Page 1 of 1
2 XEN Server über OpenVPN zu einem VPN verbinden
Posted: 2007-05-08 17:51
by juelz
Hallo,
habe hier 2 PC's mit Debian etch und Xen installiert. Ich wollte die beiden internen Bridges über OpenVPN miteinander verbinden, so dass die VM's der beiden PC's direkt miteinander kommunizieren können. Ich dachte, es reicht, wenn ich dann das tap0 device zur Netzwerkbrücke hinzufüge, jedoch scheint das nicht auszureichen. Was könnte ich falsch gemacht haben, bzw. woran könnte es hängen?
Vielen Dank
Re: 2 XEN Server über OpenVPN zu einem VPN verbinden
Posted: 2007-05-08 23:51
by aquajo
Das sollte eigentlich so funktionieren, ein sehr ähnliches Setup hatte ich auch 'mal.
Sind die tap-Devices wirklich der Bridge hinzugefügt und OpenVPN richtig konfiguriert?
Re: 2 XEN Server über OpenVPN zu einem VPN verbinden
Posted: 2007-05-09 13:03
by juelz
Ich denke, dass OpenVPN korrekt eingerichtet ist, da der Ping in beide Richtungen ohne Probleme funktioniert.
Meiner iptables Firewall muss ich dann noch dem entsprechend mitteilen, dass er jeden Traffic über das tap0 device zulassen soll?!
Re: 2 XEN Server über OpenVPN zu einem VPN verbinden
Posted: 2007-05-09 13:07
by aquajo
Beschreibe 'mal dein Setup
genau.
Ich hatte 'mal das hier
http://www.formann.de/2005/09/xen-netzwerksetup/ beschriebene Setup, und das hat funktioniert.
Re: 2 XEN Server über OpenVPN zu einem VPN verbinden
Posted: 2007-05-09 13:31
by juelz
Also, dann werde ich mal mein Setup genau beschreiben.
Ich habe 2 PC's mit Debian etch und Xen installiert, jeder der Server hat mehrere VM's. Das Ziel ist es, dass die VM's direkt miteinander kommunizieren können.
Code: Select all
PC 1:
öffentliche IP 85.214.49.222
xenbr0 10.0.0.1/8
/
||
/
PC 2:
öffentliche IP 212.227.135.69
xenbr0 10.0.1.1/8
Die Kommunikation beider Netzwerkbrücken miteinander soll über einen gesicherten Tunnel (hier OpenVPN) erfolgen.
Re: 2 XEN Server über OpenVPN zu einem VPN verbinden
Posted: 2007-05-09 13:33
by aquajo
Auch wenn die Beschreibung weit von genau entfernt ist: du willst wahrscheinlich Routen und nicht bridgen.
Und sonst: Liefer brauchbare Daten zum debuggen, oder bezahle jemanden dafür.
Glaskugellesen macht recht wenig Spaß auf Dauer.
Re: 2 XEN Server über OpenVPN zu einem VPN verbinden
Posted: 2007-05-09 14:02
by juelz
Hallo,
die Glaskugel verrät mir auch nicht, was du für Informationen brauchst! Ich habe die öffentlichen IP's oben eingetragen, obwohl ich nicht denke, dass das hier von Relevanz ist!
Wenn du mir also sagen würdest, was du für Informationen benötigst, könnte ich sie dir stellen!
Re: 2 XEN Server über OpenVPN zu einem VPN verbinden
Posted: 2007-05-09 14:20
by aquajo
Aktuelles routing auf beiden Rechnern, openvpn-Config, aktuelle Konfiguration der Bridges,
Netzwerksetup in den Domains, aktuelles Fehlerbild (was funktioniert wie nicht mit welchen Meldungen) usw.
Kurz gesagt: alles was nötig ist das aktuell vorhandene Setup & Fehler vollständig zu beschreiben., das sollte doch eigentlich selbstverständlich sein
Re: 2 XEN Server über OpenVPN zu einem VPN verbinden
Posted: 2007-05-09 18:50
by juelz
Routing PC 1:
Code: Select all
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
default-gw * 255.255.255.255 UH 0 0 0 eth0
192.168.0.0 * 255.255.255.0 U 0 0 0 tap0
10.0.0.0 * 255.0.0.0 U 0 0 0 xenbr0
default default-gw 0.0.0.0 UG 0 0 0 eth0
Routing PC 2:
Code: Select all
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
default-gw * 255.255.255.255 UH 0 0 0 eth0
192.168.0.0 * 255.255.255.0 U 0 0 0 tap0
10.0.1.0 * 255.0.0.0 U 0 0 0 xenbr0
default default-gw 0.0.0.0 UG 0 0 0 eth0
openvpn Config:
Code: Select all
server 192.168.0.0 255.255.255.0
dev tap
proto udp
port 1195
dh /etc/openvpn/easy-rsa/keys/dh1024.pem
ca /etc/openvpn/easy-rsa/keys/ca.crt
key /etc/openvpn/easy-rsa/keys/server.key
cert /etc/openvpn/easy-rsa/keys/server.crt
route 10.0.0.0 255.0.0.0
push "route 10.0.1.0 255.0.0.0"
keepalive 10 60
user nobody
Konfiguration der Bridges (hier nur ein Auszug, der zweite ist, bis auf die Adresse, identisch):
Code: Select all
auto xenbr0
iface xenbr0 inet static
pre-up brctl addbr xenbr0
post-down brctl delbr xenbr0
address 10.0.0.1
netmask 255.0.0.0
bridge_fd 0
bridge_hellp 0
bridge_stp off
Die einzelnen Domains eines Server können ohne Probleme über die Bridge kommunizieren. Die IP's entsprechen 10.0.0.0/8 bzw 10.0.1.0/8, analog dazu die Gateways.
