[solved] Routing Probleme

Bob.Dig

Anscheinend habe ich hier wieder eine Wissenslücke betreffend Routing...

Folgendes hatte ich bisher erfolgreich im Einsatz:

Links ist mein zu Hause, rechts ein VPS.

Beide Emailserver konnten "lokal" miteinander sprechen. Es wird nicht geNATet und es gibt entsprechende Routen in beiden Sensen.

Nun hab ich folgendes gebastelt:
geht nicht.png

Leider können die beiden Emailserver jetzt nicht mehr "lokal" kommunizieren und ich steh auf dem Schlauch.

Ich bin davon ausgegangen, dass es reicht, jeweils eine zweite Route mit dem gleichen Gateway zu setzen, aber es geht nicht.
Ich selbst kann von der Sense oben links alle Hosts erreichen.
Alle sind weiterhin per LAN bzw. VPN verbunden, WAN wird dafür nicht genutzt.
Alle Regeln sind mit allow any, daher gehe ich davon aus, dass ich beim Routing etwas nicht bedacht habe, da noob.

viragomann

@Bob-Dig said in Routing Probleme:

Ich bin davon ausgegangen, dass es reicht, jeweils eine zweite Route mit dem gleichen Gateway zu setzen, aber es geht nicht.

Weiß nicht, was du damit meinst. Die Route zum Haus Server brauchst du rechts mit Gateway links oben und links oben mit Gateway links unten.
Das sollte reichen, wenn links oben das Default Gateway für links unten ist, wie es aussieht.

NOCling

Wenn du die RFC1918 Netzte noch dran schreiben würdest und das was aktuell im Routing vorhanden ist, könnte man den Fehler sehen.

So aber wissen wir zwar was du vor hast, aber nicht was du wie routest.

Bob.Dig

@viragomann said in Routing Probleme:

Das sollte reichen, wenn links oben das Default Gateway für links unten ist, wie es aussieht.

Also ein Default Gateway nutze ich hier nicht bei der Verbindung der Emailserver untereinander, das soll alles über statische Routen laufen. Wie gesagt, ich oben links, komme überall hin.

@NOCling Bild oben wird in einer Sekunde aktualisiert.

Hier exemplarisch das Routing von rechts oben. Leider habe ich Aliase genutzt, die doof zu lesen sind. Konnte ja keiner ahnen, dass die S... nicht läuft.
routing prox2.PNG
Und da es nicht funktioniert hat, habe ich weiter Sachen ergänzt... geholfen hat es nicht.

Nun unten rechts.

viragomann

@Bob-Dig
Du hast auf dem Heim-Server kein Default Gateway für die Verbindung zum Internet eingestellt?
Ich würde annehmen, er verwendet 172.17.2.1 und dieser Router wiederum verwendet 10.3.11.2 und dieser hat dann ein Gateway zum Internet.

Falls nicht, bräuchte es auch die Routen in die andere Richtung.

Bob.Dig

@viragomann said in Routing Probleme:

@Bob-Dig
Du hast auf dem Heim-Server kein Default Gateway für die Verbindung zum Internet eingestellt?

Für Internet schon, aber die Email Server sollen "lokal" miteinander kommunizieren, komplett ohne das Default Gateway, also ohne irgendeinen WAN-Port, und auch ohne NAT.

viragomann

@Bob-Dig
Ja, ist schon klar. Aber wenn der Haus Server eine Route zum Internet (Default Route) hat, reicht das.

Wenn er sich zu 172.16.33.10 verbinden möchte, schickt er das Paket zu seinem Default Gateway (wenn er keine explizitere Route dafür hat).
Das sollte 172.17.2.1 sein. Dieser Router verhält sich gleich, und dessen Default Gateway müsste 10.3.11.2 sein.
Dieser hat nun aber eine Route für die Ziel-IP und zwar über die VPN, und diese verwendet er nun.
Natürlich geht der Traffic dann über die VPN.

