Das gehört auf dem weiterleitenden US Server ausgeführt und natürlich musst Du Dein Interface anpassen, vermutlich eth0.
Routing: VPN-Root(GER)-vServer(USA)
- Thread starter AllOnline
- Start date
natürlich habe ich das auf dem US-Server ausgeführt und selbstverständlich auch das Interface angepasst, deswegen habe ich die Interfaces vom US-Server auch direkt mit gepostet.
Aber etwas unglücklich Formulierung, Shroewall conf habe ich vom de auf us server kopiert, das wollte ich sagen ;-)
Aber etwas unglücklich Formulierung, Shroewall conf habe ich vom de auf us server kopiert, das wollte ich sagen ;-)
Also mit masq scheint alles zu gehen, habe gerade auf dem US-Server einen OpvenVPn-Server eingerichtet, mich mit dem clienten direkt auf dem US-Server verbunden (OpenVPN) und das geht alles!
Also liegt es am Routing!
Jemand eine Idee, wie ich das Routing richtig mache, wo dran kann es liegen?
Doch Routing schleife?
Also liegt es am Routing!
Jemand eine Idee, wie ich das Routing richtig mache, wo dran kann es liegen?
Doch Routing schleife?
Last edited by a moderator:
Habe jetzt folgendes sehr kurioses Konstrukt:
1. De-Server
Hostet 3 OpenVPN-Server:
tun1 10.8.0.1 tcp verbindungen
tun2 10.7.0.1 udp verbindungen
tun3 10.11.0.1 udp-Verbindung zu us server
2. US-Server
Hostet 2 OpenVPn-Server und ist client eines VPN-Netzwerkes (zu testzwekcen ob masq funktioniert)
tun0 addr:10.11.0.6 P-t-P:10.11.0.5
tun1 10.9.0.1 tcp verbindung
tun2 10.10.0.1 udp verbindung
Zu lösen:
1. Alle Clients sollen sich egal in welchem Netzwerk verständigen können.
2. Auf dem de-Server werden routen zu bestimmten externen US-Server gesetzt über us-server
3. Falls keine route ist verbindungspunkt = ausgangspunkt
3. ist das einzige was bisher funktioniert.
So habe ich es bisher probier:
Der Ping zwischen den beiden 10.11.0.x geht natürlich, auch vom clienten aus!
Die Netze 9 und 10 sind nicht erreichbar!
Der US-Server erreicht komierschweise alle netzt, 7,8,9,10,11
Zusammenfassend, die Netze auf dem US-Server, 9 und 10 sind nicht erreichbar, alles andere geht...
Was mache ich falsch, warum geht es nur in eine Richtung?
Wo liegt der Fehler auf dem US oder auf dem De Server??
Danke euch!
1. De-Server
Hostet 3 OpenVPN-Server:
tun1 10.8.0.1 tcp verbindungen
tun2 10.7.0.1 udp verbindungen
tun3 10.11.0.1 udp-Verbindung zu us server
2. US-Server
Hostet 2 OpenVPn-Server und ist client eines VPN-Netzwerkes (zu testzwekcen ob masq funktioniert)
tun0 addr:10.11.0.6 P-t-P:10.11.0.5
tun1 10.9.0.1 tcp verbindung
tun2 10.10.0.1 udp verbindung
Zu lösen:
1. Alle Clients sollen sich egal in welchem Netzwerk verständigen können.
2. Auf dem de-Server werden routen zu bestimmten externen US-Server gesetzt über us-server
3. Falls keine route ist verbindungspunkt = ausgangspunkt
3. ist das einzige was bisher funktioniert.
So habe ich es bisher probier:
Code:
DE-Server
Kernel-IP-Routentabelle
Ziel Router Genmask Flags Metric Ref Use Iface
10.11.0.2 * 255.255.255.255 UH 0 0 0 tun3
10.8.0.2 * 255.255.255.255 UH 0 0 0 tun1
10.7.0.2 * 255.255.255.255 UH 0 0 0 tun2
localnet * 255.255.255.224 U 0 0 0 eth0
10.8.0.0 10.8.0.1 255.255.255.0 UG 0 0 0 tun1
10.7.0.0 10.7.0.1 255.255.255.0 UG 0 0 0 tun2
10.11.0.0 10.11.0.1 255.255.255.0 UG 0 0 0 tun3
10.10.0.0 10.11.0.1 255.255.0.0 UG 0 0 0 tun3
10.9.0.0 10.11.0.1 255.255.0.0 UG 0 0 0 tun3
default static.1.... 0.0.0.0 UG 0 0 0 eth0
masq:
# Shorewall version 4 - Masq file
#
# For information about entries in this file, type "man shorewall-masq"
#
# The manpage is also online at
# http://www.shorewall.net/manpages/shorewall-masq.html
#
##########################################################################$
#INTERFACE SOURCE ADDRESS PROTO PORT(S) IP$
eth0 10.8.0.0/24 pub-IP
eth0 10.7.0.0/24 pub-IPDie Netze 9 und 10 sind nicht erreichbar!
Code:
US-Server
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
10.10.0.2 * 255.255.255.255 UH 0 0 0 tun1
10.9.0.2 * 255.255.255.255 UH 0 0 0 tun2
10.11.0.5 * 255.255.255.255 UH 0 0 0 tun0
10.10.0.0 10.10.0.1 255.255.255.0 UG 0 0 0 tun1
10.11.0.0 10.11.0.5 255.255.255.0 UG 0 0 0 tun0
10.9.0.0 10.9.0.1 255.255.255.0 UG 0 0 0 tun2
10.7.0.0 10.11.0.5 255.255.0.0 UG 0 0 0 tun0
10.8.0.0 10.11.0.5 255.255.0.0 UG 0 0 0 tun0
default * 0.0.0.0 U 0 0 0 venet0
masq:
#INTERFACE SOURCE ADDRESS PROTO PORT(S) IP$
venet0 10.9.0.0/24 pub-IP
venet0 10.10.0.0/24 pub-IP
venet0 10.11.0.0/24 pub-IPZusammenfassend, die Netze auf dem US-Server, 9 und 10 sind nicht erreichbar, alles andere geht...
