Multihomed server over vpn - Netwerken

maandag 16 februari 2009 11:20

Acties:

Is handig met dinges

Topicstarter

Ik zit met het volgende,
Afbeeldingslocatie: http://akio.gene-it.nl/~midas/ipsec.gif

Vanaf kantoor loopt een ipsec verbinding naar onze colo in amsterdam. Hiervandaan wordt het verkeer naar een aparte switch gezet waar onderandere de exchange server aanhangt.Deze zou bereikbaar moeten zijn op 172.16.1.1, maar deze hangt ook nog via een aparte lijn naar het internet.Hierdoor krijg ik via de vpn lijn niets terug naar kantoor. Logisch gezien probeert de exchange server via zijn internet verbinding naar 172.16.1.x te routen.
Mijn vraag is hoe ik dit het makkelijkst oplos en hoe jullie met multihomed servers omgaan.

Hacktheplanet / PVOutput

maandag 16 februari 2009 12:41

Acties:

Phreak

KTM SuperDuke

Je zou denk ik een static route moeten invoeren op je exchange bak.
Zodat hij weet via welke gateway hij terug moet richting je vpn.
Het verkeer komt wel aan bij je exchange bak maar weet de weg terug niet.

Blyatifull

maandag 16 februari 2009 16:57

Acties:

Midas.e

Is handig met dinges

Topicstarter

Met het volgende commando kwam ik niet veel verder: route add 172.16.1.0 MASK 255.255.255.0 172.16.1.254 IF 2
Sla ik hier een stap over?

Hacktheplanet / PVOutput

maandag 16 februari 2009 17:30

Acties:

Leon T

Ni!

Je moet je range van je eigen werkstation hebben. Dus op de exchange server: route add 172.1.25.0 mask 255.255.255.0 172.16.1.254 (als .254 de gateway van de ipsec tunnel aan de dc kant is).

maandag 16 februari 2009 20:12

Acties:

Fish

How much is the fish

je moet dit geintje aan beide kanten doen. ik vermoed dat jou kantoorpc normaliter via een andere verbinding het intenet dan de genoemde ipsec op gaat ?

Iperf

dinsdag 17 februari 2009 10:54

Acties:

Phreak

KTM SuperDuke

fish schreef op maandag 16 februari 2009 @ 20:12:
je moet dit geintje aan beide kanten doen. ik vermoed dat jou kantoorpc normaliter via een andere verbinding het intenet dan de genoemde ipsec op gaat ?

Dit lijkt me niet, aangezien je via je vpn client een ipadres en gateway krijgt van de range waar de exchange server draait.
Hij kan wel heen maar niet terug.
Wat Leon T zegt klopt volgens mij wel.
Je moet aangeven naar welke ip range je wilt en dan de vpn-gateway kiezen aan de kant van de exchange server.

Blyatifull

donderdag 19 februari 2009 10:43

Acties:

Midas.e

Is handig met dinges

Topicstarter

Na een paar dagen spelen met de ipsec tunnel heb ik nu rare resultaten.
Vanaf de remote hosts naar kantoor pingen/traceroutes geen probleem, vanaf kantoor naar remote stopt ie bij de remote router.
Nog toevoegend de routes,

code:

[root@gateway ~]# ip route
62.132.250.0/29 dev eth0  proto kernel  scope link  src 62.132.x.x
172.16.1.0/24 via 172.25.1.254 dev eth1  scope link
172.25.1.0/24 dev eth1  proto kernel  scope link  src 172.25.1.254
default via 62.132.x.x dev eth0

en remote:

code:

[root@gateway ~]# ip route
85.17.117.0/24 dev eth0  proto kernel  scope link  src 85.17.x.x
172.16.1.0/24 dev eth1  proto kernel  scope link  src 172.16.1.254
172.25.1.0/24 via 172.16.1.254 dev eth1  scope link
default via 85.17.x.x dev eth0

traceroute vanaf remote naar kantoor:

code:

traceroute to 172.25.1.18 (172.25.1.18), 30 hops max, 40 byte packets
 1  172.16.1.254 (172.16.1.254)  4.836 ms  0.125 ms  0.109 ms
 2  * * *
 3  172.25.1.18 (172.25.1.18)  11.456 ms  11.511 ms  10.801 ms

en 172.25.1.18 is mijn werkstation.

nu vanaf werkstation naar zelfte machine remote:

code:

Bezig met het traceren van de route naar 172.16.1.50 via maximaal 30 hops

  1   <1 ms   <1 ms   <1 ms  172.25.1.254
  2    11 ms    11 ms    11 ms  85.17.117.*
  3     *        *        *     Time-out bij opdracht.
  4     *     ^C

Dit gaat door tot ik 30 hops heb gehad.

