[fli4l] [gelöst] Routing-Problem

[B. Sprenger]

Am 01.01.2014 15:42, schrieb B. Sprenger:
> Hallo zusammen und ein frohes neues Jahr.
> Ich habe ein Routing-Problem (welches zugegebenermaßen nur indirekt mit
> dem FLi4l zu tun hat):
> Es gibt im Netzwerk einen Open-VPN-Server, der nicht auf dem
> Default-Gateway läuft.
> Nach dem Verbindungsaufbau kann ich somit nur auf die im Netzwerk
> befindlichen Clients zugreifen, wenn in deren Netzwerkeinstellungen das
> Defaultgateway von der IP-Adresse des Routers (FLI4l) auf die IP-Adresse
> des VPN-Servers geändert wird.
>
> Frage:
> Wie kann ich es anstellen, dass die Antworten der Clients an mein
> OpenVPN-Server gesendet werden?
>
>
> Hintergrund und ausführliche Beschreibung:
> Auf dem FLi4l läuft natürlich OpenVPN. Die Verbindung zu anderen
> Fli4l's, sowie die Einwahl als Roadwarrior funktionieren einwandfrei.
> Hin und wieder klemmt es aber doch mal irgendwo. Für diesen Fall gibt es
> in jedem Subnetz eine ISDN-Karte in einem Rechner, mit Hilfe derer ich
> mich einwählen und nach dem rechten schauen kann. Da für das ISDN-Netz
> aber bereits das Totenglöckchen läutet habe ich mir die Alternative mit
> einem zweiten Gateway ausgedacht. Ich habe einen brachliegenden
> DSL-Anschluss über den ich mich bei Bedarf über Openvpn einwählen möchte.
> Netzwerk: 192.168.1.0/24, Router (Fli4l): 192.168.1.1
> Zusätzlicher Router (Cisco E1200): 192.168.1.9
> Auf dem zusätzlichen Router läuft dd-wrt mit OpenVPN.
> Ich habe ihm eine zusätzliche IP-Adresse aus einem zusätzlichen Subnetz
> verpasst (192.168.4.9)
> Auf dem FLI4l habe ich eine Route nach dem Schema 192.168.4.0/24 mit der
> 192.168.1.9 als Gateway gesetzt.
> Die Firewall des Ciscos ist wie folgt konfiguriert:
> iptables -I INPUT 1 -p udp --dport 10025 -j ACCEPT
> iptables -I FORWARD 1 --source 192.168.200.0/24 -j ACCEPT
> iptables -I INPUT 1 -i tun2 -j ACCEPT
> iptables -A FORWARD -i tun2 -j ACCEPT
> und natürlich die zusätzliche IP-Adresse mit
> ifconfig br0:1 192.168.4.9 netmask 255.255.255.0
> eingestellt.
> (Der Tunnel hat die IP-Adressen aus dem Subnetz 192.168.200.0/24)
>
>
> Ich kann bei der Einwahl (vom Roadwarrior PC) den Router (192.168.4.9)
> anpingen.
> Vom Server PC, der natürlich auch 2 IP-Adressen hat (192.168.1.11 und
> 192.168.4.11) kann ich alle Stationen anpingen. Von den Stationen die
> nur eine IP-Adresse im 1er-Netz haben, kann ich alle Stationen im
> 4er-Netz anpingen. Also funktioniert die zusätzliche Route auf dem FLi4l
> und auch das Routing auf dem Cisco.
> Was aber eben nicht funktioniert ist die der Ping durch den Tunnel auf
> den Server (192.168.4.11).
> Muss ich auf dem FLi4L an den Firewalleinstellungen drehen?
> Oder was habe ich vergessen?
>
>
> Schon mal vielen Dank für da Lesen bis hierher.
> mfg
> B. Sprenger
Der Vollständigkeit halber:
Die Konfiguration vom Fli4 war korrekt
Auf dem Cisco waren weitere Firewall-Einstellungen notwendig.
Diese lauten jetzt:

iptables -I INPUT 1 -p udp --dport 10025 -j ACCEPT
iptables -I FORWARD 1 --source 192.168.200.0/24 -j ACCEPT
iptables -I INPUT 1 -i tun2 -j ACCEPT
iptables -A FORWARD -i tun2 -j ACCEPT

iptables -I FORWARD -i br0 -o tun2 -j ACCEPT
iptables -I FORWARD -i tun2 -o br0 -j ACCEPT

iptables -t nat -A POSTROUTING -j MASQUERADE


Evt. ist da jetzt etwas doppelt, aber es funktioniert.