• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

VPN Routing Probleme

Brainbug

Newbie
Da ich mich in ein IPSec VPN einwähle, stellt mir meine Firma den NCP Client für Linux zur Verfügung. Der Connect funktioniert dann auch einwandfrei, ich kann jedoch keine Internet-IP und keine IP im Firmennetz pingen.

Mir scheint das Routing schuld.

Hier meine Interface-Konfiguration OHNE VPN:

Code:
eth0      Protokoll:Ethernet  Hardware Adresse 00:08:0D:B3:76:CD  
          UP BROADCAST MULTICAST  MTU:1500  Metric:1
          RX packets:733335 errors:0 dropped:0 overruns:0 frame:0
          TX packets:553099 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 Sendewarteschlangenlänge:1000 
          RX bytes:470514711 (448.7 Mb)  TX bytes:161557893 (154.0 Mb)

eth1      Protokoll:Ethernet  Hardware Adresse 00:0C:F1:05:25:F7  
          inet Adresse:192.168.178.20  Bcast:192.168.178.255  Maske:255.255.255.0
          inet6 Adresse: fe80::20c:f1ff:fe05:25f7/64 Gültigkeitsbereich:Verbindung
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:438761 errors:38 dropped:35 overruns:0 frame:0
          TX packets:291812 errors:0 dropped:78 overruns:0 carrier:0
          collisions:0 Sendewarteschlangenlänge:1000 
          RX bytes:564696487 (538.5 Mb)  TX bytes:35663434 (34.0 Mb)
          Interrupt:11 Basisadresse:0xe000 Speicher:c2005000-c2005fff 

lo        Protokoll:Lokale Schleife  
          inet Adresse:127.0.0.1  Maske:255.0.0.0
          inet6 Adresse: ::1/128 Gültigkeitsbereich:Maschine
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:28268 errors:0 dropped:0 overruns:0 frame:0
          TX packets:28268 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 Sendewarteschlangenlänge:0 
          RX bytes:20075363 (19.1 Mb)  TX bytes:20075363 (19.1 Mb)

Hier meine Routing-Tabelle OHNE VPN:

Code:
Ziel            Router          Genmask         Flags Metric Ref    Use Iface
192.168.178.0   0.0.0.0         255.255.255.0   U     0      0        0 eth1
127.0.0.0       0.0.0.0         255.0.0.0       U     0      0        0 lo
0.0.0.0         192.168.178.1   0.0.0.0         UG    0      0        0 eth1

Hier nun meine Interfaces MIT VPN, beachtet das neue tap0 device:

Code:
eth0      Protokoll:Ethernet  Hardware Adresse 00:08:0D:B3:76:CD  
          UP BROADCAST MULTICAST  MTU:1500  Metric:1
          RX packets:733335 errors:0 dropped:0 overruns:0 frame:0
          TX packets:553099 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 Sendewarteschlangenlänge:1000 
          RX bytes:470514711 (448.7 Mb)  TX bytes:161557893 (154.0 Mb)

eth1      Protokoll:Ethernet  Hardware Adresse 00:0C:F1:05:25:F7  
          inet Adresse:192.168.178.20  Bcast:192.168.178.255  Maske:255.255.255.0
          inet6 Adresse: fe80::20c:f1ff:fe05:25f7/64 Gültigkeitsbereich:Verbindung
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:438761 errors:38 dropped:35 overruns:0 frame:0
          TX packets:291793 errors:0 dropped:78 overruns:0 carrier:0
          collisions:0 Sendewarteschlangenlänge:1000 
          RX bytes:564696487 (538.5 Mb)  TX bytes:35661644 (34.0 Mb)
          Interrupt:11 Basisadresse:0xe000 Speicher:c2005000-c2005fff 

lo        Protokoll:Lokale Schleife  
          inet Adresse:127.0.0.1  Maske:255.0.0.0
          inet6 Adresse: ::1/128 Gültigkeitsbereich:Maschine
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:28262 errors:0 dropped:0 overruns:0 frame:0
          TX packets:28262 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 Sendewarteschlangenlänge:0 
          RX bytes:20075101 (19.1 Mb)  TX bytes:20075101 (19.1 Mb)

tap0      Protokoll:Ethernet  Hardware Adresse 02:00:4E:43:50:49  
          inet Adresse:192.168.10.130  Bcast:192.168.10.255  Maske:255.255.255.0
          inet6 Adresse: fe80::4eff:fe43:5049/64 Gültigkeitsbereich:Verbindung
          UP BROADCAST RUNNING MULTICAST  MTU:1300  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:123 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 Sendewarteschlangenlänge:500 
          RX bytes:0 (0.0 b)  TX bytes:11613 (11.3 Kb)

