Ich werde zunächst eine kurze, unabhängige Erklärung geben, um meiner Frage einen Sinn zu geben:
Ich habe 3 Linux-Boxen mit jeweils 2 x NICs, 1 für die WAN-Schnittstelle und 1 für die LAN-Schnittstelle. Jede Linux-Box hat ein vollständiges öffentliches Subnetz vom ISP, das auf der WAN-Schnittstelle konfiguriert ist, und ich kann über diese Schnittstelle erfolgreich auf das „Internet“ zugreifen.
Was die LAN-Schnittstellen der einzelnen Boxen betrifft, sind sie im Netzwerk 192.168.50.0/24 konfiguriert. Sie sind jedoch vom „Internet“ isoliert und können sich nur gegenseitig erfolgreich anpingen. Der ISP stellt keine NAT/Router-Funktionalität für mein LAN-Netzwerk zur Verfügung.
Um dieses erste Problem zu lösen, habe ich eine vierte Linux-Box (mit 2 x NIC) besorgt und OPNsense installiert. Jetzt habe ich ein „Gateway“ (192.168.50.1) für mein LAN-Netzwerk. Ich habe OpenVPN über OPNsense mit einem Tunnelnetzwerk konfiguriert, das auf 192.168.10.0/24 eingestellt ist. Ich kann mich von einem Remote-Client aus erfolgreich damit verbinden und meinen OPNsense-Server auf seiner privaten IP-Adresse (192.168.50.1) anpingen. Allerdings kann ich nur einige Clients anpingen, die über 1 LAN-NIC verfügen und deren Gateway-Setup die private IP des OPNsense-Servers (192.168.50.1) verwendet.
Die drei ursprünglichen Server (mit 2 x NIC) kann ich immer noch nicht anpingen. Der einzige Unterschied besteht darin, dass für ihre LAN-NIC die Gateway-IP (192.168.50.1) nicht angegeben ist. Wenn ich jedoch versuche, sie hinzuzufügen, wie es bei den anderen Clients funktioniert, ist mein Server völlig unerreichbar und ich muss mich über die Konsole erneut verbinden, um die Gateway-Änderungen rückgängig zu machen. Es scheint, dass Linux 2 Gateways nicht mag und ich bin mir nicht ganz sicher, wie ich das beheben soll, da ich diese drei Server auch erreichen muss.
Bitte beachten Sie, dass das Problem nicht mit OPNsense oder OpenVPN zusammenhängt, da ich einige Clients erreichen kann, bei denen das LAN-Gateway eingerichtet ist. Es liegt vielmehr daran, dass die Konfiguration einer Linux-Box mit zwei Gateways dazu führt, dass der Server vollständig ausfällt.
Ich habe gelesen, dass ich in solchen Fällen eine statische Route konfigurieren muss, aber für mich macht das keinen Sinn. PS: Alle drei Linux-Boxen verwenden Almalinux 8. \
Ich würde mich über jeden Beitrag zu dieser Angelegenheit freuen, danke.
Antwort1
KEIN System mag mehrere aktive STANDARD-Gateways. Ein Standard-Gateway ist per Definition der Standardpfad, um alle unbekannten Netzwerke zu erreichen. Ein unbekanntes Netzwerk ist ein Netzwerk, für das der Server keinen direkteren Pfad in der Routing-Tabelle hat.
Wenn Sie mehr als ein Standard-Gateway haben, MÜSSEN beide Gateways einen Pfad zu denselben Netzwerken haben. In diesem Fall ist dies nicht der Fall und es handelt sich tatsächlich um zwei Gateways, die sich in zwei völlig getrennten Netzwerken befinden. Dies führt dazu, dass Netzwerkpakete über die falschen Netzwerkschnittstellen ausgegeben werden. So lässt sich dies nicht implementieren.
Behalten Sie das Standard-Gateway auf der WAN-Schnittstelle bei und entfernen Sie das Gateway vollständig auf der LAN-Schnittstelle. Richten Sie dann statische Routen für die privaten Subnetzbereiche ein, die vom VPN-Server erreichbar sind, um den nächsten Hop von zu verwenden 192.168.50.1
. In diesem Fall ist das Netzwerk, das eine statische Route benötigt 192.168.10.0/24
, . Dies wird auf den drei Servern mit dualen Schnittstellen durchgeführt.
Der Befehl auf den 3 Servern sieht folgendermaßen aus:
ip route add 192.168.10.0/24 via 192.168.50.1
Dies ist temporär und geht nach einem Neustart verloren. Wie man eine permanente statische Route hinzufügt, ist je nach Linux-Variante unterschiedlich, sollte aber mit Google relativ einfach herauszufinden sein.