Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

2 DSL-Anschluesse - 2 Router - 1 Subnet - Routing VPN

Mitglied: beatz99

beatz99 (Level 1) - Jetzt verbinden

09.06.2016, aktualisiert 15.06.2016, 1643 Aufrufe, 16 Kommentare

Hallo Kollegen.

Routing ist nicht unbedingt meine Stärke. Ich denke einige von euch wissen da wesentlich mehr und können mir vielleicht sogar weiterhelfen.

Ein Kunde von uns hat mehrere DSL-Anschlüsse, die er auch behalten muß (so'n Konzernding).

An DSL 1 (langsam) hängt ein VPN-Router der eine Standortkopplung in die Konzernzentrale herstellt und Zugang zu einem Portal bietet (nur über dieses VPN erreichbar).
Über diesen Anschluß wird bisher sämtlicher IP-Verkehr geroutet (d.h. sämtlicher Verkehr geht über die Zentrale).

An DSL 2 (schnell) hängt seit kurzem eine Digitalisierungsbox Standard der Telekom und kümmert sich bisher nur um Telefonie.

Desweiteren steht neben dem normalen Windows-Server noch so ne Linux-Box rum, die DNS und DHCP macht (wahrscheinlich könnte man diese
auch stilllegen). Sie verteilt neben Adressen auch noch per DNS das über das VPN erreichbare Portal.

Die normalen Clients sind statisch adressiert, damit die den Windows-Server als DNS (usw.) haben. Spezielle Clients ziehen ihre Adressinfos von der Linuxbox und haben
mit dem Windows-Netzwerk grundsätzlich nichts zu tun (außer daß sie sich das gleiche Subnetz und den Internetzugang (Gateway) teilen).

Folgendes soll geschehen: Die Windows-Server und Clients sollen für den normalen Webtraffic DSL 2 verwenden und für den VPN-Traffic DSL 1.

So nun die Haken an der Sache:

- das Subnet muß bleiben wie es ist.
- ich kann am VPN-Router nichts ändern.
- das Portal ist (wie bereits erwähnt) nur über VPN erreichbar.

War das einigermaßen verständlich?


Gruß, Oli
Mitglied: SeaStorm
09.06.2016 um 14:28 Uhr
Im Grunde muss nur der zweite Router für die Clients als Default Gateway dienen und ein Menü für Statische Routen bieten.
Dann musst du in dem Router sagen, das der Traffic für das Remote Netz der VPN an den Router 1 gehen soll, der dann wiederum den Traffic an den Remotestandort leitet.


Oder du gibst den Clients eine Statische Route, die das gleiche macht, also alles an das Remotenetz zum Router 2 schicken
Bitte warten ..
Mitglied: Lochkartenstanzer
09.06.2016 um 15:18 Uhr
Moin,


die "Digitalisierungsbox" ist ein vollwertiger router und eine passable Firewall.

Wenn Du die als Default-Gateway einstellst und dort regeln für das routing definierst z.B. http-traffic über den "eigenen Anschluß" der digitalisierungsbox und rest über das andere gerät, kansst Du den web-traffic über den zweiten anschluß leiten.

Du könntest auch die Digitalisierungsbox als DUAL-WAN-Router nutzen, indem Du die ander Kiste an einen extra Port der digitalisierungsbox hängst und diesen als zweiten WAN-Anschluß definiserst. dann mußt Du nur noch in der digiatislierunsbox Regeln für das Routing derfinieren.

lks
Bitte warten ..
Mitglied: aqui
09.06.2016 um 21:33 Uhr
Die Frage wo ist denn hier das Routing bei nur einem Subnetz..... ??
Für ein Routing wären ja mindestens 2 IP Netze Grundvoraussetzung, haben wir hier aber nicht... !
Einen schnellen DSL Anschluss nur für Telefonie zu verheizen was pro Gespräch dann 64kbit/s über die Leitung jagt zeugt eher davon das da mehr gebastelt denn "geroutet" wird in dem Netz.
Zum Rest ist ja schon alles gesagt...
Bitte warten ..
Mitglied: Spirit-of-Eli
09.06.2016 um 22:18 Uhr
Pfsense kann das alles managen. Ich würde daraus ohne hin ein Loadbalancer bauen, korrigiert mich wenn das bei zwei unterschiedlichen Leitungen nicht geht.