Was mache ich falsch, warum geht es nur in eine Richtung?
Wo liegt der Fehler auf dem US oder auf dem De Server??
Danke euch!
Last edited by a moderator:
Das versuche ich umzusetzen:
MOD: Briefmarke entfernt.
http://www1.minpic.de/bild_anzeigen.php?id=188818&key=70814947&ende
MOD: Briefmarke entfernt.
http://www1.minpic.de/bild_anzeigen.php?id=188818&key=70814947&ende
Last edited by a moderator:
Klasse Bild. Für eine Briefmarke. 
Hm, gibt es einen Grund, warum Du die 4 Gruppen hast? Und somit 2 VPN Netzwerke pro Server? Warum reicht nicht je eine Gruppe und ein Netz?
Hast Du denn dann auch Kunden in den USA? Bzw Leute, die sich nur mit den USA Servern verbinden? Denn dort sind ja gleichfalls Clients eingezeichnet.
Ja habe ich, deswegen ist es so gezeichnet ;-)
Aufgabe ist doch klar gegeben, Problem habe ich auch so weitestgehend versucht einzugrenzen.
Ein Ansatz zur Lösung wäre jetzt nett, irgend etwas habe ich ja scheinbar übersehen, vergessen wie auch immer.
Wäre nett wenn ihr mir konstruktiv helfen könntet!
Aufgabe ist doch klar gegeben, Problem habe ich auch so weitestgehend versucht einzugrenzen.
Ein Ansatz zur Lösung wäre jetzt nett, irgend etwas habe ich ja scheinbar übersehen, vergessen wie auch immer.
Wäre nett wenn ihr mir konstruktiv helfen könntet!
Dann kann man doch die (Soll-)Routing-Tabelle direkt aus der Zeichnung abschreiben:
Basis war jetzt mal Dein [post=318971]Post[/post] weiter oben.
Wenn Du die Subnetze etwas geschickter gelegt hättest, so daß sie sich nur in einem Bit unterscheiden, hätte man noch weiter zusammenfassen können:
tun1=10.6.0.0, tun2=10.7.0.0 hätte eine Route 10.6.0.0 mit Maske 255.254.0.0 ergeben.
Code:
DE-Server # route
Kernel-IP-Routentabelle
Ziel Router Genmask Flags Metric Ref Use Iface
10.11.0.1 * 255.255.255.255 UH 0 0 0 tun3
10.7.0.0 10.7.0.1 255.255.0.0 UG 0 0 0 tun1
10.8.0.0 10.8.0.1 255.255.0.0 UG 0 0 0 tun2
10.9.0.0 10.11.0.1 255.255.0.0 UG 0 0 0 tun3
10.10.0.0 10.11.0.1 255.255.0.0 UG 0 0 0 tun3
hulu.com 10.11.0.1 255.255.255.255 UGH 0 0 0 tun3
vhost03.anw.de 10.11.0.1 255.255.255.255 UGH 0 0 0 tun3
default öfftl.IP. 0.0.0.0 UG 0 0 0 eth0
Code:
US-Server# route
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
10.11.0.6 * 255.255.255.255 UH 0 0 0 tun3
10.7.0.0 10.11.0.6 255.255.0.0 UG 0 0 0 tun3
10.8.0.0 10.11.0.6 255.255.0.0 UG 0 0 0 tun3
10.9.0.0 10.9.0.1 255.255.0.0 UG 0 0 0 tun1
10.10.0.0 10.10.0.1 255.255.255.0 UG 0 0 0 tun2
default * 0.0.0.0 U 0 0 0 venet0Wenn Du die Subnetze etwas geschickter gelegt hättest, so daß sie sich nur in einem Bit unterscheiden, hätte man noch weiter zusammenfassen können:
tun1=10.6.0.0, tun2=10.7.0.0 hätte eine Route 10.6.0.0 mit Maske 255.254.0.0 ergeben.
Ich wollte erst erreichen das sich alle erreichen und dann um die Internetverbindung kümmern, beides geht nämlich gerade nicht und ich denke es ist das gleiche Problem, dass der OpenVPN-Client von 10.11 nichts weiter routet!!
Also leider ist die Realität nicht so sauber wie die Zeichnung,
Deswegen hier noch mal die ifconfig:
Dann wurde mir empfohlen, dass ich mich mit iroute und den routen von OpenVPN auseinander setzen soll, aber wo da was gesetzt werden soll konnte mir bisher keiner sagen - die quellen widersprechen sich irgend wie!