Bob.Dig

HIer mal die Routingtabelle von rechts oben

default            172.16.47.1    UGS        8    1500    vtnet0 
10.3.9.2/31        link#7        U        6    1420    tun_wg0 
10.3.9.3        link#4        UHS        7    16384    lo0 
10.3.11.2/31    10.3.9.2    UGS        9    1420    tun_wg0 
127.0.0.1        link#4        UH        4    16384    lo0 
172.16.32.0/24    link#2        U        1    1500    vtnet1 
172.16.32.1        link#4        UHS        2    16384    lo0 
172.16.33.0/24    link#8        U        10    1500    vtnet1.33 
172.16.33.1        link#4        UHS        11    16384    lo0 
172.16.47.0/24    link#1    U    3    1500    vtnet0 
172.16.47.2    link#4    UHS    5    16384    lo0 
172.17.0.0/20    10.3.9.2    UGS    9    1420    tun_wg0 
192.168.0.0/16    10.3.9.2    UGS    9    1420    tun_wg0

Wer einen Befehl kennt, der einen schöneren Output macht...

Bob.Dig

@viragomann said in Routing Probleme:

Das sollte 172.17.2.1 sein. Dieser Router verhält sich gleich, und dessen Default Gateway müsste 10.3.11.2 sein.

Fast, 10.3.11.2 ist ein LAN-Gateway, ohne NAT etc.

viragomann

@Bob-Dig
Da hast du wohl eine falsche Route für die Remoteseite eingetragen. 172.17.0.0/20 ist bei dir zuhause. 172.16.33.x ist remote.
172.17.0.0/20 musst du dann noch auf 10.3.11.3 routen.

Bob.Dig

@viragomann Wo bist Du gerade?

viragomann

@Bob-Dig
Ahja, sorry. links, rechts verwechselt. °°

Bob.Dig

@viragomann said in Routing Probleme:

Da hast du wohl eine falsche Route für die Remoteseite eingetragen. 172.17.0.0/20 ist bei dir zuhause.

Nicht ganz, 172.17.0.0/20 ist unten links und eine eigene pfSense hinter der pfSense die zu Hause oben links ist.

Bob.Dig

Sag mir doch mal einer, wie exemplarisch die statischen Routen oben rechts aussehen sollten, müsste doch schnell gehen. ;)

viragomann

@Bob-Dig
Gut, rechts hätte ich auch keine Schwierigkeiten vermutet.

Die Routing Tabellen vom Heim könnten eher Hinweise geben.

Bob.Dig

@viragomann said in Routing Probleme:

Die Routing Tabellen vom Heim könnten eher Hinweise geben.

Heim wäre oben links und da geht ganz schön die Post ab. Auch kann ich von Heim eh alles erreichen, vermutlich wird dort also kein Problem sein?

Ich poste mal lieber von unten links.

Bob.Dig

Das ist übrigens der Output, wenn ich traceroute von oben rechts versuche.

 1 traceroute: wrote 172.17.2.1 48 chars, ret=-1
 127.0.0.1  1.104 ms !Htraceroute: wrote 172.17.2.1 48 chars, ret=-1
  0.532 ms !Htraceroute: wrote 172.17.2.1 48 chars, ret=-1
  0.300 ms !H

Bob.Dig

Wo liegt denn nun mein Fehler bzw. wie müssten die statischen Routen aussehen?

viragomann

@Bob-Dig
Bei deiner Routingtabelle steige ich aus. Ist mir zu hoch. Aber vielleicht kannst du es ja erklären:
10.3.9.2/31 ist am gateway 10.3.11.2? Ich würde sagen, das ist das LAN Interface. Ist das normal bei Wireguard? Hab da aktuell keine Installation.

Von diesen Anmerkungen hätte ich noch ein paar geschrieben, dann habe ich aber erkannt, dass das nur die Routingtabelle von links Mitte sein kann.
War das ein Test??

Das ist übrigens der Output, wenn ich traceroute von oben rechts versuche.

1 traceroute: wrote 172.17.2.1 48 chars, ret=-1
127.0.0.1 1.104 ms !Htraceroute: wrote 172.17.2.1 48 chars, ret=-1
0.532 ms !Htraceroute: wrote 172.17.2.1 48 chars, ret=-1
0.300 ms !H

Sieht ziemlich seltsam aus. Hat es da ein paar Zeichen durcheinander gehauen?
Da sollte jedenfalls entsprechend der Routen 10.3.9.2 als nächster Hop stehen.

Bob.Dig

Arg..... ich Idiot. Ich hab die WG-VPN-Verbindung nicht angepasst, hier fehlen noch allowed IPs . Werde ich mich morgen drum kümmern. Danke an alle, die versucht haben zu helfen.