Nerviges Routing-Problem bei Bridging in VMware / OpenVPN
Verfasst: 18.08.2010, 17:07
Hallo zusammen,
schlage mich seit einigen Wochen (seit einer Neuinstallation) mit einem seltsamen Routing-Problem herum. Ich habe eigentlich eine Skizze meiner Netzwerktopologie vorbereitet, aber es klappt hier nicht mit dem Upload, also hier in Woten:
Es gibt ein paar Rechner(PC1, PC2, PC3), die an einer Fritzbox (192.168.10) hängen, von denen der als Server bezeichnete PC1 (statische Adresse 192.168.0.1) durchgängig läuft . Auf allen Rechnern läuft Windows XP Pro.
Bestimmte Serverdienste wie Emailserver werden auf einer VMWare Server 2 VM auf dem PC1 ausgeführt (ebenfalls unter XP Pro), die über Bridging "angeschlossen" ist. Die virtuelle Maschine ist vom Router aus unter der statischen IP 192.168.0.8 sichtbar und ansprechbar.
Auf dem Server PC1 (Host) läuft außerdem auch OpenVPN (im sog. Routing-Modus), d.h. der VPN-Tunnel nach draußen hat ein separates Subnetz 10.8.0.xx. Hierauf wird von einem weiteren PC (MobilPC) zugegriffen. Ich habe im Router für die Pakete aus dem VPN-Sutznetz (10.8.0.xx) eine statische Route auf den PC1 eingerichtet. Die Routen auf PC1 und dem mobilen PC werden beim VPN-Start durch OpenVPN eingerichtet (gepushed). IP-Forwarding ist auf dem Server durch den entsprechenden Registry-Eintrag aktiviert, die Windows-Firewall ist im Moment für die betroffenen Karten abgeschaltet.
Diese Konfiguration hatte wie gesagt eigentlich mal komplett funktioniert, nach einem Neuaufsetzen des Servers klappt aber der Zugriff vom MobilPC auf die virtuelle Maschine via VPN nicht (der Zugriff auf alle anderen PCs geht, auch über VPN), d.h. ping 192.168.0.8 auf dem MobilPC klappt nicht oder genauer gesagt nur einmal und dann längere Zeit nicht.
Tracert 192.168.0.8 zeigt, dass der Server PC1 über den VPN-Tunnel schon erreicht wird, aber dann hakt es offenbar mit der Weiterleitung auf die auf demselben Rechner laufende VM.
Da es mir komisch vorkam, dass es bei ersten Ping klappt und dann nicht (und dann etliche Minuten nicht mehr), habe ich den Netzwerkverkehr auf PC1 mit Wireshark untersucht. Es stellte sich heraus, dass die Fritzbox nach dem ersten Ping für die Adresse mit 192.168.0.8 ein ICMP Redirect-Kommando mit dem Umleitungsziel 192.168.0.1 (Server PC) an den Server-PC sendet. Danach klappt offenbar gar nichts mehr.
Soweit ich das verstehe (bin da kein Experte), kommt das ICMP-Redirect des Routers eigentlich nicht unerwartet, da die auf dem Server aus dem VPN-Tunnel eintreffenden Pakete an 192.168.0.8 ja tatsächlich direkt innerhalb des Server PC1 weitergeleitet werden könnten. Irgendwie scheint es jedoch damit zu haken, dass der Server PC1 die Pakete aus dem VPN unmittelbar an die VM weiterleiten kann.
Irgendeine Idee?
Ich habe hier im Forum von Problemen mit Intel-Netzwerkchips und Bridging gelesen (es ist ein Intel Mainboard), der Tip mit dem Registry-Eintrag MonitorModeEnabled hat leider nichts gebracht.
Ich könnte natürlich auch versuchen, die Kommunikation mit der VM im NAT-Modus anstelle von Bridging aufzusetzen, aber eigentlich dürfte es so doch auch mit Bridging nicht unmöglich sein, zumal es ja früher mal lief??
