5
Routing mit Netzüberschneidung - ein Netzbereich aber verschiedene Subnetzmasken
Hallo an alle ITler,
Folgende Ausgangssituation:
Es sind viele Routen eingerichtet, die über das Gateway XYZ laufen (ab beispielweise 10.30.0.0/16 bis 10.200.0.0/16) was teilweise zu Problemen führt bei VPN und es sollen weitere Routen folgen.
Würde es funktionieren mehrere statische Routen zu setzen, die aber sich überschneiden?
Beispiel:
Route 1 - Metric 1 - 10.10.0.0/24 local - also IP des Routers (direkt am Router eingerichtet) - eventuell auch gar nicht notwendig da direkt am Router eingerichtet
route 2 - Metric 2 - 10.20.0.0/24 local
route 3 - Metric 3 - 10.0.0.0/8 - über ein Gateway XYZ, was die VPN Verbindugn zu den Netzen bereitstellt
Gerät: eine WatchGuard M400
Danke für eure Hilfe
Folgende Ausgangssituation:
Es sind viele Routen eingerichtet, die über das Gateway XYZ laufen (ab beispielweise 10.30.0.0/16 bis 10.200.0.0/16) was teilweise zu Problemen führt bei VPN und es sollen weitere Routen folgen.
Würde es funktionieren mehrere statische Routen zu setzen, die aber sich überschneiden?
Beispiel:
Route 1 - Metric 1 - 10.10.0.0/24 local - also IP des Routers (direkt am Router eingerichtet) - eventuell auch gar nicht notwendig da direkt am Router eingerichtet
route 2 - Metric 2 - 10.20.0.0/24 local
route 3 - Metric 3 - 10.0.0.0/8 - über ein Gateway XYZ, was die VPN Verbindugn zu den Netzen bereitstellt
Gerät: eine WatchGuard M400
Danke für eure Hilfe
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 476373
Url: https://administrator.de/contentid/476373
Printed on: April 25, 2024 at 12:04 o'clock
5 Comments
Latest comment
Hallo,
Von wo nach wo routest du was?
An welchen Interfaces liegen die Routen an? Die /8 route... ist die in der Größe notwendig? Oder reicht da eine /16 oder besser /24?
Brammer
Von wo nach wo routest du was?
An welchen Interfaces liegen die Routen an? Die /8 route... ist die in der Größe notwendig? Oder reicht da eine /16 oder besser /24?
Brammer
Warum nicht gleich ordentlich, eine Route je Subnetz?
Moin,
nein, natürlich nicht. Nehmen wir mal an ein Rechner aus dem ersten Netz (10.20.0.0/24) schickt eine Anfrage in das VPN an 10.100.0.10/24. Die kommt dann an beim Router, der im Netz 10.0.0.0/8 liegt. Jetzt guckt dieser Router auf die IP und seine Mask. Er stellt fest, dass die in seinem Netz liegt und versucht das Paket direkt zuzustellen. Wozu noch routen. Der Rechner wird nicht gefunden und aus. Destination host unreachable.
hth
Erik
nein, natürlich nicht. Nehmen wir mal an ein Rechner aus dem ersten Netz (10.20.0.0/24) schickt eine Anfrage in das VPN an 10.100.0.10/24. Die kommt dann an beim Router, der im Netz 10.0.0.0/8 liegt. Jetzt guckt dieser Router auf die IP und seine Mask. Er stellt fest, dass die in seinem Netz liegt und versucht das Paket direkt zuzustellen. Wozu noch routen. Der Rechner wird nicht gefunden und aus. Destination host unreachable.
hth
Erik
Sers,
Überschneidungen bei Routen sind normal. Der Router wird dabei IMMER die genauste verfügbare nehmen.
Die IP Adresse 10.10.0.30 wird also über Route 1 und die 10.20.0.42 über Route 2 erreicht. Für die 10.0.8.15 wird er Route 3 verwenden.
Damit wäre dann auf die 0.0.0.0/0 als Standardroute ins Internet erklärt.