Wenn ich nun die tap0 Devices auf beiden Servern zur xenbr0 hinzufüge und dann versuche vom jeweils anderen Server die VM's zu pingen, erhalte ich ein "Destination Host unreachable" (was ja auch logisch ist).
Ich habe schon mittels tcpdump die jeweiligen tap0 Devices abgehört, ob die Pings überhaupt übertragen werden, aber scheinbar kommt es nicht einmal so weit...
Re: 2 XEN Server über OpenVPN zu einem VPN verbinden
Posted: 2007-05-09 19:07
by aquajo
juelz wrote:openvpn Config:
Code: Select all
server 192.168.0.0 255.255.255.0
dev tap
proto udp
port 1195
dh /etc/openvpn/easy-rsa/keys/dh1024.pem
ca /etc/openvpn/easy-rsa/keys/ca.crt
key /etc/openvpn/easy-rsa/keys/server.key
cert /etc/openvpn/easy-rsa/keys/server.crt
route 10.0.0.0 255.0.0.0
push "route 10.0.1.0 255.0.0.0"
keepalive 10 60
user nobody
Warum versuchst du da was zu routen?
Du willst doch bridging nutzen, oder?
Hast du 'mal das Vorgehen in dem verlinkten Eintrag bezüglich openvpn probiert (Verschlüsselung könntest du ja zusätzlich aktivieren)
Und was liefert
vor & nach dem hinzufügen des TAP-devices?
Re: 2 XEN Server über OpenVPN zu einem VPN verbinden
Posted: 2007-05-09 19:19
by juelz
AquaJo wrote:
Warum versuchst du da was zu routen?
Du willst doch bridging nutzen, oder?
Hast du 'mal das Vorgehen in dem verlinkten Eintrag bezüglich openvpn probiert (Verschlüsselung könntest du ja zusätzlich aktivieren)
Richtig, der Eintrag ist eigentlich schwachsinn.
Ich habe mir die Anleitung mal durchgelesen, sie erscheint mir aber unvollständig, da er zwar 2 bridges einrichtet, aber eine richtig konfiguriert.
AquaJo wrote:
Und was liefert
vor & nach dem hinzufügen des TAP-devices?
Es liefert die korrekte Ausgabe. Die beiden tap0 devices sind mit den vif's der Xen VM's zusammen gelistet.
Beim Versuch, manuell die Route für das Netz 10.0.1.0/8 zu setzen, bricht route ab mit der Meldung
Code: Select all
route: netmask doesn't match route address
ich verstehe nur nicht, warum...
Re: 2 XEN Server über OpenVPN zu einem VPN verbinden
Posted: 2007-05-09 19:23
by aquajo
juelz wrote:AquaJo wrote:
Warum versuchst du da was zu routen?
Du willst doch bridging nutzen, oder?
Hast du 'mal das Vorgehen in dem verlinkten Eintrag bezüglich openvpn probiert (Verschlüsselung könntest du ja zusätzlich aktivieren)
Richtig, der Eintrag ist eigentlich schwachsinn.
Ich habe mir die Anleitung mal durchgelesen, sie erscheint mir aber unvollständig, da er zwar 2 bridges einrichtet, aber eine richtig konfiguriert.
In der Anleitung sind die Bridges für den Internetzugang und für die Interne Kommunikation getrennt, und beide sind ausreichend konfiguriert :)
AquaJo wrote:
Und was liefert
vor & nach dem hinzufügen des TAP-devices?
Es liefert die korrekte Ausgabe. Die beiden tap0 devices sind mit den vif's der Xen VM's zusammen gelistet.
Beim Versuch, manuell die Route für das Netz 10.0.1.0/8 zu setzen, bricht route ab mit der Meldung
Code: Select all
route: netmask doesn't match route address
ich verstehe nur nicht, warum...
Weil 10.0.1.0/8 keine gültige Kombination ist.
10.0.1.0/24 wäre möglich, oder 10.0.0.0/8
Außerdem: beim bridging werden keine Routen benötigt.
Re: 2 XEN Server über OpenVPN zu einem VPN verbinden
Posted: 2007-05-09 19:29
by juelz
Ok, ich wollte mich schonmal bei dir bedanken. Ich habs nun hinbekommen. Mein Problem war, dass ich mit den IP Adressen und den Netzmasken durcheinander kam.