Das längste Thema

Ist ein Netzwerk konvergent? Client A soll Client B erreichen.

Client A hat folgende Config:

#ip a
inet 172.20.25.8/24 brd 172.20.25.255 scope global ens6
#ip r l
10.68.255.0/31 via 172.20.25.1 dev ens6 proto zebra metric 20

#ip a
inet 10.68.255.0/31 scope global wg0
#ip r l
172.20.25.0/24 via 10.68.255.1 dev wg0 proto bird metric 64

Beide sehen sich, beide wissen, wie sie einander erreichen über einen Dritten. Die Routingtabellen sind Konvergent.

Zitat von H6G

Mit Rückroute meine ich, dass das Proxmox Netz auch weiß, über welchen Weg es das OpenVPN Netz erreichen kann.

pasted-from-clipboard.png

Hier ein Container aus dem ProxMox Netz. Er kann das VPN problemlos erreichen.

Und hier der VPN Server... kann den Container nicht erreichen...

pasted-from-clipboard.png

EDIT: Ich tendiere ja mittlerweile wirklich dazu, dass das ein Konfigurationsproblem von OpenVPN ist. Entweder am Server oder am Client. Hat da jemand mal eine Beispielconfig, mit der sowas funktioniert?

Zitat von whoami0501

Und hier der VPN Server... kann den Container nicht erreichen...

Erreicht er denn 172.21.0.2?

Stell dich mal an jedem Hop mit tcpdump -nni ethX icmp und gucke, wo der Traffic verschluckt wird.

Wenn ein Hop von einem Interface ins andere routet, beide Interfaces scannen.

Auch auf die Source IPs achten, dass die so gewollt sind wegen dem NAT.

Zitat von H6G

Erreicht er denn 172.21.0.2?

Ja, tut er.

Ich habe das gerade getestet. Der Traffic wird an 172.21.0.1 abgefangen, kommt garnicht erst bei 172.21.0.2 an.

Es scheint also, wie ich bereits vermutete, am OpenVPN Server zu liegen, dass der das nicht weiter routet. Aber woran könnte das liegen?

Zitat von whoami0501

Es scheint also, wie ich bereits vermutete, am OpenVPN Server zu liegen, dass der das nicht weiter routet. Aber woran könnte das liegen?

Das hatte ich auch schonmal, dort blieb der Traffic aber im Tunnel stecken.

Kommt denn der Traffic im Tunnelinerface auf der anderen Seite an?

Was sagt denn die Firewall an 172.21.0.1?

ip_forwarding im Kernel aktiviert?

Zitat von H6G

Tunnelinerface auf der anderen Seite

Du meinst in tun0 auf dem NAS? Nein, tut er nicht.

Die Firewall sagt... naja, meinst du die Regeln oder die Logs?

Loggen tut er nichts. Und die routing Regeln (siehe unten) funktionieren auch...

### OpenVPN Routing ###
# UDP Network (172.21.0.0/16)
/sbin/iptables -t nat -A POSTROUTING -s $udp_net -o $ext_int -j MASQUERADE # forwarding udp_net to the internet
/sbin/iptables -A FORWARD -i $ext_int -o $udp_int -j ACCEPT
/sbin/iptables -A FORWARD -i $udp_int -o $ext_int -j ACCEPT
/sbin/iptables -A FORWARD -i $udp_int -o $udp_int -s $udp_net -d $udp_net -j ACCEPT # allow the VPN internal Traffic of udp_net

# TCP Network (172.22.0.0/16)
/sbin/iptables -t nat -A POSTROUTING -s $tcp_net -o $ext_int -j MASQUERADE # forwarding tcp_net to the internet
/sbin/iptables -A FORWARD -i $ext_int -o $tcp_int -j ACCEPT
/sbin/iptables -A FORWARD -i $tcp_int -o $ext_int -j ACCEPT
/sbin/iptables -A FORWARD -i $tcp_int -o $tcp_int -s $tcp_net -d $tcp_net -j ACCEPT # allow the VPN internal Traffic in tcp_net

# Connection between subnets
/sbin/iptables -t nat -A POSTROUTING -s $udp_net -o $tcp_int -j MASQUERADE # route 172.21.0.0/16 -> 172.22.0.0/16
/sbin/iptables -A FORWARD -i $udp_int -o $tcp_int -j ACCEPT
/sbin/iptables -t nat -A POSTROUTING -s $tcp_net -o $udp_int -j MASQUERADE # route 172.22.0.0/16 -> 172.21.0.0/16
/sbin/iptables -A FORWARD -i $tcp_int -o $udp_int -j ACCEPT

/sbin/iptables -t nat -A POSTROUTING -s $udp_net -o $vlan_int -j MASQUERADE # route 172.21.0.0/16 -> 172.20.0.0/24
/sbin/iptables -A FORWARD -i $udp_int -o $vlan_int -j ACCEPT
/sbin/iptables -t nat -A POSTROUTING -s $vlan_net -o $udp_int -j MASQUERADE # route 172.20.0.0/24 -> 172.21.0.0/16
/sbin/iptables -A FORWARD -i $vlan_int -o $udp_int -j ACCEPT

/sbin/iptables -t nat -A POSTROUTING -s $vlan_net -o $tcp_int -j MASQUERADE # route 172.20.0.0/24 -> 172.22.0.0/16
/sbin/iptables -A FORWARD -i $vlan_int -o $tcp_int -j ACCEPT
/sbin/iptables -t nat -A POSTROUTING -s $tcp_net -o $vlan_int -j MASQUERADE # route 172.22.0.0/16 -> 172.20.0.0/24

Nicht wundern wegen dem UDP und TCP. Das meint nur das Protokoll, mit dem die OpenVPN Instanz läuft.