Also leider ist die Realität nicht so sauber wie die Zeichnung,
Deswegen hier noch mal die ifconfig:
Code:
DE-Server
eth0 Link encap:Ethernet Hardware Adresse 00:50:5sdsd16:bb
inet Adresse:PubIP Bcast:176.9.137.31 Maske:255.255.255.224
inet6-Adresse:sdsadasd Gültigkeitsbereich:Verbindung
inet6-Adresse: IPV6asdasd Gültigkeitsbereich:Global
UP BROADCAST RUNNING MULTICAST MTU:1500 Metrik:1
RX packets:61232683 errors:0 dropped:18150 overruns:0 frame:0
TX packets:60156958 errors:0 dropped:0 overruns:0 carrier:0
Kollisionen:0 Sendewarteschlangenlänge:1000
RX bytes:52929185177 (49.2 GiB) TX bytes:54211922079 (50.4 GiB)
Interrupt:10 Basisadresse:0xc000
lo Link encap:Lokale Schleife
inet Adresse:127.0.0.1 Maske:255.0.0.0
inet6-Adresse: ::1/128 Gültigkeitsbereich:Maschine
UP LOOPBACK RUNNING MTU:16436 Metrik:1
RX packets:11594066 errors:0 dropped:0 overruns:0 frame:0
TX packets:11594066 errors:0 dropped:0 overruns:0 carrier:0
Kollisionen:0 Sendewarteschlangenlänge:0
RX bytes:2192792032 (2.0 GiB) TX bytes:2192792032 (2.0 GiB)
tun1 Link encap:UNSPEC Hardware Adresse 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet Adresse:10.8.0.1 P-z-P:10.8.0.2 Maske:255.255.255.255
UP PUNKTZUPUNKT RUNNING NOARP MULTICAST MTU:1500 Metrik:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:40 errors:0 dropped:0 overruns:0 carrier:0
Kollisionen:0 Sendewarteschlangenlänge:100
RX bytes:0 (0.0 B) TX bytes:1600 (1.5 KiB)
tun2 Link encap:UNSPEC Hardware Adresse 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet Adresse:10.7.0.1 P-z-P:10.7.0.2 Maske:255.255.255.255
UP PUNKTZUPUNKT RUNNING NOARP MULTICAST MTU:1500 Metrik:1
RX packets:5167 errors:0 dropped:0 overruns:0 frame:0
TX packets:5498 errors:0 dropped:0 overruns:0 carrier:0
Kollisionen:0 Sendewarteschlangenlänge:100
RX bytes:897864 (876.8 KiB) TX bytes:2826516 (2.6 MiB)
tun3 Link encap:UNSPEC Hardware Adresse 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet Adresse:10.11.0.1 P-z-P:10.11.0.2 Maske:255.255.255.255
UP PUNKTZUPUNKT RUNNING NOARP MULTICAST MTU:1500 Metrik:1
RX packets:39 errors:0 dropped:0 overruns:0 frame:0
TX packets:98 errors:0 dropped:0 overruns:0 carrier:0
Kollisionen:0 Sendewarteschlangenlänge:100
RX bytes:3012 (2.9 KiB) TX bytes:7176 (7.0 KiB)
Code:
US-Server
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:4565 errors:0 dropped:0 overruns:0 frame:0
TX packets:4565 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:503964 (492.1 KiB) TX bytes:503964 (492.1 KiB)
tun0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:10.11.0.6 P-t-P:10.11.0.5 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:21 errors:0 dropped:0 overruns:0 frame:0
TX packets:13 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:1572 (1.5 KiB) TX bytes:1092 (1.0 KiB)
tun1 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:10.10.0.1 P-t-P:10.10.0.2 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)
tun2 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:10.9.0.1 P-t-P:10.9.0.2 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:921473 errors:0 dropped:0 overruns:0 frame:0
TX packets:1343405 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:73702782 (70.2 MiB) TX bytes:1436050300 (1.3 GiB)
venet0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:127.0.0.2 P-t-P:127.0.0.2 Bcast:0.0.0.0 Mask:255.255.255.255
UP BROADCAST POINTOPOINT RUNNING NOARP MTU:1500 Metric:1
RX packets:2964778 errors:0 dropped:0 overruns:0 frame:0
TX packets:2932272 errors:0 dropped:375 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:2029992244 (1.8 GiB) TX bytes:2072660208 (1.9 GiB)
venet0:0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:PUB-IPv4 Bcast:0.0.0.0 Mask:255.255.255.255
UP BROADCAST POINTOPOINT RUNNING NOARP MTU:1500 Metric:1
Code:
DE-Server Route
route add -net 10.10.0.0/16 gw 10.11.0.1 dev tun3
route add -net 10.9.0.0/16 gw 10.11.0.1 dev tun3
Kernel-IP-Routentabelle
Ziel Router Genmask Flags Metric Ref Use Iface
10.11.0.2 * 255.255.255.255 UH 0 0 0 tun3
10.8.0.2 * 255.255.255.255 UH 0 0 0 tun1
10.7.0.2 * 255.255.255.255 UH 0 0 0 tun2
localnet * 255.255.255.224 U 0 0 0 eth0
10.8.0.0 10.8.0.1 255.255.255.0 UG 0 0 0 tun1
10.7.0.0 10.7.0.1 255.255.255.0 UG 0 0 0 tun2
10.11.0.0 10.11.0.1 255.255.255.0 UG 0 0 0 tun3
10.10.0.0 10.11.0.1 255.255.0.0 UG 0 0 0 tun3
10.9.0.0 10.11.0.1 255.255.0.0 UG 0 0 0 tun3
default ssdasd. 0.0.0.0 UG 0 0 0 eth0
Code:
US-Server Route
route add -net 10.7.0.0/16 gw 10.11.0.6 dev tun0 //oder 5 auch schon probiert
route add -net 10.8.0.0/16 gw 10.11.0.6 dev tun0
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
10.10.0.2 * 255.255.255.255 UH 0 0 0 tun1
10.9.0.2 * 255.255.255.255 UH 0 0 0 tun2
10.11.0.5 * 255.255.255.255 UH 0 0 0 tun0
10.10.0.0 10.10.0.1 255.255.255.0 UG 0 0 0 tun1
10.11.0.0 10.11.0.5 255.255.255.0 UG 0 0 0 tun0
10.9.0.0 10.9.0.1 255.255.255.0 UG 0 0 0 tun2
