Zum Inhalt springen

Empfohlene Beiträge

Geschrieben

Hallo Experten,

Ich habe ein Problem mit meinem OpenVPN bridging setup.

Folgende komponenten sind dabei im Spiel:

Host bridgeclient1:

IP 192.168.1.11 (netzwerksegment 1)

Host openvpn1:

IP: 192.168.1.254 (bridged mit openvpn tap0 Netzwerksegment 1)

IP: 10.254.0.1 (IP im simulierten Pub-Netzwerk – openvpn peer IP)

Host openvpn2:

IP: 192.168.1.253 (bridged mit openvpn tap0 Netzwerksegment 2)

IP: 10.254.0.2 (IP im simulierten Pub-Netzwerk – openvpn peer IP)

Host bridgeclient2:

IP 192.168.1.12 (netzwerksegment 2)

Openvpn-config beiderseits ist folgendermaßen:

openvpn2:~# cat /etc/openvpn/openvpn.conf

remote 10.254.0.1

dev tap0

secret /etc/openvpn/static.key

verb 7

Mein Problem ist jetzt folgendes – ich lasse von bridgclient2 einen ping auf bridgclient1 laufen. Ich sehe auch die arp-requests sauber auf dem tunnel und tap-devicen durchgereicht bis bridgeclient1: Dort zeigt mir der tcpdump aber folgendes:
12:19:03.436962 arp who-has 192.168.1.11 tell 192.168.1.12

12:19:03.436992 arp reply 192.168.1.11 is-at 00:0c:29:e6:77:18 (oui Unknown)

12:19:04.437733 arp who-has 192.168.1.11 tell 192.168.1.12

12:19:04.437763 arp reply 192.168.1.11 is-at 00:0c:29:e6:77:18 (oui Unknown)

Kann mir einer von euch weiterhelfen an diesem Punkt?

Die Arp-replies kommen nicht mehr zum openvpn1 zurück.

Wenn noch weitere Details benötigt werden, stelle ich die natürlich gerne zur Verfügung.

Gruß

Markus

Geschrieben

Verwendest du in den Netzen, die das OpenVPN miteinander verbindet die selben IP-Adressbereiche?

Host bridgeclient1:

IP 192.168.1.11 (netzwerksegment 1)

Host bridgeclient2:

IP 192.168.1.12 (netzwerksegment 2)

Geschrieben

Ja genau,

Für mein Projekt ist es notwendig einen Serverraum ohne Ausfallzeiten möglichst einfach von Nürnberg nach Dänemark zu migrieren. Deshalb hab ich mir gedacht einfach die beiden Rechenzentren über OpenVPN zu bridgen wie in diesem Beispeil dargestellt: OpenVPN Bridging und dann alle meine Failover-Nodes einfach nach Dänemark zu schicken.

Gruß

Markus

Geschrieben

Ja die ARP-Anfragen kommen an.

Der TCPdump zeigt auf der gegenseite:

12:19:03.436962 arp who-has 192.168.1.11 tell 192.168.1.12

12:19:03.436992 arp reply 192.168.1.11 is-at 00:0c:29:e6:77:18 (oui Unknown)

12:19:04.437733 arp who-has 192.168.1.11 tell 192.168.1.12

12:19:04.437763 arp reply 192.168.1.11 is-at 00:0c:29:e6:77:18 (oui Unknown)

Der ARP-Reply geht aber nicht an den openvpn1 zurück.

Geschrieben

kannst du einmal den ifconfig output von den beiden openvpn hosts posten?

evtl. ins blaue geschossen: promiscuous mode auf den interfaces der openvpn hosts an?

Geschrieben

openvpn2:

br0       Link encap:Ethernet  HWaddr 00:0c:29:c1:14:04

          inet addr:192.168.1.253  Bcast:192.168.1.255  Mask:255.255.255.0

          inet6 addr: fe80::708c:a5ff:fe8f:4e38/64 Scope:Link

          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1

          RX packets:827456 errors:0 dropped:0 overruns:0 frame:0

          TX packets:10 errors:0 dropped:0 overruns:0 carrier:0

          collisions:0 txqueuelen:0

          RX bytes:38036394 (36.2 MiB)  TX bytes:748 (748.0 


eth0      Link encap:Ethernet  HWaddr 00:0c:29:c1:14:f0

          inet addr:10.2.130.224  Bcast:10.2.130.255  Mask:255.255.255.0

          inet6 addr: fe80::20c:29ff:fec1:14f0/64 Scope:Link

          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1

          RX packets:179114 errors:3 dropped:3 overruns:0 frame:0

          TX packets:15842 errors:0 dropped:0 overruns:0 carrier:0

          collisions:0 txqueuelen:1000

          RX bytes:15409884 (14.6 MiB)  TX bytes:3247252 (3.0 MiB)

          Interrupt:18 Base address:0x1400


eth1      Link encap:Ethernet  HWaddr 00:0c:29:c1:14:fa

          inet addr:10.254.0.2  Bcast:10.254.0.255  Mask:255.255.255.0

          inet6 addr: fe80::20c:29ff:fec1:14fa/64 Scope:Link

          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1

          RX packets:39169 errors:1 dropped:1 overruns:0 frame:0

          TX packets:861468 errors:0 dropped:0 overruns:0 carrier:0

          collisions:0 txqueuelen:1000

          RX bytes:3006438 (2.8 MiB)  TX bytes:119190319 (113.6 MiB)

          Interrupt:19 Base address:0x1480


eth2      Link encap:Ethernet  HWaddr 00:0c:29:c1:14:04

          inet6 addr: fe80::20c:29ff:fec1:1404/64 Scope:Link

          UP BROADCAST RUNNING PROMISC MULTICAST  MTU:1500  Metric:1

          RX packets:826074 errors:0 dropped:0 overruns:0 frame:0

          TX packets:10573 errors:0 dropped:0 overruns:0 carrier:0

          collisions:0 txqueuelen:1000

          RX bytes:49564706 (47.2 MiB)  TX bytes:529918 (517.4 KiB)

