Zwei VPN Verbindungen aus dem selben Netzwerk zum gleichen Ziel möglich?

X

Xzeer

New Member
Hallo zusammen,

ich denke aktuell über folgendes Problem nach (noch nicht umgesetzt, lediglich Überlegungen):

In einem Rechenzentrum (Standort A) habe ich zwei dezidierte Server mit je zwei Netzwerkschnittstellen. Über die erste ist jeder Rechner nach Außen angebunden und über die zweite sind beide Systeme direkt miteinander verbunden. Auf beiden Systemen wird mit Proxmox virtualisiert (PVE-Cluster). Über eine VPN Verbindung möchte ich einen dritten Host (Standort B) zum Cluster hinzufügen. Dazu läuft am Standort B bereits ein OpenVPN Server. Die beiden Server am Standort A (über die Direktverbindung) und alle VMs liegen mit B zusammen im Netz 10.0.0/24.

Mit einem VPN Client auf einem der beiden Hosts ist es nun ja möglich ein Site-To-Site VPN aufzubauen, sodass sich alle Teilnehmer erreichen können.

Ist es möglich auf dem zweiten Host eine zweite Site-To-Site Verbindung zum VPN Server am Standort B aufzubauen, sodass dann auf beiden Host je ein VPN Client läuft? Oder führt das zu Problemen?

EDIT: Nach einigem Suchen bin ich fündig geworden. Was ich brauche ist ein dezentrales VPN und das lässt sich ganz hervorragend mit dem kleinen Tool Tinc umsetzen. :)
 
Last edited by a moderator:
Das sollte eigentlich keine Probleme sein, denn ich gehe davon aus, dass die Verbindung zwischen A.1 und A.2 in einem anderen Netzwerk (z.B. dem 192.) geroutet wird. Aktuell funktioniert das Routing zwischen B und A.2 (dem nicht mit B verbundenem) auch sicherlich nur, weil es ein default Gateway gibt (zu A.1). Verbindest du nun auch A.2 per VPN mit B würde eine zusätzliche Routing Regel mit einem Gateway für das VPN Netzwerk (10.x.x.x) angelegt werden. Danach gehen eben auch alle Verbindungen zu diesem Netzwerk nicht mehr über das default Gateway sondern eben dem VPN Gateway (B).

Hoffe das konnte dir helfen.
 
Last edited by a moderator:
Danke für deine Antwort. :)

Ich muss allerdings nochmal nachfragen. Wie in meinem Edit vom ersten Post geschrieben, bin ich gestern Abend auf Tinc gestoßen, mit welchem sich dezentrale VPNs leicht einrichten lassen. Soweit genau das was ich suche. Ein Punkt ist allerdings noch offen und ich versuche mich mal verständlicher auszudrücken. ;)

Situation:

Code: 
        B
        |
        I
       / \
      A1=A2
I: Internet
=: Crossover-Direktverbindung

Ziel: Ich möchte alle drei Rechner in einem gemeinsamen Subnetz zusammenbringen und dabei nach Möglichkeit die Direktverbindung zwischen A1 und A2 nutzen.

Problem: Mit Tinc kann ich ein VPN über alle 3 Rechner aufspannen, jedoch wird dann nicht die Direktverbindung zwischen A1 und A2 genutzt.

Ich hoffe ich konnte mein Problem jetzt genauer beschreiben.
 
Mit etwas Arbeit und einer unsauberen Lösung ist so etwas möglich. Aber ist es denn wichtig, dass die Direktverbindung im selben Subnetz wie die VPN Verbindung liegt? Das ist aus Gründen der Übersicht, da die Direktverbindung ja nicht verschlüsselt ist, eigentlich so nicht gewollt.

Aber wenn es unbedingt sein muss, dann kannst du die IP Adressen und Routing-Tabellen manuell anpassen.
Bsp.
Server A1 hat an Interface 1 den VPN am Laufen mit der IP Adresse 10.0.1.2
Dann gibst du dem Interface der Direktverbindung die IP-Adresse 10.0.1.3
Server A1 hat an Interface 1 den VPN am Laufen mit der IP Adresse 10.0.1.4
Dann gibst du dem Interface der Direktverbindung die IP-Adresse 10.0.1.5
Damit 10.0.1.3 nun weiß, welches Interface für die Verbindung nach 10.0.1.5 genutzt werden soll musst du das entsprechend in die Routing-Tabelle eintragen.
Sprich z.B. so
Destination 10.0.1.5
Mask /32
Gatewy –
Interface eth1 (das wo im Beispiel 10.0.1.3 liegt)

Aber noch einmal. Es ist eine ziemlich unsaubere Lösung und ich sehe auch nur Nachteile da drin (vergl. anderes Netzwerk). Außerdem musst du dafür sorgen, dass der VPN Server nicht die manuell vergebenen Adressen noch einmal vergibt.
 
You must log in or register to reply here.
Back
Top