DHCP überschreibt Routing-Tabelle

[Gelöschtes Mitglied 16444]

Moin HaBo!

Wir haben hier aktuell folgendes Problem.

Setup ist ein Linuxrechner mit Debain, der als Router dient - verwaltet von uns selbst. Daran hängt jetzt seit neustem irgend so eine ASUS Router, auf dem OpenWRT läuft - darauf haben wir keinen direkten Zugriff. Auf dieser Kiste läuft OpenVPN, der selbstständig einen Tunnel aufbaut, damit an ihn angeschlossene Geräte in ein weiteres Netzwerk kommen können.

Problem ist nun, dass wohl nach einiger Zeit der Tunnel nicht mehr richtig funktioniert. Der Admin berichtet, dass in der Routing-Tabelle dann der Debian Rechner als Gateway eingetragen ist. Das dann die Daten in das VPN nicht mehr durchkommen ist klar. Unsere Vermutung ist nun, dass sobald der Lease abläuft durch DHCP der Routing Eintrag für den Tunnel überschrieben wird. Im Netz findet man auch ein paar Threads mit ähnlichen Problemen.
Erste Idee war natürlich die ASUS Kiste nicht über DHCP zu konfigurieren sondern statisch. Dann bekommt sie allerdings gar keine Verbindung nach außen und kann den Tunnel erst gar nicht aufbauen. Warum hat der zuständige Admin nicht herausfinden können...

Kann man bei OpenWRT irgendwie einstellen, dass die über DHCP erhaltenen Einstellungen die Routingeinträge von OpenVPN nicht überschreiben? Im Netz findet man immer nur Hinweise für dhclient, aber auf der Kiste scheint udhcpc zu laufen.
Oder kann man am DHCP Server irgendetwas einstellen, was das Problem beheben würde?

 

[t3rr0r.bYt3]

Woher kriegt der ASUS-Router denn sein korrektes DHCP?
Entweder, er hat Zugang zu mehreren Netzen, und eure Debian-Kiste liegt in einem davon: Dann soll er aber auch nur in den Netzen DHCP Requests abschicken, von denen er eine Antwort will, und eben nicht in dem Netz, in dem eure Debian-Kiste sitzt.
Oder ihr habt mehrere DHCP-Server im gleichen Netz, das wäre dann ein totaler Fuckup.

 

[Gelöschtes Mitglied 16444]

DHCP Server ist unsere Debian-Kiste. Die verteilt natürlich nur IPs aus unserem Netz uns setzt sich selbst als Gateway. Wenn dann die VPN Verbindung aufgebaut wird, wird wohl der VPN Server in dem anderen Netz als Gateway für dieses eingetragen. Bis hierhin stimmt also alles. Für das VPN ist der VPN-Server Gateway und für den Rest unser Debian-Router.

Vermutung ist aber eben, dass sobald das Lease in unserem Netz abläuft/erneuert wird der Eintrag für den VPN-Server mit unserem Debian-System überschrieben wird. Jedenfalls ist das, was der andere Admin beobachtet.

 

[t3rr0r.bYt3]

So wie ich das verstehe: Der VPN-Server sollte überhaupt keinen DHCP Request in euer Netz schicken (und damit euer Debian erreichen), sondern in das VPN (und dort den zuständigen DHCP im VPN erreichen).

 

[Gelöschtes Mitglied 16444]

Das geht ja nicht Um den VPN Tunnel aufbauen zu können, braucht er ja erst mal Zugriff aufs Netz...

 

[t3rr0r.bYt3]

Sehr gut, damit wirds endgültig klar. Der DHCP-Client, der auf dem Asus läuft, zerschießt wohl die Routen, wenn er seinen Lease erneuert, *nachdem* das VPN gestartet wurde. Immer noch ein Problem des Asus-Admins

/edit: udhcpc führt bei jedem DHCP-Event ein shellscript aus (default bei OpenWRT: /usr/share/udhcpc/default.script). Dadrin steckt anscheinend auch wirklich die gesamte Logik. Jetzt wärs hilfreich, die Routing-Tabelle vor (bzw. den Soll-Zustand) und nach dem Release (den Ist-Zustand) zu kennen, um zu sehen, was genau geändert wird. Falls z.b. die Default-Route ins VPN zeigen soll, dann wird sie im Abschnitt # Default Route auf das Interface (inc. Gateway) gesetzt, über das der DHCP Lease bezogen wurde.

/edit: Ganz zum Schluß wird /etc/udhcpc.user ausgeführt (der Hook für eigene Scripte) , darin könnte man die VPN-Routen fixen.

 

[Gelöschtes Mitglied 16444]

Richtig, das ist unsere Vermutung. Ich suche jetzt nur die Lösung für dieses Problem

 

[kaputtnik]

Könnt ihr dem Router keine feste IP-Adresse vergeben?

 

[Gelöschtes Mitglied 16444]

Das haben wir ja schon versucht. Allerdings kann die Kiste dann, wie oben schon beschrieben, den Tunnel erst gar nicht aufbauen. Warum dies so ist hat der Admin des VPNs noch nicht herausfinden können. Falls also hier jemand eine Idee hat, wonach man da suchen könnte, wäre das evtl. auch hilfreich.

 

[lightsaver]

Dass der Router keinen Tunnel aufbauen kann, kann doch eigentlich nur an einer falschen/fehlenden Einstellung liegen, wenn ihr die feste IP verwendet. Habt ihr mal alles, also IP, Netzmaske, Gateway, DNS und ggf. auch Routingtabelle überprüft? Kann es vielleicht zu einem Adresskonflikt kommen bzw. vergebt ihr eine IP, die das Gateway nicht weiter ins Internet lässt?
Die Einstellungen, die per DHCP gesetzt werden, kann man immer auch per Hand setzen (fix) und es gibt dann einfach keinen Grund, warum der Tunnel dann nicht aufgebaut werden sollte.

 

[t3rr0r.bYt3]

*In Theory* kann der DHCP-Server Dinge triggern (z.b. iptables), dann funktionieren statische Settings nicht. Das müsste der Admin aber sowieso selbst konfiguriert haben und wissen.

@Thunderb0lt vermutlich hast du meine Edits im letzten Post nicht gesehen, da du zeitgleich geantwortet hast (ich hab beim editieren deine Antwort nicht gesehen, sonst hätt ich neu gepostet).