2 XEN Server über OpenVPN zu einem VPN verbinden

[juelz]

Hallo,

habe hier 2 PC's mit Debian etch und Xen installiert. Ich wollte die beiden internen Bridges über OpenVPN miteinander verbinden, so dass die VM's der beiden PC's direkt miteinander kommunizieren können. Ich dachte, es reicht, wenn ich dann das tap0 device zur Netzwerkbrücke hinzufüge, jedoch scheint das nicht auszureichen. Was könnte ich falsch gemacht haben, bzw. woran könnte es hängen?

Vielen Dank

[aquajo]

Das sollte eigentlich so funktionieren, ein sehr ähnliches Setup hatte ich auch 'mal.

Sind die tap-Devices wirklich der Bridge hinzugefügt und OpenVPN richtig konfiguriert?

[juelz]

Ich denke, dass OpenVPN korrekt eingerichtet ist, da der Ping in beide Richtungen ohne Probleme funktioniert.

Meiner iptables Firewall muss ich dann noch dem entsprechend mitteilen, dass er jeden Traffic über das tap0 device zulassen soll?!

[aquajo]

Beschreibe 'mal dein Setup genau.

Ich hatte 'mal das hier http://www.formann.de/2005/09/xen-netzwerksetup/ beschriebene Setup, und das hat funktioniert.

[juelz]

Also, dann werde ich mal mein Setup genau beschreiben.

Ich habe 2 PC's mit Debian etch und Xen installiert, jeder der Server hat mehrere VM's. Das Ziel ist es, dass die VM's direkt miteinander kommunizieren können.

Code: Select all

PC 1:
öffentliche IP 85.214.49.222
xenbr0 10.0.0.1/8

    /
    ||
    /

PC 2:
öffentliche IP 212.227.135.69
xenbr0 10.0.1.1/8

Die Kommunikation beider Netzwerkbrücken miteinander soll über einen gesicherten Tunnel (hier OpenVPN) erfolgen.

[aquajo]

Auch wenn die Beschreibung weit von genau entfernt ist: du willst wahrscheinlich Routen und nicht bridgen.

Und sonst: Liefer brauchbare Daten zum debuggen, oder bezahle jemanden dafür.

Glaskugellesen macht recht wenig Spaß auf Dauer.

[juelz]

Hallo,

die Glaskugel verrät mir auch nicht, was du für Informationen brauchst! Ich habe die öffentlichen IP's oben eingetragen, obwohl ich nicht denke, dass das hier von Relevanz ist!
Wenn du mir also sagen würdest, was du für Informationen benötigst, könnte ich sie dir stellen!

[aquajo]

Aktuelles routing auf beiden Rechnern, openvpn-Config, aktuelle Konfiguration der Bridges,
Netzwerksetup in den Domains, aktuelles Fehlerbild (was funktioniert wie nicht mit welchen Meldungen) usw.

Kurz gesagt: alles was nötig ist das aktuell vorhandene Setup & Fehler vollständig zu beschreiben., das sollte doch eigentlich selbstverständlich sein

[juelz]

Routing PC 1:

Code: Select all

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
default-gw      *               255.255.255.255 UH    0      0        0 eth0
192.168.0.0     *               255.255.255.0   U     0      0        0 tap0
10.0.0.0        *               255.0.0.0       U     0      0        0 xenbr0
default         default-gw      0.0.0.0         UG    0      0        0 eth0

Routing PC 2:

Code: Select all

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
default-gw      *               255.255.255.255 UH    0      0        0 eth0
192.168.0.0     *               255.255.255.0   U     0      0        0 tap0
10.0.1.0        *               255.0.0.0       U     0      0        0 xenbr0
default         default-gw      0.0.0.0         UG    0      0        0 eth0

openvpn Config:

Code: Select all

server 192.168.0.0 255.255.255.0
dev tap
proto udp
port 1195

dh /etc/openvpn/easy-rsa/keys/dh1024.pem
ca /etc/openvpn/easy-rsa/keys/ca.crt
key /etc/openvpn/easy-rsa/keys/server.key
cert /etc/openvpn/easy-rsa/keys/server.crt
route 10.0.0.0 255.0.0.0
push "route 10.0.1.0 255.0.0.0"
keepalive 10 60
user nobody

Konfiguration der Bridges (hier nur ein Auszug, der zweite ist, bis auf die Adresse, identisch):

Code: Select all

auto xenbr0
iface xenbr0 inet static
pre-up brctl addbr xenbr0
post-down brctl delbr xenbr0
address 10.0.0.1
netmask 255.0.0.0
bridge_fd 0
bridge_hellp 0
bridge_stp off

Die einzelnen Domains eines Server können ohne Probleme über die Bridge kommunizieren. Die IP's entsprechen 10.0.0.0/8 bzw 10.0.1.0/8, analog dazu die Gateways.