10.7.0.0 10.11.0.5 255.255.0.0 UG 0 0 0 tun0
10.8.0.0 10.11.0.5 255.255.0.0 UG 0 0 0 tun0
default * 0.0.0.0 U 0 0 0 venet0
Code:
Übersicht:
DE-Server
tun0: 10.8
tun1: 10.7
tun2: 10.11
US-Server
tun1: 10.11
tun2: 10.9
tun3: 10.10
Code:
[COLOR="Red"][B][U]Tests mit tcpdump -i tunX icmp[/U][/B][/COLOR]
Client 10.7.0.6
10.7.0.1 Erfolgreich tun1 DE-Server
10.8.0.1 Erfolgreich tun1 DE-Server
10.11.0.1 Erfolgreich tun1 DE-Server
10.11.0.6 Erfolgreich tun1 & tun2 DE-Server & tun0 US-Server
10.9.0.1 Nicht Erfolgreich - Letzes Signal tun1&2 De-Server
10.10.0.1 Nicht Erfolgreich - Letzes Signal tun1&2 De-Server
US-Server
10.7.0.6 Erfolgreich tun0 US-Server & tun3 u. tun2 DE-Server
10.11.0.1 Erfolgreich tun0 US-Server & tun3 DE-Server
10.10.0.1 Erfolgreich
10.9.0.1 Erfolgreich
10.8.0.1 Erfolgreich tun0 US-Server & tun3 DE-Server
10.7.0.1 Erfolgreich tun0 US-Server & tun3 DE-Server
DE-Server
10.9.0.1 Nicht Erfolgreich - Letzes Signal tun2 De-Server
10.10.0.1 Nicht Erfolgreich - Letzes Signal tun2 De-Server
10.11.0.6 Erfolgreich tun3 DE-Server & tun0 US-Server
10.8.0.1 Erfolgreich
10.7.0.1 Erfolgreich
10.7.0.6 Erfolgreich tun2 DE-Server
Code:
IPtable-DE-Server
Chain INPUT (policy DROP)
target prot opt source destination
fail2ban-courierauth tcp -- anywhere anywhere multiport dports smtp,ssmtp,imap2,imap3,imaps,pop3,pop3s
dynamic all -- anywhere anywhere ctstate INVALID,NEW
net2fw all -- anywhere anywhere
tun0_in all -- anywhere anywhere
tun1_in all -- anywhere anywhere
tun2_in all -- anywhere anywhere
tun3_in all -- anywhere anywhere
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere ctstate RELATED,ESTABLISHED
Reject all -- anywhere anywhere
reject all -- anywhere anywhere [goto]
Chain FORWARD (policy DROP)
target prot opt source destination
dynamic all -- anywhere anywhere ctstate INVALID,NEW
net2ovpn all -- anywhere anywhere
net2ovpn all -- anywhere anywhere
net2ovpn all -- anywhere anywhere
net2ovpn all -- anywhere anywhere
tun3_fwd all -- anywhere anywhere
tun2_fwd all -- anywhere anywhere
tun0_fwd all -- anywhere anywhere
tun1_fwd all -- anywhere anywhere
ACCEPT all -- anywhere anywhere ctstate RELATED,ESTABLISHED
Reject all -- anywhere anywhere
reject all -- anywhere anywhere [goto]
Chain OUTPUT (policy DROP)
target prot opt source destination
fw2net all -- anywhere anywhere
fw2ovpn all -- anywhere anywhere
fw2ovpn all -- anywhere anywhere
fw2ovpn all -- anywhere anywhere
fw2ovpn all -- anywhere anywhere
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere ctstate RELATED,ESTABLISHED
Reject all -- anywhere anywhere
reject all -- anywhere anywhere [goto]
Chain Drop (0 references)
target prot opt source destination
all -- anywhere anywhere
reject tcp -- anywhere anywhere tcp dpt:auth /* Auth */
dropBcast all -- anywhere anywhere
ACCEPT icmp -- anywhere anywhere icmp fragmentation-needed /* Needed ICMP types */
ACCEPT icmp -- anywhere anywhere icmp time-exceeded /* Needed ICMP types */
dropInvalid all -- anywhere anywhere
DROP udp -- anywhere anywhere multiport dports loc-srv,microsoft-ds /* SMB */
DROP udp -- anywhere anywhere udp dpts:netbios-ns:netbios-ssn /* SMB */
DROP udp -- anywhere anywhere udp spt:netbios-ns dpts:1024:65535 /* SMB */
DROP tcp -- anywhere anywhere multiport dports loc-srv,netbios-ssn,microsoft-ds /* SMB */
DROP udp -- anywhere anywhere udp dpt:1900 /* UPnP */
dropNotSyn tcp -- anywhere anywhere
DROP udp -- anywhere anywhere udp spt:domain /* Late DNS Replies */
Chain Reject (4 references)
target prot opt source destination
all -- anywhere anywhere
reject tcp -- anywhere anywhere tcp dpt:auth /* Auth */
Code:
IPtable-US-Server
root@vps:/home/toor# iptables -L
Chain INPUT (policy DROP)
target prot opt source destination
fail2ban-ssh tcp -- anywhere anywhere multiport dports ssh
dynamic all -- anywhere anywhere ctstate INVALID,NEW
net2fw all -- anywhere anywhere
tun0_in all -- anywhere anywhere
tun1_in all -- anywhere anywhere
tun2_in all -- anywhere anywhere
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere ctstate RELATED,ESTABLISHED
Reject all -- anywhere anywhere
LOG all -- anywhere anywhere LOG level info prefix `Shorewall:INPUT:REJECT:'
reject all -- anywhere anywhere [goto]
Chain FORWARD (policy DROP)
target prot opt source destination
dynamic all -- anywhere anywhere ctstate INVALID,NEW
net2ovpn all -- anywhere anywhere
net2ovpn all -- anywhere anywhere
net2ovpn all -- anywhere anywhere
tun2_fwd all -- anywhere anywhere
tun0_fwd all -- anywhere anywhere
tun1_fwd all -- anywhere anywhere
ACCEPT all -- anywhere anywhere ctstate RELATED,ESTABLISHED
Reject all -- anywhere anywhere
LOG all -- anywhere anywhere LOG level info prefix `Shorewall:FORWARD:REJECT:'
reject all -- anywhere anywhere [goto]
Chain OUTPUT (policy DROP)
target prot opt source destination
fw2net all -- anywhere anywhere
fw2ovpn all -- anywhere anywhere
