Author Topic: vpn tunnel connectie doet netwerk "crashen"  (Read 2050 times)

peejee

  • Zen Apprentice
  • *
  • Posts: 2
  • Karma: +0/-0
    • View Profile
vpn tunnel connectie doet netwerk "crashen"
« on: September 30, 2012, 04:35:49 pm »
Onze school is in volle uitbreiding en krijgt er steeds campussen bij. Dit maakt het steeds moeilijker om het gebruikersbeheer op de servers in orde te houden. Daarom heb ik geprobeerd om tussen de campussen (draaien allemaal zentyal server virtueel op proxmox) een vpn-tunnel te starten zodat ik de ene server als ldap slave kan laten fungeren tegenover een andere zentyal server die als master fungeert.

De handleidingen van zentyal 2.2 zijn vrij duidelijk en het lukt me om op de ene server de certificaten te exporteren en op de slave te importeren. Het lukt me zelf om de verbinding op te starten zodat de servers elkaar zien staan. Echter, van zodra de vpn-verbinding gemaakt is stort al het LAN-verkeer in. geen pings meer mogelijk, geen internet, niks. Op de zentyal-server zelf lukt alles nog wel, pingen naar buiten, pingen naar de andere zentyal-server enzovoort.

Ergens veroorzaak ik dus een probleem in mijn connectie maar mijn kennis van vpn-netwerken is zo goed als nihil.

Ik heb een schets gemaakt van de situatie. Zie attachment.
Hieronder beschrijf ik nog even "topologie" van het netwerk:

Beide servers hebben 2 netwerkkaarten

Aan de wan-zijde, verbonden met de router een netwerk:
server 1
172.16.108.5
server 2
172.16.108.205

Aan de Lan-zijde
server 1
10.0.0.5 in een subnet 255.255.0.0
server 2
10.0.0.15 in een subnet 255.255.0.0

voor de vpn verbinding
server 1 (master)
192.168.160.1

server 2 (slave)
192.168.160.2 - van de master gekregen.

Ziet iemand onmiddellijk wat ik fout doe?
  • Heeft het ermee te maken dat mijn achterliggend lan-netwerk in hetzelfde subnet zit? (hoewel ik geen conflicterende ip's heb).
  • Heeft het te maken met de verschillende gateways of dhcp-servers? (de zentyal servers hebben immers quasy identieke functies in het aparte netwerk.

Het zou geweldig zijn als ik hierin wat vooruit geraak. Dank bij voorbaat

ian

  • Community Council Member
  • Zen Samurai
  • *****
  • Posts: 293
  • Karma: +8/-1
    • View Profile
    • Familie site
Re: vpn tunnel connectie doet netwerk "crashen"
« Reply #1 on: October 01, 2012, 10:59:43 am »
Hello,

In uw schema hebben de twee modems hetzelfde ip adres ( WAN )dit lijkt mij niet echt een goed idee.

Waarom leg je de VPN verbindig met de Zentyal servers ?, uit veilighaids overweging wordt dit nooit gedaan.
De DHCP funtie in beide lan netwerken doen enkel NAT ( netwerk adres translation ) wat niet hetzelfde is als een router functie ( routersn tusse twee subnetten met een adres range per subnet.

Zelf heb ik meermaals VPN toegepast in onze school, echter niet rechtstreek met de Zentyal server ( in onze school file en printserver ) maar via vpn routers . de VPN routers ( linksys ) zijn enerzijds verbonden met de modem van de internet service provider en anderzijds verbonden met het lokaal netwerk.

Behalve het verbinden van twee campussen via de vpn verbinding, kunnen ook de leerkrachte van thuis uit op het netwerk inloggen.

Als je een VPN verbinding tussen twee campussen inlegt , dan is het interesant om een internet abonnement met uw ISP aan te gaan en ook te zorgen dat niet alleen de " download " snelheid maar zeker ook de upload snelheid voldoende hoog is.

Telennet bied nu voor scholen zeer interessante abonnementen aan specifiek voor scholen, gestoeld op scholengroepen met meer vestigingen waar internet verbindigen tussen de vestigingen onderling belangrijk zijn. Het product bij Telenet is " Schoolnet ".

Groetjes,
Ian


peejee

  • Zen Apprentice
  • *
  • Posts: 2
  • Karma: +0/-0
    • View Profile
Re: vpn tunnel connectie doet netwerk "crashen"
« Reply #2 on: October 01, 2012, 02:17:59 pm »
Hallo Ian,

Bedankt alvast voor je antwoord.
De tunnel tussen de zentyal servers ligt er om onze gebruikers te kunnen synchroniseren. Dat hoeft niet perse zentyal to zentyal te zijn, ik denk dat we binnenkort wel zullen overwegen om het hele netwerk open te stellen zodat inderdaad de leerkrachten van thuis uit op onze servers kunnen inloggen. Maar stapje per stapje ;)

Telenet heeft inderdaad sinds kort interessante producten, helaas heeft telenet geen dekking in Anderlecht, wat de keuze van vvkso voor telenet op z'n minst verwerpelijk maakt, Vlaamse scholen in het Brussels hoofdstedelijk gewest blijven op dat punt gewoon in de kou staan.


Ik vond deze morgen een heel interessante post op een ander forum waar ze dit vertelden:
Quote
Een veel voorkomende fout is het gebruik van hetzelfde subnet aan beide kanten van de VPN verbinding. De tussen gelegen router(s) kunnen in dit geval geen onderscheid maken tussen de LAN en WAN zijde. Gebruik daarom van elkaar afwijkende netwerkinstellingen. (Bijvoorbeeld 192.168.1.*** aan beide kanten), want dat gaat niet werken.
Dit is bij ons alvast het geval. Nog wat later vond ik het volgende:
Quote
http://nl.hardware.info/forum/threads/57827-VPN-naar-ander-netwerk-met-zelfde-subnet

Dit is identiek ons probleem. Op onze testserver heb ik nu de topologie van ons netwerk als volgt aangepast:
netwerk 1: 10.0.0.5 met subnet 255.255.0.0
netwerk 2: 10.3.0.5 met subnet 255.255.0.0
en zie, alles functioneert (op het eerste zicht). Ik denk nu dat ik onze vier campussen aan elkaar zal hangen met een netwerk 10.0.x.x, 10.1.x.x, 10.2.x.x en 10.3.x.x

Ik stoot nu alvast op een nieuw probleem: bij het synchroniseren van de ldap slave tov de ldap master krijg ik een foutmelding bij het opvragen van de gebruikers in users and groups. Nog geen idee wat hier het probleem zal zijn, maar daarvoor open ik dan wel een apart topic als ik geen oplossing vind.

voorlopig mag dit topic dus on hold geplaatst worden ;)