Dann bracuchst den ganzen anderen Quatsch auch nicht mehr. Kannst auch redundant mit zwei Kisten bauen. Das Supporten die Firewall sehr schön!
Bitte warten ..
Mitglied: aqui
10.06.2016 um 13:30 Uhr
korrigiert mich wenn das bei zwei unterschiedlichen Leitungen nicht geht.
Müssen wir nicht korrigieren, das funktioniert natürlich fehlerlos !
Bitte warten ..
Mitglied: Lochkartenstanzer
10.06.2016 um 13:34 Uhr
Zitat von aqui:

Die Frage wo ist denn hier das Routing bei nur einem Subnetz..... ??

Die be.ip/digitalisierungsbox ist default router udn bekommt daher erstmal alle Pakete
Der wertet seine regeln aus und entscheidet dann, ob er direkt das Paket an seinem DSL-Port rausjagt oder das Peket an den VPN-Router übergibt. Ob das nun über einen dedizierten "WAN"-Port geschicht, oder über das LAN, ist prinzipiell egal. unterscheidet sich dann nur in der scurity-Policy.

Und diese Tätigkeit der be.ip nennt man iirc, landläufig routen.

lks
Bitte warten ..
Mitglied: beatz99
14.06.2016 um 15:49 Uhr
nochmal grundsätzlich...

ein subnetz - 2 router - keine kaskadierung oder sonstige verkabelung der router:

funktioniert routing über ein und diesselbe lan schnittstelle (bzw. netzwerk an einem switch)

also digitalisierungsbox als default-gateway und darin definiert route an vpnrouter

geht das ganze überhaupt technisch / physisch oder muß der vpn router an einen anderen
port (z.b. umgenutzer WAN oder 2ter getrennter LAN-Port mit anderem Subnet) angeschlossen werden?
Bitte warten ..
Mitglied: Lochkartenstanzer
14.06.2016 um 15:55 Uhr
Zitat von beatz99:

geht das ganze überhaupt technisch / physisch oder muß der vpn router an einen anderen
port (z.b. umgenutzer WAN oder 2ter getrennter LAN-Port mit anderem Subnet) angeschlossen werden?

Ja, das geht. Wenn die beiden router über einen switch am selben Netz hängen udn beide im selben Subnet sind.

Du mußt nur der Digitalisierungsbox sagen, welche Netze sie über den VPN-Router erreicht.

lks
Bitte warten ..
Mitglied: beatz99
15.06.2016, aktualisiert um 08:00 Uhr
Danke für die bisherigen Tipps. Ich bin nun einen Schritt weiter, aber ich vestehe nicht warum es nicht funktioniert.

Ich habe in der Digitalisierungsbox unter "DNS" den Namen des (über VPN erreichbaren) Portals als statischen Host hinterlegt. Außerdem
unter "Routen" eine sogenannte Hostroute über ein Gateway eingetragen.

digitalisierungsbox standard_ dns - statische hosts_geändert - Klicke auf das Bild, um es zu vergrößern

digitalisierungsbox standard_ routen - konfiguration von ipv4-routen_geändert - Klicke auf das Bild, um es zu vergrößern

ip-konfiguration_geändert - Klicke auf das Bild, um es zu vergrößern

tracert_geändert.exe - Klicke auf das Bild, um es zu vergrößern


Lt. tracert erreiche ich das Portal tatsächlich, allerdings bekomme ich beim Aufrufen der Seite im Browser ein Timeout.

Hat jemand eine Erklärung oder ein Tipp?


Gruß Oli
Bitte warten ..
Mitglied: Lochkartenstanzer
15.06.2016, aktualisiert um 08:21 Uhr
Zitat von beatz99:

Außerdem unter "Routen" eine sogenannte Hostroute über ein Gateway eingetragen.

Du mußt eine Netzwerkroue für das netzwerk eintragen, daß über den VPN-Router erreichbar sein soll. Nicht nur eine Hostroute. Ode rmuß da nur ein einziger Host dort erreichbar sein?