Dein Problem mit dem VPN:
Nehmen wir an, deine Server stehen in Netz 10.10.0.0/24. Dein VPN Gateway vergibt dem VPN Client aus dem HomeOffice bei der Einwahl eine IP Adresse 10.42.0.15/24 samt Gateway.
Wenn jetzt das Heimnetz des VPN Clients ebenfalls das IP Netz 10.10.0.0/24 verwendet, dann wird der Client beim Versuch Server ABC (IP 10.10.0.21) zu erreichen niemals das VPN verwenden. Das Netz liegt ja lokale vor.
Dabei ist es unerheblich ob das VPN einen "Split Tunnel" verwendet, oder nicht.
Deshalb sind Firmennetze im IP Bereich 192.168.0.0/16 auch so problematisch. Es kommt einfach zu oft zu Kollisionen mit Heimnetzen bei der VPN Einwahl.
Beim Einsatz von mehreren Routern müssen die natürlich gegenseitig die Routen kennen. Ob du das via RIP, OSPF, BGP oder statischen Routen machst spielt dabei keine Rolle.
In deinem Beispiel benötigt dein VPN Gateway XYZ auf jeden Fall Routen in die Netze 10.20.0.0/24 und 10.10.0.0/24. Das Gateway wäre hierbei der Router an dem du deine Routen beschrieben hast.
Grüße,
Philip
Überschneidungen bei Routen sind normal. Der Router wird dabei IMMER die genauste verfügbare nehmen.
Die IP Adresse 10.10.0.30 wird also über Route 1 und die 10.20.0.42 über Route 2 erreicht. Für die 10.0.8.15 wird er Route 3 verwenden.
Damit wäre dann auf die 0.0.0.0/0 als Standardroute ins Internet erklärt.
Dein Problem mit dem VPN:
Nehmen wir an, deine Server stehen in Netz 10.10.0.0/24. Dein VPN Gateway vergibt dem VPN Client aus dem HomeOffice bei der Einwahl eine IP Adresse 10.42.0.15/24 samt Gateway.
Wenn jetzt das Heimnetz des VPN Clients ebenfalls das IP Netz 10.10.0.0/24 verwendet, dann wird der Client beim Versuch Server ABC (IP 10.10.0.21) zu erreichen niemals das VPN verwenden. Das Netz liegt ja lokale vor.
Dabei ist es unerheblich ob das VPN einen "Split Tunnel" verwendet, oder nicht.
Deshalb sind Firmennetze im IP Bereich 192.168.0.0/16 auch so problematisch. Es kommt einfach zu oft zu Kollisionen mit Heimnetzen bei der VPN Einwahl.
Beim Einsatz von mehreren Routern müssen die natürlich gegenseitig die Routen kennen. Ob du das via RIP, OSPF, BGP oder statischen Routen machst spielt dabei keine Rolle.
In deinem Beispiel benötigt dein VPN Gateway XYZ auf jeden Fall Routen in die Netze 10.20.0.0/24 und 10.10.0.0/24. Das Gateway wäre hierbei der Router an dem du deine Routen beschrieben hast.
Grüße,
Philip
Warum nicht gleich ordentlich, eine Route je Subnetz
Ist richtig aber viel sinnvoller bei „vielen“ Routen ist dann aber immer dynamisch zu routen statt statisch. Das verringert das Fehlerpotenzial erheblich. RIPv2 oder OSPF sind da immer die besten Freunde.Mit den überschneidenden Masken kann man machen. Primär gilt immer die Route mit der spezifischsten Maske.
Wie gesagt, nicht gut bei vielen Routen, da ist dynamisch dann immer sinnvoller.
Aber „viel“ ist eben wie. Immer relativ.... Der TO ist hier etwas unspezifisch.
Praxis Beispiel von dynamischem Routing im VPN Umfeld:
Cisco, Mikrotik, pfSense VPN Standort Vernetzung mit dynamischem Routing