Mein Routing sieht nach der VPN Einwahl wie folgt aus:

Code:
Kernel IP Routentabelle
Ziel            Router          Genmask         Flags Metric Ref    Use Iface
xx.xxx.xxx.xx   192.168.178.1   255.255.255.255 UGH   0      0        0 eth1
192.168.178.0   0.0.0.0         255.255.255.0   U     0      0        0 eth1
127.0.0.0       0.0.0.0         255.0.0.0       U     0      0        0 lo
0.0.0.0         192.168.178.1   0.0.0.0         UG    0      0        0 eth1

Kurze Erklärung:
xx.xxx.xxx.xx -> VPN Gateway, aus Sicherheitsgründen hier weggelassen
192.168.178.1 -> lokaler WLAN Router
192.168.10.130 -> meine VPN IP

Wie muss ich nun welche Route legen, um IPs im Firmennetzwerk und IPs im Internet übers Firmennetzwerk zu erreichen?

Danke für jede Antwort!
 
OP
B

Brainbug

Newbie
Ich habe jetzt mal versucht das Routing zu modifizieren, leider ohne Erfolg.

Code:
route add -net 192.168.10.0/24 tap0

Danach sieht das Routing IMHO gut aus:

Code:
Ziel            Router          Genmask         Flags Metric Ref    Use Iface
xx.xxx.xxx.xx   192.168.178.1   255.255.255.255 UGH   0      0        0 eth1
192.168.178.0   0.0.0.0         255.255.255.0   U     0      0        0 eth1
192.168.10.0    0.0.0.0         255.255.255.0   U     0      0        0 tap0
127.0.0.0       0.0.0.0         255.0.0.0       U     0      0        0 lo
0.0.0.0         192.168.178.1   0.0.0.0         UG    0      0        0 eth1

Erklärung:
xx.xxx.xxx.xx -> VPN-Gateway der Firma, aus Sicherheitsgründen hier weggelassen.

Zumindest gibt es eine Route ins Zielnetz der Firma (192.168.10.x) über das richtige tap0 device. Dennoch kann ich nichts im Firmennetz pingen.

Die SuSEFirewall kann eigentlich nicht das Problem sein, erstens bekomme ich ja einen Connect und 2. funzt es immernoch nicht wenn ich die Firewall mal testweise runterfahre.

Weiss jemand Rat?!?
 
OP
B

Brainbug

Newbie
Ich hab einfach mal eine traceroute nach der IP von heise. de gemacht, hier was erstaunliches:

Code:
traceroute to 193.99.144.80 (193.99.144.80), 30 hops max, 40 byte packets
 1  192.168.178.1 (192.168.178.1)  2.561 ms   2.434 ms   2.715 ms
 2  62.52.52.76 (62.52.52.76)  55.465 ms   61.564 ms   67.452 ms
 3  xxx.xx.xxx.xx (xxx.xx.xxx.xx)  71.403 ms   75.434 ms   79.128 ms
 4  213.20.255.241 (213.20.255.241)  85.497 ms   89.418 ms   92.844 ms
 5  213.20.249.198 (213.20.249.198)  96.408 ms   100.473 ms   104.378 ms
 6  80.81.192.132 (80.81.192.132)  108.501 ms   112.344 ms   115.522 ms
 7  ...

Erklärung
xxx.xx.xxx.xx -> VPN-Gateway der Firma, hier aus Sicherheitsgründen weggelassen

Das sieht doch danach aus, als würde er tatsächlich in Richtung heise .de losmarschieren, und sogar über die VPN-Route (Hop 3).

Allerdings werden ab Hop 2 die Laufzeiten immer länger, was bedeutet das? Dazu kommt, dass 75ms ja eigentlich keine Zeitspanne sind, das komplette traceroute aber mehrere Minuten läuft...
 

nbkr

Guru
Wenn Du nach Heise willst dürfte das Tapdevice eigentlich nicht auftauchen. Umgekehrt dürfte bei einem trace zur Firma das eth1 nicht auftauchen da es ja über das tap device läuft und du somit "im Firmennetz" bist. Ergo keinen Router brauchst.

Da ist also noch was sehr seltsam.

Wenn die Verbindungszeiten plötzlich ansteigen heißt das Du hast da irgendwo eine langsame Leitung dazwischen. Mehr nicht.
 
Oben