fw2ovpn all -- anywhere anywhere
fw2ovpn all -- anywhere anywhere
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere ctstate RELATED,ESTABLISHED
Reject all -- anywhere anywhere
LOG all -- anywhere anywhere LOG level info prefix `Shorewall:OUTPUT:REJECT:'
reject all -- anywhere anywhere [goto]
Chain Drop (0 references)
target prot opt source destination
all -- anywhere anywhere
reject tcp -- anywhere anywhere tcp dpt:auth
dropBcast all -- anywhere anywhere
ACCEPT icmp -- anywhere anywhere icmp fragmentation-needed
ACCEPT icmp -- anywhere anywhere icmp time-exceeded
dropInvalid all -- anywhere anywhere
DROP udp -- anywhere anywhere multiport dports loc-srv,microsoft-ds
DROP udp -- anywhere anywhere udp dpts:netbios-ns:netbios-ssn
DROP udp -- anywhere anywhere udp spt:netbios-ns dpts:1024:65535
DROP tcp -- anywhere anywhere multiport dports loc-srv,netbios-ssn,microsoft-ds
DROP udp -- anywhere anywhere udp dpt:1900
dropNotSyn tcp -- anywhere anywhere
DROP udp -- anywhere anywhere udp spt:domain
Chain Reject (4 references)
target prot opt source destination
all -- anywhere anywhere
reject tcp -- anywhere anywhere tcp dpt:auth
dropBcast all -- anywhere anywhere
ACCEPT icmp -- anywhere anywhere icmp fragmentation-needed
ACCEPT icmp -- anywhere anywhere icmp time-exceeded
dropInvalid all -- anywhere anywhere
reject udp -- anywhere anywhere multiport dports loc-srv,microsoft-ds
reject udp -- anywhere anywhere udp dpts:netbios-ns:netbios-ssn
reject udp -- anywhere anywhere udp spt:netbios-ns dpts:1024:65535
reject tcp -- anywhere anywhere multiport dports loc-srv,netbios-ssn,microsoft-ds
DROP udp -- anywhere anywhere udp dpt:1900
dropNotSyn tcp -- anywhere anywhere
DROP udp -- anywhere anywhere udp spt:domain
Chain blacklst (2 references)
target prot opt source destination
Chain dropBcast (2 references)
target prot opt source destination
DROP all -- anywhere 255.255.255.255
DROP all -- anywhere base-address.mcast.net/4
Chain dropInvalid (2 references)
target prot opt source destination
DROP all -- anywhere anywhere ctstate INVALID
Chain dropNotSyn (2 references)
target prot opt source destination
DROP tcp -- anywhere anywhere tcp flags:!FIN,SYN,RST,ACK/SYN
Chain dynamic (2 references)
target prot opt source destination
Chain fail2ban-ssh (1 references)
target prot opt source destination
RETURN all -- anywhere anywhere
Chain fw2net (1 references)
target prot opt source destination
ACCEPT all -- anywhere anywhere ctstate RELATED,ESTABLISHED
ACCEPT icmp -- anywhere anywhere
ACCEPT all -- anywhere anywhere
Chain fw2ovpn (3 references)
target prot opt source destination
ACCEPT all -- anywhere anywhere ctstate RELATED,ESTABLISHED
ACCEPT icmp -- anywhere anywhere
ACCEPT all -- anywhere anywhere
Chain logdrop (0 references)
target prot opt source destination
DROP all -- anywhere anywhere
Chain logflags (5 references)
target prot opt source destination
LOG all -- anywhere anywhere LOG level info ip-options prefix `Shorewall:logflags:DROP:'
DROP all -- anywhere anywhere
Chain logreject (0 references)
target prot opt source destination
reject all -- anywhere anywhere
Chain net2fw (1 references)
target prot opt source destination
blacklst all -- anywhere anywhere ctstate INVALID,NEW
smurfs all -- anywhere anywhere ctstate INVALID,NEW
tcpflags tcp -- anywhere anywhere
ACCEPT all -- anywhere anywhere ctstate RELATED,ESTABLISHED
ACCEPT tcp -- anywhere anywhere tcp dpt:ssh
ACCEPT tcp -- anywhere anywhere tcp dpt:www
ACCEPT tcp -- anywhere anywhere tcp dpt:https
ACCEPT icmp -- anywhere anywhere icmp echo-request
ACCEPT icmp -- anywhere anywhere icmp time-exceeded
ACCEPT icmp -- anywhere anywhere icmp echo-request
ACCEPT icmp -- anywhere anywhere
ACCEPT udp -- anywhere anywhere udp dpt:openvpn
ACCEPT tcp -- anywhere anywhere tcp dpt:1723
ACCEPT udp -- anywhere anywhere udp dpt:1724
ACCEPT udp -- anywhere anywhere udp dpt:1725
ACCEPT udp -- anywhere anywhere udp dpt:1727
ACCEPT tcp -- anywhere anywhere tcp dpt:1726
ACCEPT tcp -- anywhere anywhere tcp dpt:3389
ACCEPT tcp -- anywhere anywhere tcp dpt:1723
Reject all -- anywhere anywhere
LOG all -- anywhere anywhere LOG level info prefix `Shorewall:net2fw:REJECT:'
reject all -- anywhere anywhere [goto]
Chain net2ovpn (3 references)
target prot opt source destination
blacklst all -- anywhere anywhere ctstate INVALID,NEW
smurfs all -- anywhere anywhere ctstate INVALID,NEW
tcpflags tcp -- anywhere anywhere
ACCEPT all -- anywhere anywhere ctstate RELATED,ESTABLISHED
ACCEPT icmp -- anywhere anywhere
ACCEPT all -- anywhere anywhere
Chain ovpn2fw (3 references)
target prot opt source destination
ACCEPT all -- anywhere anywhere ctstate RELATED,ESTABLISHED
ACCEPT tcp -- anywhere anywhere tcp dpt:ssh
ACCEPT tcp -- anywhere anywhere tcp dpt:www
ACCEPT tcp -- anywhere anywhere tcp dpt:https
ACCEPT icmp -- anywhere anywhere icmp echo-request
