[vpn] Probleme mit dem Routing

Bernd Kalbfuss-Zimmermann kalbfuss at gmx.net
Mi Aug 20 08:09:31 CEST 2014 

Hallo Netzwerker,

ich bin gerade dabei, den Freifunk Dreiländereck (CH-DE-FR) ins ICVPN zu 
bringen. Der öffentliche Schlüssel ist bereits im Repo auf github.com 
(dreilaendereck1). Die tinc-Verbindung steht. Die Peers sind mittels 
ping erreichbar. Quagga scheint ebenfalls zu laufen. Die Routen werden 
übertragen und die einzelnen Freifunk-Netze sind aus unserem 
Freifunk-Netz über das Mesh VPN zu erreichen.

Jetzt habe ich allerdings noch folgendes Problem: Da wir ausgehenden 
WAN-Verkehr über eine VPN-Verbindung anonymisieren, arbeiten wir mit 
zwei Routing-Tabellen. Bei der Konfiguration des Gateways haben wir uns 
an den Kollegen aus Hamburg 
<http://wiki.freifunk.net/Freifunk_Hamburg/Gateway> orientiert. Das 
Routing der Pakete aus dem Mesh VPN läuft über die Tabelle 42, welche 
als Default Gateway die VPN-Schnittstelle tun0 definiert. In diese 
Tabelle lasse ich Quagga auch die angekündigten Routen eintragen 
(Zusätzlicher Eintrag "table 42" in der zebra.conf").

Der Nachteil dieser Lösung ist, dass die Freifunk-Netze damit vom 
Gateway aus nicht erreichbar sind (da sie in der Routing-Tabelle main 
fehlen). D.h., ich kann auch zugehörigen DNS-Server nicht erreichen. 
Leider scheint es keine Möglichkeit zu geben, die Routen von Quagga in 
beide Tabellen eintragen zu lassen (zumindest habe ich in der 
Dokumentation für Quagga nichts gefunden). Eine weiterer "table"-Eintrag 
in der zebra.conf überschreibt lediglich den letzten Wert.

Wie kann ich dieses Problem möglichst elegant lösen? Hat jemand einen 
Vorschlag? Mir scheint, es gibt wenigstens zwei Ansätze:

a) Vom Gateway ausgehende Pakete an Freifunk-Netze / Nicht-WAN-Netze 
(z.B. 10.x.y.z) prinzipiell auf die Tabelle 42 umleiten
b) Die beiden Tabellen (z.B. mittels eines Skripts) regelmäßig 
synchroniseren

Meinungen? Alternativen?

LG,

Bernd
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <http://lists.freifunk.net/pipermail/vpn-freifunk.net/attachments/20140820/f54a3cbc/attachment.html>

Mehr Informationen über die Mailingliste vpn