Ich versuche das jetzt mal für mich aufzudröseln und ich glaube ich weiß auch wo der Haken liegt, aber mir fehlt das Wissen wie ich das gerade gebogen bekomme.
Ich habe ja bislang nur ein „Gateway“ was im IC-VPN angebunden ist. Insgesamt haben wir aber 3 Gateways. Alle samt mit Schweden Tunnel. Traffic von den Knoten schlägt auf den Gateways auf und wird 0x1 getaggt und landet in der Routing Table 42. In allen Tables habe ich manuell folgendes gemacht:
ip route add 10.0.0.0/8 via 10.134.10.1 dev br-ffue table 42
ip route add 172.20.0.0/16 via 10.134.10.1 dev br-ffue table 42
ip route add 172.22.0.0/15 via 10.134.10.1 dev br-ffue table 42
Sprich Anfragen an die Adressenbereiche die im IC-VPN vorhanden sind rüber zum Gateway weiter schieben.
Auf dem Gateway mit 10.134.10.1 läuft der Bird und schmeißt seine Routen ebenfalls in die dortige Table 42. Ausgehend scheints zu funktionieren und die Antworten kommen auch zurück. Warum auch immer.
Wenn jetzt aber ein Paket aus dem IC-VPN zu einem meiner Gateways direkt will, kommt es da an, aber wird über das Default GW beantwortet. Ist ja auch logisch, weil die default Routing Tabelle ja gar keine Routen zu zu den Netzen im IC-VPN kennt.
default via 31.214.242.1 dev eth0
10.7.0.81 dev tun0 proto kernel scope link src 10.7.0.82
10.134.0.0/16 dev br-ffue proto kernel scope link src 10.134.10.1
10.207.0.0/16 dev icvpn proto kernel scope link src 10.207.0.18
31.214.242.0/24 dev eth0 proto kernel scope link src 31.214.242.185
Die Routen welche mir Bird in die Table 42 schreibt müssten also auch nochmal in der normalen Routing Tabelle eingetragen werden. Kann ich Bird dazu veranlassen?
root@uegw1:/home/marc-andre# iptables -L -n -v -t nat
Chain PREROUTING (policy ACCEPT 600K packets, 44M bytes)
pkts bytes target prot opt in out source destination
Chain INPUT (policy ACCEPT 372K packets, 30M bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 814K packets, 56M bytes)
pkts bytes target prot opt in out source destination
Chain POSTROUTING (policy ACCEPT 604K packets, 40M bytes)
pkts bytes target prot opt in out source destination
261K 20M MASQUERADE all -- * tun0 0.0.0.0/0 0.0.0.0/0
Meine Mutter hat gemangelt. Ich nicht. Nein Spaß bei Seite. Die Config ist so von Münster mal abgekupfert worden. Mit der Aussage das dann DNS Anfragen auch über das VPN raus laufen. Und das tun sie auch.
Done…Aber scheinst kein Ping mehr laufen zu haben.