[vpn] Probleme mit dem Routing

Bernd Kalbfuss-Zimmermann kalbfuss at gmx.net
Mi Aug 20 23:04:09 CEST 2014 

Hallo Matthias,

vielen Dank für deine Antwort! Da Quagga schon mal halbwegs läuft, bin 
ich etwas zögerlich auf Bird umzusteigen. Sollte ich jedoch mit Quagga 
nicht weiterkommen, werde ich es auf jeden Fall mit Bird versuchen.

LG,

Bernd

Am 20.08.2014 um 08:24 schrieb Matthias Schiffer:
> On 08/20/2014 08:09 AM, Bernd Kalbfuss-Zimmermann wrote:
>> Hallo Netzwerker,
>>
>> ich bin gerade dabei, den Freifunk Dreiländereck (CH-DE-FR) ins ICVPN zu
>> bringen. Der öffentliche Schlüssel ist bereits im Repo auf github.com
>> (dreilaendereck1). Die tinc-Verbindung steht. Die Peers sind mittels
>> ping erreichbar. Quagga scheint ebenfalls zu laufen. Die Routen werden
>> übertragen und die einzelnen Freifunk-Netze sind aus unserem
>> Freifunk-Netz über das Mesh VPN zu erreichen.
>>
>> Jetzt habe ich allerdings noch folgendes Problem: Da wir ausgehenden
>> WAN-Verkehr über eine VPN-Verbindung anonymisieren, arbeiten wir mit
>> zwei Routing-Tabellen. Bei der Konfiguration des Gateways haben wir uns
>> an den Kollegen aus Hamburg
>> <http://wiki.freifunk.net/Freifunk_Hamburg/Gateway> orientiert. Das
>> Routing der Pakete aus dem Mesh VPN läuft über die Tabelle 42, welche
>> als Default Gateway die VPN-Schnittstelle tun0 definiert. In diese
>> Tabelle lasse ich Quagga auch die angekündigten Routen eintragen
>> (Zusätzlicher Eintrag "table 42" in der zebra.conf").
>>
>> Der Nachteil dieser Lösung ist, dass die Freifunk-Netze damit vom
>> Gateway aus nicht erreichbar sind (da sie in der Routing-Tabelle main
>> fehlen). D.h., ich kann auch zugehörigen DNS-Server nicht erreichen.
>> Leider scheint es keine Möglichkeit zu geben, die Routen von Quagga in
>> beide Tabellen eintragen zu lassen (zumindest habe ich in der
>> Dokumentation für Quagga nichts gefunden). Eine weiterer "table"-Eintrag
>> in der zebra.conf überschreibt lediglich den letzten Wert.
>>
>> Wie kann ich dieses Problem möglichst elegant lösen? Hat jemand einen
>> Vorschlag? Mir scheint, es gibt wenigstens zwei Ansätze:
>>
>> a) Vom Gateway ausgehende Pakete an Freifunk-Netze / Nicht-WAN-Netze
>> (z.B. 10.x.y.z) prinzipiell auf die Tabelle 42 umleiten
>> b) Die beiden Tabellen (z.B. mittels eines Skripts) regelmäßig
>> synchroniseren
>>
>> Meinungen? Alternativen?
>>
>> LG,
>>
>> Bernd
>>
> Also, in Lübeck benutzen wir einfach Bird statt Quagga, der kann
> problemlos seine Routen in beide Kernel-Tabellen pumpen. Insgesamt ist
> die Bird-Config um Größenordnungen mächtiger; der einzige Nachteil von
> Bird ist, dass man separate Daemons und somit auch separate Configs und
> Peerings für IPv4 und IPv6 braucht (das soll sich aber irgendwann in
> einer zukünftigen Bird-Version ändern, aber das wird noch ein bisschen
> dauern...)
>
> Grüße,
> Matthias
>
>

Mehr Informationen über die Mailingliste vpn