aus dem internet über diese bridge den client
an, funktioniert ist. so wie es soll, nur nicht vom OpenVPN server.


Woran liegt dies, und womit kann man dieses Problem lösen.

Viele Grüße


Markus


ich denke es ist evtl. ein Netzwerk struktur Problem:
OpenVPN Server: "route -n"
212.21.160.0 0.0.0.0 255.255.255.224 U 0 0
0 br0
192.168.10.0 0.0.0.0 255.255.255.0 U 0 0
0 eth1
0.0.0.0 212.21.160.1 0.0.0.0 UG 0 0
0 br0

"brctl show":
bridge name bridge id STP enabled
interfaces
br0 8000.00e07de0dea2 yes eth0

tap0

tap1




OpenVPN Client: "route -n"
212.21.160.20 192.168.10.1 255.255.255.255 UGH 0 0
0 eth1
212.21.160.0 0.0.0.0 255.255.255.224 U 0 0
0 tap100
192.168.0.0 0.0.0.0 255.255.255.0 U 0 0
0 br0
192.168.10.0 0.0.0.0 255.255.255.0 U 0 0
0 eth1
0.0.0.0 212.21.160.20 128.0.0.0 UG 0 0
0 tap100
128.0.0.0 212.21.160.20 128.0.0.0 UG 0 0
0 tap100
0.0.0.0 192.168.10.1 0.0.0.0 UG 0 0
0 eth1

"brctl show":
bridge name bridge id STP enabled
interfaces
br0 8000.0008544f8c61 no eth0


OpenVPN Server config:
port 18156
proto tcp
dev tap0
;ca isp_ca.crt.pem
ca isp_customer_ca.crt.pem
cert gw2.etcconnect.net.crt.pem
key gw2.etcconnect.net.key.pem
dh dh1024.pem
crl-verify isp_customer_ca.crl


server-bridge 212.21.160.20 255.255.255.224 212.21.160.21 212.21.160.29

ifconfig-pool-linear
ifconfig-pool-persist kunden.txt

learn-address ./learn-address.sh
push "redirect-gateway def1"
keepalive 10 120
tls-auth tls-auth.key 0
cipher DES-EDE3-CBC
comp-lzo
max-clients 20
status status-defaultroute.log
status-version 2
log-append openvpn-defaultroute.log
verb 3

management 127.0.0.1 61518

client-connect ./client-connect.sh
client-disconnect ./client-disconnect.sh
;client-config-dir client-config

up ./bridge_start.sh
down ./bridge_stop.sh