Vielen Dank für die Hilfe im Voraus,
Joachim
schlage mich seit einigen Wochen (seit einer Neuinstallation) mit einem seltsamen Routing-Problem herum. Ich habe eigentlich eine Skizze meiner Netzwerktopologie vorbereitet, aber es klappt hier nicht mit dem Upload, also hier in Woten:
Es gibt ein paar Rechner(PC1, PC2, PC3), die an einer Fritzbox (192.168.10) hängen, von denen der als Server bezeichnete PC1 (statische Adresse 192.168.0.1) durchgängig läuft . Auf allen Rechnern läuft Windows XP Pro.
Bestimmte Serverdienste wie Emailserver werden auf einer VMWare Server 2 VM auf dem PC1 ausgeführt (ebenfalls unter XP Pro), die über Bridging "angeschlossen" ist. Die virtuelle Maschine ist vom Router aus unter der statischen IP 192.168.0.8 sichtbar und ansprechbar.
Auf dem Server PC1 (Host) läuft außerdem auch OpenVPN (im sog. Routing-Modus), d.h. der VPN-Tunnel nach draußen hat ein separates Subnetz 10.8.0.xx. Hierauf wird von einem weiteren PC (MobilPC) zugegriffen. Ich habe im Router für die Pakete aus dem VPN-Sutznetz (10.8.0.xx) eine statische Route auf den PC1 eingerichtet. Die Routen auf PC1 und dem mobilen PC werden beim VPN-Start durch OpenVPN eingerichtet (gepushed). IP-Forwarding ist auf dem Server durch den entsprechenden Registry-Eintrag aktiviert, die Windows-Firewall ist im Moment für die betroffenen Karten abgeschaltet.
Diese Konfiguration hatte wie gesagt eigentlich mal komplett funktioniert, nach einem Neuaufsetzen des Servers klappt aber der Zugriff vom MobilPC auf die virtuelle Maschine via VPN nicht (der Zugriff auf alle anderen PCs geht, auch über VPN), d.h. ping 192.168.0.8 auf dem MobilPC klappt nicht oder genauer gesagt nur einmal und dann längere Zeit nicht.
Tracert 192.168.0.8 zeigt, dass der Server PC1 über den VPN-Tunnel schon erreicht wird, aber dann hakt es offenbar mit der Weiterleitung auf die auf demselben Rechner laufende VM.
Da es mir komisch vorkam, dass es bei ersten Ping klappt und dann nicht (und dann etliche Minuten nicht mehr), habe ich den Netzwerkverkehr auf PC1 mit Wireshark untersucht. Es stellte sich heraus, dass die Fritzbox nach dem ersten Ping für die Adresse mit 192.168.0.8 ein ICMP Redirect-Kommando mit dem Umleitungsziel 192.168.0.1 (Server PC) an den Server-PC sendet. Danach klappt offenbar gar nichts mehr.
Soweit ich das verstehe (bin da kein Experte), kommt das ICMP-Redirect des Routers eigentlich nicht unerwartet, da die auf dem Server aus dem VPN-Tunnel eintreffenden Pakete an 192.168.0.8 ja tatsächlich direkt innerhalb des Server PC1 weitergeleitet werden könnten. Irgendwie scheint es jedoch damit zu haken, dass der Server PC1 die Pakete aus dem VPN unmittelbar an die VM weiterleiten kann.
Irgendeine Idee?
Ich habe hier im Forum von Problemen mit Intel-Netzwerkchips und Bridging gelesen (es ist ein Intel Mainboard), der Tip mit dem Registry-Eintrag MonitorModeEnabled hat leider nichts gebracht.
Ich könnte natürlich auch versuchen, die Kommunikation mit der VM im NAT-Modus anstelle von Bridging aufzusetzen, aber eigentlich dürfte es so doch auch mit Bridging nicht unmöglich sein, zumal es ja früher mal lief??
Vielen Dank für die Hilfe im Voraus,
Joachim