ACCEPT icmp -- anywhere anywhere icmp time-exceeded
ACCEPT icmp -- anywhere anywhere icmp echo-request
ACCEPT icmp -- anywhere anywhere
ACCEPT udp -- anywhere anywhere udp dpt:openvpn
ACCEPT tcp -- anywhere anywhere tcp dpt:1723
ACCEPT udp -- anywhere anywhere udp dpt:1724
ACCEPT udp -- anywhere anywhere udp dpt:1725
ACCEPT udp -- anywhere anywhere udp dpt:1727
ACCEPT tcp -- anywhere anywhere tcp dpt:1726
ACCEPT tcp -- anywhere anywhere tcp dpt:3389
ACCEPT tcp -- anywhere anywhere tcp dpt:1723
ACCEPT all -- anywhere anywhere
Chain ovpn2net (3 references)
target prot opt source destination
ACCEPT all -- anywhere anywhere ctstate RELATED,ESTABLISHED
ACCEPT icmp -- anywhere anywhere
ACCEPT all -- anywhere anywhere
Chain reject (11 references)
target prot opt source destination
DROP all -- anywhere 255.255.255.255
DROP all -- base-address.mcast.net/4 anywhere
DROP igmp -- anywhere anywhere
REJECT tcp -- anywhere anywhere reject-with tcp-reset
REJECT udp -- anywhere anywhere reject-with icmp-port-unreachable
REJECT icmp -- anywhere anywhere reject-with icmp-host-unreachable
REJECT all -- anywhere anywhere reject-with icmp-host-prohibited
Chain shorewall (0 references)
target prot opt source destination
Chain smurflog (2 references)
target prot opt source destination
LOG all -- anywhere anywhere LOG level info prefix `Shorewall:smurfs:DROP:'
DROP all -- anywhere anywhere
Chain smurfs (8 references)
target prot opt source destination
smurflog all -- 255.255.255.255 anywhere [goto]
smurflog all -- base-address.mcast.net/4 anywhere [goto]
Chain tcpflags (8 references)
target prot opt source destination
logflags tcp -- anywhere anywhere [goto] tcp flags:FIN,SYN,RST,PSH,ACK,URG/FIN,PSH,URG
logflags tcp -- anywhere anywhere [goto] tcp flags:FIN,SYN,RST,PSH,ACK,URG/NONE
logflags tcp -- anywhere anywhere [goto] tcp flags:SYN,RST/SYN,RST
logflags tcp -- anywhere anywhere [goto] tcp flags:FIN,SYN/FIN,SYN
logflags tcp -- anywhere anywhere [goto] tcp spt:0 flags:FIN,SYN,RST,ACK/SYN
Chain tun0_fwd (1 references)
target prot opt source destination
smurfs all -- anywhere anywhere ctstate INVALID,NEW
tcpflags tcp -- anywhere anywhere
ovpn2net all -- anywhere anywhere
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere
Chain tun0_in (1 references)
target prot opt source destination
smurfs all -- anywhere anywhere ctstate INVALID,NEW
tcpflags tcp -- anywhere anywhere
ovpn2fw all -- anywhere anywhere
Chain tun1_fwd (1 references)
target prot opt source destination
smurfs all -- anywhere anywhere ctstate INVALID,NEW
tcpflags tcp -- anywhere anywhere
ovpn2net all -- anywhere anywhere
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere
Chain tun1_in (1 references)
target prot opt source destination
smurfs all -- anywhere anywhere ctstate INVALID,NEW
tcpflags tcp -- anywhere anywhere
ovpn2fw all -- anywhere anywhere
Chain tun2_fwd (1 references)
target prot opt source destination
smurfs all -- anywhere anywhere ctstate INVALID,NEW
tcpflags tcp -- anywhere anywhere
ovpn2net all -- anywhere anywhere
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere
Chain tun2_in (1 references)
target prot opt source destination
smurfs all -- anywhere anywhere ctstate INVALID,NEW
tcpflags tcp -- anywhere anywhere
ovpn2fw all -- anywhere anywhere
dropBcast all -- anywhere anywhere
ACCEPT icmp -- anywhere anywhere icmp fragmentation-needed /* Needed ICMP types */
ACCEPT icmp -- anywhere anywhere icmp time-exceeded /* Needed ICMP types */
dropInvalid all -- anywhere anywhere
reject udp -- anywhere anywhere multiport dports loc-srv,microsoft-ds /* SMB */
reject udp -- anywhere anywhere udp dpts:netbios-ns:netbios-ssn /* SMB */
reject udp -- anywhere anywhere udp spt:netbios-ns dpts:1024:65535 /* SMB */
reject tcp -- anywhere anywhere multiport dports loc-srv,netbios-ssn,microsoft-ds /* SMB */
DROP udp -- anywhere anywhere udp dpt:1900 /* UPnP */
dropNotSyn tcp -- anywhere anywhere
DROP udp -- anywhere anywhere udp spt:domain /* Late DNS Replies */
Chain blacklst (2 references)
target prot opt source destination
Chain dropBcast (2 references)
target prot opt source destination
DROP all -- anywhere anywhere ADDRTYPE match dst-type BROADCAST
DROP all -- anywhere base-address.mcast.net/4
Chain dropInvalid (2 references)
target prot opt source destination
DROP all -- anywhere anywhere ctstate INVALID
Chain dropNotSyn (2 references)
target prot opt source destination
DROP tcp -- anywhere anywhere tcp flags:!FIN,SYN,RST,ACK/SYN
Chain dynamic (2 references)
target prot opt source destination
Chain fail2ban-courierauth (1 references)
target prot opt source destination
RETURN all -- anywhere anywhere
Chain fw2net (1 references)
target prot opt source destination
ACCEPT all -- anywhere anywhere ctstate RELATED,ESTABLISHED
ACCEPT all -- anywhere anywhere
Chain fw2ovpn (4 references)
target prot opt source destination