[ Voor 31% gewijzigd door Midas.e op 19-02-2009 10:50 ]

Hacktheplanet / PVOutput

vrijdag 20 februari 2009 08:15

Acties:

TrailBlazer

Karnemelk FTW

De traceroute stopt niet bij je laatste hop maar bij de machine waar de laatst zichtbare hop het verkeer heen stuurt.
Doe gewoon eens even route print op beide machines en post dat hier. Volgens mij is de static op je exchange server niet goed namelijk.
route add 172.16.25.0 MASK 255.255.255.0 172.16.1.254 IF 2

zaterdag 21 februari 2009 17:13

Acties:

Midas.e

Is handig met dinges

Topicstarter

Windows werkstation routes:

code:

Actieve routes:
Netwerkadres               Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0     172.25.1.254     172.25.1.18       20
        127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1       1
       172.16.1.0    255.255.255.0     172.25.1.254     172.25.1.18       1
       172.25.1.0    255.255.255.0      172.25.1.18     172.25.1.18       20
      172.25.1.18  255.255.255.255        127.0.0.1       127.0.0.1       20
   172.25.255.255  255.255.255.255      172.25.1.18     172.25.1.18       20
        224.0.0.0        240.0.0.0      172.25.1.18     172.25.1.18       20
  255.255.255.255  255.255.255.255      172.25.1.18     172.25.1.18       1
Standaard-gateway:      172.25.1.254
===========================================================================

Linux machine op zelfte netwerk als exchange server:

code:

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
localnet        *               255.255.255.0   U     0      0        0 eth0
172.16.1.0      *               255.255.255.0   U     0      0        0 eth1
172.25.1.0      172.16.1.254    255.255.255.0   UG    0      0        0 eth1
default         gi7-0.hsrp.sbp. 0.0.0.0         UG    0      0        0 eth0

Linux machine traceroute en ping:

code:

:~$ ping 172.25.1.18
PING 172.25.1.18 (172.25.1.18) 56(84) bytes of data.
64 bytes from 172.25.1.18: icmp_seq=1 ttl=126 time=13.9 ms
64 bytes from 172.25.1.18: icmp_seq=2 ttl=126 time=22.9 ms

--- 172.25.1.18 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1002ms
rtt min/avg/max/mdev = 13.949/18.438/22.927/4.489 ms
:~$ traceroute 172.25.1.18
traceroute to 172.25.1.18 (172.25.1.18), 30 hops max, 40 byte packets
 1  172.16.1.254 (172.16.1.254)  0.321 ms  0.108 ms  0.085 ms
 2  * * *
 3  172.25.1.18 (172.25.1.18)  18.704 ms  19.415 ms  81.045 ms

Windows traceroute en ping:

code:

Pingen naar 172.16.1.50 met 32 byte gegevens:

Time-out bij opdracht.
Time-out bij opdracht.
Time-out bij opdracht.
Time-out bij opdracht.

Ping-statistieken voor 172.16.1.50:
    Pakketten: verzonden = 4, ontvangen = 0, verloren = 4
    (100% verlies).
C:\Documents and Settings\midas.fuld>tracert 172.16.1.50

Bezig met het traceren van de route naar 172.16.1.50 via maximaal 30 hops

  1   <1 ms   <1 ms   <1 ms  172.25.1.254
  2    11 ms    11 ms    11 ms  85.17.117.219
  3     *        *        *     Time-out bij opdracht.
  4     *        *        *     Time-out bij opdracht.
  5     *        *        *     Time-out bij opdracht.
  6     *        *        *     Time-out bij opdracht.
  7     *        *        *     Time-out bij opdracht.
  8     *        *     ^C

Ping en trace vanaf de gateways is geen probleem. Van het remote netwerk > intern, geen probleem. Intern > remote, geen reply.

Hacktheplanet / PVOutput

zaterdag 21 februari 2009 18:06

Acties:

Leon T

Ni!

Je router aan de kant van je workstation kent de interne route zo te zien niet. Daar ook toevoegen.

zaterdag 21 februari 2009 18:31

Acties:

Midas.e

Is handig met dinges

Topicstarter

code:

62.132.250.0/29 dev eth0  proto kernel  scope link  src 62.132.250.2
172.16.1.0/24 via 172.25.1.254 dev eth1  scope link
172.25.1.0/24 dev eth1  proto kernel  scope link  src 172.25.1.254
default via 62.132.250.1 dev eth0

172.25.1.254 is hijzelf. Lijkt mij dat de router aan de interne kant de route weldegelijk kent?

Hacktheplanet / PVOutput

dinsdag 24 februari 2009 16:44

Acties:

Midas.e

Is handig met dinges

Topicstarter

Ik ben er helaas nogsteeds niet achter wat het probleem hier is, iemand die een lampje heeft?

Hacktheplanet / PVOutput

dinsdag 24 februari 2009 21:48

Acties:

Fish

How much is the fish

hebben beide machines de zelfde naam ? -> [root@gateway

Iperf