Zitat von whoami0501

Und die routing Regeln (siehe unten) funktionieren auch...

Das sind immer noch keine Routing Regeln, sondern ein Paketfilter?

Wie soll man das denn debuggen, wenn überall die Source Adresse gewechselt wird?

iptables -S
iptables -t nat -S
sysctl net.ipv4.ip_forward

Einmal bitte die Ausgaben. Die letzten zwei Oktette von Public Adressen kannst du ja zensieren.

ich hab den Beweis, daß https://uhr.ptb.de/ gewaltig pfuscht, ich komm mit meiner Heizflosse auch nicht hin

und nein nicht mein WLAN - dem man ja die Schuld geben könnte, sondern mittels normalem Mobilfunknetz

mainziman was sagt den MTR? ggf. ist das DFN auch nicht gut außerhalb von DE angebunden

Zitat von Gunah

mainziman was sagt den MTR? ggf. ist das DFN auch nicht gut außerhalb von DE angebunden

screenMTR.png

die Anbindung ist nicht das Problem; uhr.ptb.info hat eine IPv6 vom selben /64-Prefix und klappt;

Wusste bisher gar nicht, dass tcpdump eine Funktion zur Ausgabe der Paketinhalte hat:

root@aorta:~ # tcpdump -ni pppoe0 -XX port sip and host 217.0.xxx.xxx

20:30:23.947578 IP 84.169.xxx.xxx.31959 > 217.0.xxx.xxx.5060: SIP: INVITE sip:055xxxxxx@tel.t-online.de SIP/2.0
    0x0000:  1337 1337 1337 1337 1337 1337 1337 1337  ....E..(.s@.?.A.
    0x0010:  1337 1337 1337 1337 1337 1337 1337 1337  T.......|.......
    0x0020:  1337 1337 1337 1337 1337 1337 1337 1337  INVITE.sip:055xx
    0x0030:  1337 1337 1337 1337 1337 1337 1337 1337  xxxxxx@tel.t-onl
    0x0040:  1337 1337 1337 1337 1337 1337 1337 1337  ine.de.SIP/2.0..
    0x0050:  1337 1337 1337 1337 1337 1337 1337 1337  Call-ID:.33e94c9
    0x0060:  1337 1337 1337 1337 1337 1337 1337 1337  6c37529297f0e421
    0x0070:  1337 1337 1337 1337 1337 1337 1337 1337  62494d4c6@192.16
    0x0080:  1337 1337 1337 1337 1337 1337 1337 1337  8.42.70..CSeq:.6
    0x0090:  1337 1337 1337 1337 1337 1337 1337 1337  905.INVITE..From
    0x00a0:  1337 1337 1337 1337 1337 1337 1337 1337  :."055xxxxxxxxx"
    0x00b0:  1337 1337 1337 1337 1337 1337 1337 1337  .<sip:055xxxxxxx
[...]

Zitat von perryflynn

tel.t-online.de SIP

Schmerzen. Diese Schmerzen.

Zitat von H6G

Schmerzen. Diese Schmerzen.

Vietnam Telekom-Flashbacks?

Zitat von H6G

Schmerzen. Diese Schmerzen.

Nicht meine. Wurde nur von einem Kumpel darum gebeten Pakete meines Intakten SIP Clients zu liefern. Der jetzt seine kaputte SIP Anlage debuggt.

PowerShell ist echt eine Sprache aus der Hölle:

$v = @{}
Get-Content "whitelist.ini" | % { Try { $r = [regex]::Match($_, '^([^=;][^=]*)=(.*)$').captures.groups; $v.Add($r[1].value, $r[2].value); } Catch {} }

foreach($key in $v.Keys) {
    Write-Output "${key}:"
    Write-Output $(If (Get-ChildItem Env:$key -EA 'Ig') {$(Get-ChildItem Env:$key).Value} Else {$v[$key]}) 
}

Zitat von perryflynn

PowerShell ist echt eine Sprache aus der Hölle:

darum programmiert man auch FORTRAN, weil des taugt zum Rechnen

Zitat von H6G

Schmerzen. Diese Schmerzen.

brauchst 'nen 40 Tonner Aspirin oder Baldrian?

Zitat von mainziman

weil des taugt zum Rechnen

Rechnen kann ich auch mit einem Texas Instrument. Dafür brauche ich kein Fortran.

Zitat von H6G

Rechnen kann ich auch mit einem Texas Instrument. Dafür brauche ich kein Fortran.

stimmt, zum Datensammeln braucht ma auch keine EDV, des geht mit Karteikarten auch

zum Orientieren braucht ma auch kein Navi, des geht mit Kompass und Landkarte/Straßenkarte auch

zum Schreiben braucht ma auch kei Textverarbeitung, des geht mit einer Schreibmaschine auch

zum Telephonieren braucht ma auch kei Heizflosse

mainziman endlich hats einer erkannt. (Holt seine Triumph Adler raus), was meinst du, warum es TeleTypeWriter heißt