ACCEPT all -- anywhere anywhere ctstate RELATED,ESTABLISHED
ACCEPT all -- anywhere anywhere
Chain logdrop (0 references)
target prot opt source destination
DROP all -- anywhere anywhere
Chain logflags (5 references)
target prot opt source destination
LOG all -- anywhere anywhere LOG level info ip-options prefix `Shorewall:logflags:DROP:'
DROP all -- anywhere anywhere
Chain logreject (0 references)
target prot opt source destination
reject all -- anywhere anywhere
Chain net2fw (1 references)
target prot opt source destination
blacklst all -- anywhere anywhere ctstate INVALID,NEW
tcpflags tcp -- anywhere anywhere
ACCEPT all -- anywhere anywhere ctstate RELATED,ESTABLISHED
ACCEPT tcp -- anywhere anywhere tcp dpt:ssh /* SSH */
ACCEPT tcp -- anywhere anywhere tcp dpt:www /* HTTP */
ACCEPT tcp -- anywhere anywhere tcp dpt:https /* HTTPS */
ACCEPT tcp -- anywhere anywhere tcp dpt:smtp /* SMTP */
ACCEPT tcp -- anywhere anywhere tcp dpt:ssmtp /* SMTPS */
ACCEPT tcp -- anywhere anywhere tcp dpt:imap2 /* IMAP */
ACCEPT tcp -- anywhere anywhere tcp dpt:imaps /* IMAPS */
ACCEPT tcp -- anywhere anywhere tcp dpt:pop3 /* POP3 */
ACCEPT tcp -- anywhere anywhere tcp dpt:pop3s /* POP3S */
ACCEPT tcp -- anywhere anywhere tcp dpt:ftp /* FTP */
ACCEPT tcp -- anywhere anywhere tcp dpt:svn /* SVN */
ACCEPT tcp -- anywhere anywhere tcp dpt:http-alt
ACCEPT tcp -- anywhere anywhere tcp dpts:40110:40210
ACCEPT udp -- anywhere anywhere udp dpt:9987
ACCEPT tcp -- anywhere anywhere tcp dpt:9987
ACCEPT tcp -- anywhere anywhere tcp dpt:10011
ACCEPT tcp -- anywhere anywhere tcp dpt:30033
ACCEPT tcp -- anywhere anywhere tcp dpt:2008
ACCEPT udp -- anywhere anywhere udp dpt:47115
ACCEPT icmp -- anywhere anywhere icmp echo-request
ACCEPT icmp -- anywhere anywhere icmp time-exceeded
ACCEPT icmp -- anywhere anywhere icmp echo-request /* Ping */
ACCEPT tcp -- anywhere anywhere tcp dpt:5000
ACCEPT udp -- anywhere anywhere udp dpt:openvpn /* OpenVPN */
ACCEPT tcp -- anywhere anywhere tcp dpt:1723
ACCEPT udp -- anywhere anywhere udp dpt:1724
ACCEPT udp -- anywhere anywhere udp dpt:1725
ACCEPT udp -- anywhere anywhere udp dpt:1727
ACCEPT tcp -- anywhere anywhere tcp dpt:1726
ACCEPT tcp -- anywhere anywhere tcp dpt:3389 /* RDP */
Reject all -- anywhere anywhere
reject all -- anywhere anywhere [goto]
Chain net2ovpn (4 references)
target prot opt source destination
blacklst all -- anywhere anywhere ctstate INVALID,NEW
smurfs all -- anywhere anywhere ctstate INVALID,NEW
tcpflags tcp -- anywhere anywhere
ACCEPT all -- anywhere anywhere ctstate RELATED,ESTABLISHED
ACCEPT all -- anywhere anywhere
Chain ovpn2fw (4 references)
target prot opt source destination
ACCEPT all -- anywhere anywhere ctstate RELATED,ESTABLISHED
ACCEPT tcp -- anywhere anywhere tcp dpt:ssh /* SSH */
ACCEPT tcp -- anywhere anywhere tcp dpt:www /* HTTP */
ACCEPT tcp -- anywhere anywhere tcp dpt:https /* HTTPS */
ACCEPT tcp -- anywhere anywhere tcp dpt:smtp /* SMTP */
ACCEPT tcp -- anywhere anywhere tcp dpt:ssmtp /* SMTPS */
ACCEPT tcp -- anywhere anywhere tcp dpt:imap2 /* IMAP */
ACCEPT tcp -- anywhere anywhere tcp dpt:imaps /* IMAPS */
ACCEPT tcp -- anywhere anywhere tcp dpt:pop3 /* POP3 */
ACCEPT tcp -- anywhere anywhere tcp dpt:pop3s /* POP3S */
ACCEPT tcp -- anywhere anywhere tcp dpt:ftp /* FTP */
ACCEPT tcp -- anywhere anywhere tcp dpt:svn /* SVN */
ACCEPT tcp -- anywhere anywhere tcp dpt:http-alt
ACCEPT tcp -- anywhere anywhere tcp dpts:40110:40210
ACCEPT udp -- anywhere anywhere udp dpt:9987
ACCEPT tcp -- anywhere anywhere tcp dpt:10011
ACCEPT tcp -- anywhere anywhere tcp dpt:30033
ACCEPT tcp -- anywhere anywhere tcp dpt:2008
ACCEPT udp -- anywhere anywhere udp dpt:47115
ACCEPT icmp -- anywhere anywhere icmp echo-request
ACCEPT icmp -- anywhere anywhere icmp time-exceeded
ACCEPT icmp -- anywhere anywhere icmp echo-request /* Ping */
ACCEPT tcp -- anywhere anywhere tcp dpt:5000
ACCEPT udp -- anywhere anywhere udp dpt:openvpn /* OpenVPN */
ACCEPT tcp -- anywhere anywhere tcp dpt:1723
ACCEPT udp -- anywhere anywhere udp dpt:1724
ACCEPT udp -- anywhere anywhere udp dpt:1725
ACCEPT udp -- anywhere anywhere udp dpt:1727
ACCEPT tcp -- anywhere anywhere tcp dpt:1726
ACCEPT tcp -- anywhere anywhere tcp dpt:3389 /* RDP */
ACCEPT all -- anywhere anywhere
Chain ovpn2net (4 references)
target prot opt source destination
ACCEPT all -- anywhere anywhere ctstate RELATED,ESTABLISHED
ACCEPT all -- anywhere anywhere
Chain reject (11 references)
target prot opt source destination
DROP all -- anywhere anywhere ADDRTYPE match src-type BROADCAST
DROP all -- base-address.mcast.net/4 anywhere
DROP igmp -- anywhere anywhere
REJECT tcp -- anywhere anywhere reject-with tcp-reset
REJECT udp -- anywhere anywhere reject-with icmp-port-unreachable
REJECT icmp -- anywhere anywhere reject-with icmp-host-unreachable
REJECT all -- anywhere anywhere reject-with icmp-host-prohibited