Wenn ich nun die tap0 Devices auf beiden Servern zur xenbr0 hinzufüge und dann versuche vom jeweils anderen Server die VM's zu pingen, erhalte ich ein "Destination Host unreachable" (was ja auch logisch ist).
Ich habe schon mittels tcpdump die jeweiligen tap0 Devices abgehört, ob die Pings überhaupt übertragen werden, aber scheinbar kommt es nicht einmal so weit...

[aquajo]

openvpn Config:

Code: Select all

server 192.168.0.0 255.255.255.0
dev tap
proto udp
port 1195

dh /etc/openvpn/easy-rsa/keys/dh1024.pem
ca /etc/openvpn/easy-rsa/keys/ca.crt
key /etc/openvpn/easy-rsa/keys/server.key
cert /etc/openvpn/easy-rsa/keys/server.crt
route 10.0.0.0 255.0.0.0
push "route 10.0.1.0 255.0.0.0"
keepalive 10 60
user nobody

Warum versuchst du da was zu routen?
Du willst doch bridging nutzen, oder?

Hast du 'mal das Vorgehen in dem verlinkten Eintrag bezüglich openvpn probiert (Verschlüsselung könntest du ja zusätzlich aktivieren)

Und was liefert

Code: Select all

brctl show

vor & nach dem hinzufügen des TAP-devices?

[juelz]

Warum versuchst du da was zu routen?
Du willst doch bridging nutzen, oder?

Hast du 'mal das Vorgehen in dem verlinkten Eintrag bezüglich openvpn probiert (Verschlüsselung könntest du ja zusätzlich aktivieren)

Richtig, der Eintrag ist eigentlich schwachsinn.

Ich habe mir die Anleitung mal durchgelesen, sie erscheint mir aber unvollständig, da er zwar 2 bridges einrichtet, aber eine richtig konfiguriert.

Und was liefert

Code: Select all

brctl show

vor & nach dem hinzufügen des TAP-devices?

Es liefert die korrekte Ausgabe. Die beiden tap0 devices sind mit den vif's der Xen VM's zusammen gelistet.

Beim Versuch, manuell die Route für das Netz 10.0.1.0/8 zu setzen, bricht route ab mit der Meldung

Code: Select all

route: netmask doesn't match route address

ich verstehe nur nicht, warum...

[aquajo]

Warum versuchst du da was zu routen?
Du willst doch bridging nutzen, oder?

Hast du 'mal das Vorgehen in dem verlinkten Eintrag bezüglich openvpn probiert (Verschlüsselung könntest du ja zusätzlich aktivieren)

Richtig, der Eintrag ist eigentlich schwachsinn.

Ich habe mir die Anleitung mal durchgelesen, sie erscheint mir aber unvollständig, da er zwar 2 bridges einrichtet, aber eine richtig konfiguriert.

In der Anleitung sind die Bridges für den Internetzugang und für die Interne Kommunikation getrennt, und beide sind ausreichend konfiguriert :)

Und was liefert

Code: Select all

brctl show

vor & nach dem hinzufügen des TAP-devices?

Es liefert die korrekte Ausgabe. Die beiden tap0 devices sind mit den vif's der Xen VM's zusammen gelistet.

Beim Versuch, manuell die Route für das Netz 10.0.1.0/8 zu setzen, bricht route ab mit der Meldung

Code: Select all

route: netmask doesn't match route address

ich verstehe nur nicht, warum...

Weil 10.0.1.0/8 keine gültige Kombination ist.
10.0.1.0/24 wäre möglich, oder 10.0.0.0/8

Außerdem: beim bridging werden keine Routen benötigt.

[juelz]

Ok, ich wollte mich schonmal bei dir bedanken. Ich habs nun hinbekommen. Mein Problem war, dass ich mit den IP Adressen und den Netzmasken durcheinander kam.