          Interrupt:16 Base address:0x1800


lo        Link encap:Local Loopback

          inet addr:127.0.0.1  Mask:255.0.0.0

          inet6 addr: ::1/128 Scope:Host

          UP LOOPBACK RUNNING  MTU:16436  Metric:1

          RX packets:145 errors:0 dropped:0 overruns:0 frame:0

          TX packets:145 errors:0 dropped:0 overruns:0 carrier:0

          collisions:0 txqueuelen:0

          RX bytes:14330 (13.9 KiB)  TX bytes:14330 (13.9 KiB)


tap0      Link encap:Ethernet  HWaddr 00:ff:33:ef:42:74

          inet6 addr: fe80::2ff:33ff:feef:4274/64 Scope:Link

          UP BROADCAST RUNNING PROMISC MULTICAST  MTU:1500  Metric:1

          RX packets:6214 errors:0 dropped:0 overruns:0 frame:0

          TX packets:827467 errors:0 dropped:520 overruns:0 carrier:0

          collisions:0 txqueuelen:100

          RX bytes:345444 (337.3 KiB)  TX bytes:49622632 (47.3 MiB)[/code]




openvpn1:

[code]br0 Link encap:Ethernet HWaddr 00:0c:29:8b:d6:b4 inet addr:192.168.1.254 Bcast:192.168.1.255 Mask:255.255.255.0 inet6 addr: fe80::4401:4cff:fecf:e939/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:831459 errors:0 dropped:0 overruns:0 frame:0 TX packets:3841 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:38329262 (36.5 MiB) TX bytes:324862 (317.2 KiB) eth0 Link encap:Ethernet HWaddr 00:0c:29:8b:d6:a0 inet addr:10.2.130.223 Bcast:10.2.130.255 Mask:255.255.255.0 inet6 addr: fe80::20c:29ff:fe8b:d6a0/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:197276 errors:5 dropped:5 overruns:0 frame:0 TX packets:26821 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:15383871 (14.6 MiB) TX bytes:4862480 (4.6 MiB) Interrupt:18 Base address:0x1400 eth1 Link encap:Ethernet HWaddr 00:0c:29:8b:d6:aa inet addr:10.254.0.1 Bcast:10.254.0.255 Mask:255.255.255.0 inet6 addr: fe80::20c:29ff:fe8b:d6aa/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:861539 errors:0 dropped:0 overruns:0 frame:0 TX packets:39179 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:119745621 (114.1 MiB) TX bytes:2463304 (2.3 MiB) Interrupt:19 Base address:0x1480 eth2 Link encap:Ethernet HWaddr 00:0c:29:8b:d6:b4 inet6 addr: fe80::20c:29ff:fe8b:d6b4/64 Scope:Link UP BROADCAST RUNNING PROMISC MULTICAST MTU:1500 Metric:1 RX packets:6982 errors:2 dropped:3 overruns:0 frame:0 TX packets:835448 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:502102 (490.3 KiB) TX bytes:50119988 (47.7 MiB) Interrupt:16 Base address:0x1800 lo Link encap:Local Loopback inet addr:127.0.0.1 Mask:255.0.0.0 inet6 addr: ::1/128 Scope:Host UP LOOPBACK RUNNING MTU:16436 Metric:1 RX packets:1327 errors:0 dropped:0 overruns:0 frame:0 TX packets:1327 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:126232 (123.2 KiB) TX bytes:126232 (123.2 KiB) tap0 Link encap:Ethernet HWaddr 00:ff:6b:e8:6f:e5 inet6 addr: fe80::2ff:6bff:fee8:6fe5/64 Scope:Link UP BROADCAST RUNNING PROMISC MULTICAST MTU:1500 Metric:1 RX packets:827544 errors:0 dropped:0 overruns:0 frame:0 TX packets:6783 errors:0 dropped:841 overruns:0 carrier:0 collisions:0 txqueuelen:100 RX bytes:49627468 (47.3 MiB) TX bytes:370242 (361.5 KiB)

Hier die ifconfig - bitte ignoriert eth0 (das interface verwende ich fürs management). Aber imho passt hier auchj alles auf tap0 und eth2 promisc-mode.

Gruß

Markus

Geschrieben

openvpn1:~# brctl show br0

bridge name     bridge id               STP enabled     interfaces

br0             8000.000c298bd6b4       no              eth2

                                                        tap0

openvpn2:~# brctl show br0

bridge name     bridge id               STP enabled     interfaces

br0             8000.000c29c11404       no              eth2

                                                        tap0

Das hab ich alles schonmal überprüft. Sollte auch imho so passen. Aber vielleicht fällt dir ja nochwas auf.

Ich vermute, dass client1 einfach nicht die MAC von client2 kennt und dadurch die Replies ins Nirvana gehen. Aber ich such halt eine Möglichkeit, genau das Problem noch zu beheben.

Gruß

Markus

Geschrieben

Hi Markus,

wie du schon erkannt hast war es bei dir die Promisc-Einstellung.

Ich hatte in meinen ESX Systemen am Anfang 4 Karten geteamed und da hab ich ähnliche Probleme gehabt - bei mir wurden ARP Pakete versendet aber es kam nie was zu der OpenVPN Kiste zurück.

Solltest du mal mehrere Netzwerkkarten in deinem ESX System haben, hilft es wie in meinem Blogpost auch mal das Teaming zu ändern bzw. nur eine physische Karte für die gebridgte Verbindung zu benutzen.

Gruß ;)

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...