Chain shorewall (0 references)
target prot opt source destination
Chain smurflog (2 references)
target prot opt source destination
LOG all -- anywhere anywhere LOG level info prefix `Shorewall:smurfs:DROP:'
DROP all -- anywhere anywhere
Chain smurfs (10 references)
target prot opt source destination
RETURN all -- default anywhere
smurflog all -- anywhere anywhere [goto] ADDRTYPE match src-type BROADCAST
smurflog all -- base-address.mcast.net/4 anywhere [goto]
Chain tcpflags (10 references)
target prot opt source destination
logflags tcp -- anywhere anywhere [goto] tcp flags:FIN,SYN,RST,PSH,ACK,URG/FIN,PSH,URG
logflags tcp -- anywhere anywhere [goto] tcp flags:FIN,SYN,RST,PSH,ACK,URG/NONE
logflags tcp -- anywhere anywhere [goto] tcp flags:SYN,RST/SYN,RST
logflags tcp -- anywhere anywhere [goto] tcp flags:FIN,SYN/FIN,SYN
logflags tcp -- anywhere anywhere [goto] tcp spt:0 flags:FIN,SYN,RST,ACK/SYN
Chain tun0_fwd (1 references)
target prot opt source destination
smurfs all -- anywhere anywhere ctstate INVALID,NEW
tcpflags tcp -- anywhere anywhere
ovpn2net all -- anywhere anywhere
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere
Chain tun0_in (1 references)
target prot opt source destination
smurfs all -- anywhere anywhere ctstate INVALID,NEW
tcpflags tcp -- anywhere anywhere
ovpn2fw all -- anywhere anywhere
Chain tun1_fwd (1 references)
target prot opt source destination
smurfs all -- anywhere anywhere ctstate INVALID,NEW
tcpflags tcp -- anywhere anywhere
ovpn2net all -- anywhere anywhere
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere
Chain tun1_in (1 references)
target prot opt source destination
smurfs all -- anywhere anywhere ctstate INVALID,NEW
tcpflags tcp -- anywhere anywhere
ovpn2fw all -- anywhere anywhere
Chain tun2_fwd (1 references)
target prot opt source destination
smurfs all -- anywhere anywhere ctstate INVALID,NEW
tcpflags tcp -- anywhere anywhere
ovpn2net all -- anywhere anywhere
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere
Chain tun2_in (1 references)
target prot opt source destination
smurfs all -- anywhere anywhere ctstate INVALID,NEW
tcpflags tcp -- anywhere anywhere
ovpn2fw all -- anywhere anywhere
Chain tun3_fwd (1 references)
target prot opt source destination
smurfs all -- anywhere anywhere ctstate INVALID,NEW
tcpflags tcp -- anywhere anywhere
ovpn2net all -- anywhere anywhere
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere
Chain tun3_in (1 references)
target prot opt source destination
smurfs all -- anywhere anywhere ctstate INVALID,NEW
tcpflags tcp -- anywhere anywhere
ovpn2fw all -- anywhere anywhereDann wurde mir empfohlen, dass ich mich mit iroute und den routen von OpenVPN auseinander setzen soll, aber wo da was gesetzt werden soll konnte mir bisher keiner sagen - die quellen widersprechen sich irgend wie!
Irgendwie blicke ich jetzt immer weniger durch.
Was ist jetzt 10.11.0.2? In Deinem Bild ist das "deutsche" Ende des Tunnels 10.11.0.1 und das "amerikanische" 10.11.0.6.
Auch die Netzmasken sind mit /16 und /24 bunt gemischt auf "deutscher" und "amerikanischer" Seite.
Warum 10.11.0.0/24, wenn Du sowieso Hostrouten ptp setzt?
Was ist jetzt 10.11.0.2? In Deinem Bild ist das "deutsche" Ende des Tunnels 10.11.0.1 und das "amerikanische" 10.11.0.6.
Auch die Netzmasken sind mit /16 und /24 bunt gemischt auf "deutscher" und "amerikanischer" Seite.
Warum 10.11.0.0/24, wenn Du sowieso Hostrouten ptp setzt?
Ist eben OpenVPN Spezifisch,...
Der Setzt immer automatisch 2 IP-Adressen eine fürs routing und eins als endPoint. Verstehen tue ich das selber nicht ganz!
Warum mal 16 und mal 24 ist meine fehlende Konsequenz. Macht aber in meinem Fall kein Unterschied, weil sich die IPs ja nur um wenige Bits ändert, aber sollte ich mal auf auf eins von beidem durchsetzen.
Der Setzt immer automatisch 2 IP-Adressen eine fürs routing und eins als endPoint. Verstehen tue ich das selber nicht ganz!
Warum mal 16 und mal 24 ist meine fehlende Konsequenz. Macht aber in meinem Fall kein Unterschied, weil sich die IPs ja nur um wenige Bits ändert, aber sollte ich mal auf auf eins von beidem durchsetzen.
Wenn ich z.B. diesen Artikel (abgesehen von der grausligen Übersetzung - "Verkehrslenkung" statt Routing) richtig verstehe, mußt Du genau die Addresse, die das tun-Device hat, in die Routing-Tabelle eintragen.
Die .5 und .6 sehen so aus, als ob sie zu einer anderen Verbindung gehören (versuchen etwa DE und US beide, jeweils eine Verbindung zur anderen Seite aufzubauen?).
Notfalls nimm doch eine Verbindung im Bridging-Modus, dann ist das Routing dort schonmal außen vor.
Die .5 und .6 sehen so aus, als ob sie zu einer anderen Verbindung gehören (versuchen etwa DE und US beide, jeweils eine Verbindung zur anderen Seite aufzubauen?).
Notfalls nimm doch eine Verbindung im Bridging-Modus, dann ist das Routing dort schonmal außen vor.