source based routing mit OpenVPN

[Markus Wigge]

Moin,

>> ich breche mir grade die Finger an OpenVPN und hoffe jemand von euch 
>> hier hat eine Idee.
> 
>> Ziel soll in etwa folgendes sein:
> 
>> (192.168.1.0/24)        (192.168.1.0/24)
>>      client1                 client2
>>          |                      |
>>          +----------+-----------+
>>                     |
>>                  server (pool:10.8.1.0/24)
>>       (10.10.1.0/24 | 10.10.2.0/24)
> 
> Hier komm ich nicht mehr ganz mit.
> 
> Was hat es genau mit den 10.* IPs auf sich?
> Welche Bereich wird wofür genutzt?
Das sind Subnetze eines großen 10.10.0.0/16 das der Maschine über IPsec 
reingeroutet wird.
Aus diesem Bereich werden IPs an Mobile Endgeräte vergeben und die 
OpenVPN Clients Verbinden quasi ein Netz mit den zugehörigen Endgeräten.

>> Also beide (oder noch mehr) Clients haben den selben privaten 
>> Adressbereich und der Server soll abhängig von der Quell-IP die Pakete 
>> an den entsprechenden Client zustellen.
> 
> Das sollte prinzipiell möglich sein.
> Die Idee mit 'ip rule' ist da IMO schon ganz gut.
Scheitert aber scheinbar daran, dass ich in der Client-Config 
(ccd-Verzeichnis) dem Client eine "iroute" mitgeben muss, damit das 
interne Routing von OpenVPN die Pakete auch richtig zustellt. Leider 
kann ich nicht mehreren Clients die selbe "iroute" zuweisen...

> Kannst Du mal ein Bildchen malen, dass die physikalie Struktur und
> eins, dass das VPN-Overlay zeigt? Ich habe noch nicht ganz kapiert,
> was Du da IP technisch machst. :)
Naja, physikalisch hat die Kiste nur eine Netzwerkschnittstelle, der 
Rest kommt über IPsec und soll scheibchenweise via OpenVPN und/oder 
IPsec, je nach Anwendung, an andere Netze verteilt werden.

Diese anderen Netze liegen aber nicht in unserem Hoheitsbereich und 
können sich in privaten Adressbereichen überschneiden oder, bei ganz 
grossen Helden, auch zufällige offizielle Netzbereiche überschneiden.

Gruß,
Markus