Lt. tracert erreiche ich das Portal tatsächlich, allerdings bekomme ich beim Aufrufen der Seite im Browser ein Timeout.

Hat jemand eine Erklärung oder ein Tipp?


Wirf mal wireshark an und schau, was der browser alles so rausschickt und als Antwort bekommt.

lks
Bitte warten ..
Mitglied: beatz99
15.06.2016, aktualisiert um 09:12 Uhr
Bin momentan leider nicht vor Ort und kann deshalb nicht sharken.


Wenn ich den Host per IP im Brower aufrufe (mit VPN-Router als Gateway!), öffnet sich die Webseite.
Kann ich deshalb davon ausgehen, daß die Host-only Route ausreicht?

Macht die Konfiguration ansonsten Sinn?
Bitte warten ..
Mitglied: Lochkartenstanzer
15.06.2016 um 09:18 Uhr
Zitat von beatz99:

Bin momentan leider nicht vor Ort und kann deshalb nicht sharken.


Wenn ich den Host per IP im Brower aufrufe (mit VPN-Router als Gateway!), öffnet sich die Webseite.
Kann ich deshalb davon ausgehen, daß die Host-only Route ausreicht?

nein,. denn es ist davon abhängig, ob da villeicht ein redirekt erfolgt oder ob da noch Elemente von andren Seiten nachgeladen werden.

Macht die Konfiguration ansonsten Sinn?

Die frage ist, ob Du das gesamte Subnetz routen mußt oder ob die einzelne Ip ausreicht. Das läßt sich aber nur durch ein mitsniffen feststellen.

lks

Du könntest vom Client aus per Telnet versuchen, Dich auf den http-Port zu verbinden. und händisch die Seite abzurufen.
Bitte warten ..
Mitglied: beatz99
15.06.2016 um 15:14 Uhr
Kurze Verständnisfrage.

Werden die Pakete vom Standardgateway umverpackt (aus- und eingehend) oder findet die Kommunikation nach dem initialen Erfragen der Route
direkt zwischen VPN-Router und Client statt (wie gesagt gleiches LAN / gleiches Subnet)?
Bitte warten ..
Mitglied: Lochkartenstanzer
15.06.2016 um 15:21 Uhr
Zitat von beatz99:

Kurze Verständnisfrage.

Werden die Pakete vom Standardgateway umverpackt (aus- und eingehend) ...

Nein, ein Router packt die IP-Pakete pe rdefaul tnormalerweise nie um. Nur bei NAT wird ggf am Absender/Empfänger herumgespielt. Das einzige was ein Router macht, ist normalerweise den hopcount im header erniedrigen.

... oder findet die Kommunikation nach dem initialen Erfragen der Route
direkt zwischen VPN-Router und Client statt (wie gesagt gleiches LAN / gleiches Subnet)?

Üblicherweise schickt der Router ein ICMP-Redirect und wenn der Clinet das nciht blockiert, schickt er Folgepakete direkt an den VPN-Router. Der VPN-Route rhingegen stellt die Rückpakete normalerweise direkt zu, weil auf den entsprechenden arp-request der Client antwortet und nciht der andere Router.

,lks
Bitte warten ..
Mitglied: beatz99
17.06.2016, aktualisiert um 15:53 Uhr
So gesharkt.

Das was zu sagst, scheint auch in meinem Fall zuzutreffen. DNS-Auflösung Portalseite über VPN durch Standardgateway. Redirect des Clients
auf den VPN-Router. Dann erfolgt eine Antwort des Portals und dann plötzlich nichts mehr.

Vergleich:

Gateway VPN-Router (.225)

2016-06-17 15_42_25-shark_gw.225.pcapng_geändert - Klicke auf das Bild, um es zu vergrößern


Gateway Standardgateway (.1)

2016-06-17 15_39_55-shark_gw.1.pcapng_geändert - Klicke auf das Bild, um es zu vergrößern



Irgendeine Idee wieso das Portal im zweiten Fall keine Antwort geben will?
Bitte warten ..
Mitglied: Lochkartenstanzer
17.06.2016, aktualisiert um 17:04 Uhr
Zitat von beatz99:

Irgendeine Idee wieso das Portal im zweiten Fall keine Antwort geben will?

Dazu müßte man bein VPN-Router sniffen, ob die Pakete, die von der bintec zum VPN-Router kommen irgendwelche Eigenheiten haben und ob sie überhaupt durch den Tunnel gehen. Aber so wies es aussieht, wird zumindest die TCP-verbindung aufgebaut.



lks
Bitte warten ..
Ähnliche Inhalte
Netzwerkgrundlagen
Subnet Routing
Frage von Markus93Netzwerkgrundlagen4 Kommentare

Moin liebe Genossen, ich als eingefleischter Softwareentwickler wurde nun zum aufstellen der neuen Server-Infrastruktur verdonnert - Für mich ist ...

LAN, WAN, Wireless

VLAN für 4 Netzwerke an 1 DSL-Anschluss

Frage von Basti-BerlinLAN, WAN, Wireless11 Kommentare

Hallo, ich suche mir gerade eine Lösung, um 4 Netzwerke an einem DSL-Anschluss betreiben zu können. Leider lässt es ...

Router & Routing

VPN Routing 2 Standorte Denkanstoß

Frage von LattenknallerRouter & Routing5 Kommentare

Hallo miteinander, ich benötige mal eine Denkanstoß. Haben hier eine AD mit 2 Standorten über VPN verbunden. Standort 1: ...

Netzwerke

Subnet Routing 27-Netz über VPN in 2x 28 -Netz

gelöst Frage von KufsteinNetzwerke5 Kommentare

Hallo zusammen Ich stehe vor folgendes Problem: Ich bekomme auf eine Debian Maschine über eine OpenVPN Tunnel ein /27 ...

Neue Wissensbeiträge
Microsoft Office
O365 Makro Schutz nicht immer per GPO möglich
Information von sabines vor 11 StundenMicrosoft Office

Der zum Schutz gegen Verschlüsselungstrojaner wichtige Makroschutz lässt sich wohl in Office 365 nicht immer per GPO einstellen. Für ...

Netzwerkmanagement
How To Mikrotik Netinstall
Erfahrungsbericht von areanod vor 2 TagenNetzwerkmanagement

Jedes Mal wenn ich Netinstall längere Zeit nicht benutzt habe stolpere ich über die „Besonderheiten“ dieser Software. Das ist ...

Microsoft
Microsoft: LDAPS per Update als Default
Information von em-pie vor 2 TagenMicrosoft2 Kommentare

Hallo, Microsoft wird mit einem der zukünftigen Updates LDAP auf LDAPS per Default umstellen. Admins von angebundenen Systemen die ...

Humor (lol)

Funny: Warum es immer schwieriger wird, die richtigen Produkte online zu finden

Information von Dilbert-MD vor 4 TagenHumor (lol)19 Kommentare

Wir befinden uns in der Rubrik "Off Topic - Humor" und in 15 Minuten ist Freitag. und ja, es ...

Heiß diskutierte Inhalte
Windows Server
Windows Server 2019 RDP auf anderen Port umlegen scheint zumindest in der Firewall nicht zu funktionieren
gelöst Frage von kfj-deWindows Server18 Kommentare

Hallo zusammen, habe gedacht, ich mache den Remote Desktop Zugang etwas sicherer und lege den Port auf einen der ...

Netzwerke
FortiGate Firewall Konfiguration
gelöst Frage von ObaidaNetzwerke14 Kommentare

Guten Morgen, ich möchte fragen, wenn man eine Firewall zwischen den Server, der für eine Umgebung test gemacht wurde ...

Windows 10
Windows 10 das klassische Startmenü
Frage von Daoudi1973Windows 1012 Kommentare

Hallo zusammen, wie kann ich bitte ohne zusätsliche Tolls wie "das kostenlose Programm Open Shell" im Windows 10 das ...

Windows Server
Problem bei der Installation von .Net Framework 3.5 auf Server 2012R2
Frage von Timo0oWindows Server12 Kommentare

Hallo zusammen, vielleicht kann mir hier wer helfen ich bin nämlich langsam am Verzweifeln. Ich habe hier einen Server ...