Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Bekannte Netze mit Distance 1 routen, Rest mit Distance 2 ins Blackhole?

Mitglied: gi-networx

gi-networx (Level 1) - Jetzt verbinden

12.02.2010 um 21:54 Uhr, 4862 Aufrufe, 7 Kommentare

Hi,

folgende Situation:

Ich habe verschiedene 192.168.x.0/24-Netze im Einsatz, sagen wir 192.168.1.0/24 bis 192.168.10.0/24. Diese Netze sind alle direkt an einen zentralen Router angeschlossen, welcher in jedem Netz eine Gateway-IP hat und zwischen den Netzen routet. Zusätzlich sind die Netze 192.168.50.0/24 bis 192.168.60.0/24 über einen 2. Router erreichbar. Die Routen dorthin sind statisch im zentralen Router eingetragen.

Als Default-Route ist im zentralen Router die Gateway-IP meiner Firewall eingetragen, also die Route ins Internet. Ich möchte jetzt allerdings vermeiden, dass der zentrale Router Pakete für z.B. 192.168.90.0/24 unnützerweise an die Firewall sendet, da er dieses Netz nicht kennt. Da es ja vorhersehbar ist, dass die Firewall mit diesen Paketen auch nichts anfangen kann möchte ich unnütze Load auf der Firewall vermeiden.

Die oben genannten Routen in die direkt angeschlossenen Netze und in die Netze die über den 2. Router erreichbar sind, sind alle mit einer administrativen Distanz 1 konfiguriert. Ich habe mir jetzt überlegt, dass ich auf dem Zentralrouter eine Blackhole- bzw. Reject-Route nach 192.168.0.0/16 mit einer administrativen Distanz von 2 (oder höher) einrichte. Davon erwarte ich mir das der Router alle Pakete in die vorhandenen Netze über die jeweilige Route mit der Distanz 1 sendet und die Pakete für die nicht vorhandenen Netze via der /16-Route mit der Distanz 2 verwirft, weil er keine andere Route in diese Netze hat.

Habe ich mir das richtig vorgestellt, oder habe ich hier irgendwo einen Denkfehler drin???

Viele Grüße,
MIchl
Mitglied: datasearch
12.02.2010 um 22:05 Uhr
Wenn dein Router richtig arbeitet wird das so funktionieren und ist eine übliche Konfiguration. Du musst nur beim konfigurieren aufpassen, nicht das du dich absägst.
Bitte warten ..
Mitglied: dog
13.02.2010 um 00:48 Uhr
Ich möchte jetzt allerdings vermeiden, dass der zentrale Router Pakete für z.B. 192.168.90.0/24 unnützerweise an die Firewall sendet, da er dieses Netz nicht kennt.

Was auf jedem besseren Router mit einer Firewall / ACL Regel erledigt ist...
Bitte warten ..
Mitglied: gi-networx
13.02.2010 um 09:11 Uhr
Aber dann müsste ich ja für jedes nicht vorhandene Netz einen eigenen Eintrag in einer ACL machen, oder? Ich möchte eigentlich vermeiden, dass wenn ich z.B. ein neues Netz anlege, ich noch zusätzlich an anderen Stellen (z.B. in der ACL) irgendwas ändern muss. So könnte ich halt einfach auf dem Router ein neues Interface im neuen Netz konfigurieren und die Sache wäre damit gegessen...
Bitte warten ..
Mitglied: aqui
13.02.2010 um 13:10 Uhr
Nein ! Du kannst doch CIDR Masken benutzen was deine Firewall problemlos supporten sollte !!
Die Firewall wird ja niemals RFC 1918 Netze ins Internet routen.
Du konfigurierst schlicht und einfach wie dog oben schon erwähnt hat eine Inbound Regel mit der du alle RFC_1918_IP_Netze (Private IPs) ganz simpel blockst !!!
In Cisco Access Listen Nomenklatur gesprochen sähe eine ACL für alle privaten IPs dann so aus:
access-list 110 deny ip any 10.0.0.0 0.255.255.255
access-list 110 deny ip any 172.16.0.0 0.15.255.255
access-list 110 deny ip any 192.168.0.0 0.0.255.255

Analog übernimmst du das für deine FW am eingehenden Ethernet Interface und schon hat diese Ruhe vor diesen IP Netzen !!
Noch besser wäre es diese Liste am zentralen Router am Interface wo deine FW hängt zu implementieren, dann kommen diese Pakete gar nicht erst an der FW an
Einfacher gehts ja nun wirklich nicht...!
Bitte warten ..
Mitglied: gi-networx
13.02.2010 um 15:24 Uhr
Hi,

ja, das hört sich natürlich auch logisch an. Das Traffic in private Netze gar nicht erst an der FW ankommt, war ja vor vornherein meine Idee. Allerdings habe ich noch eine Frage zu

access-list 110 deny ip any 10.0.0.0 0.255.255.255

Ich kenne mich mit Cisco ACLs jetzt nicht so gut aus, aber müsste es nicht

access-list 110 deny ip any 10.0.0.0 255.0.0.0 oder 10.0.0.0/8 heißen?

Schreibt man die Maske in Ciscos ACLs andersherum?
Bitte warten ..
Mitglied: gi-networx
13.02.2010 um 15:28 Uhr
Ah okay, ich habe das ganze jetzt gerade nochmal auf http://www.cisco.com/en/US/products/sw/secursw/ps1018/products_tech_not ... nachgelesen. Alles klar...
Bitte warten ..
Mitglied: datasearch
13.02.2010 um 20:58 Uhr
Eine ACL ist hier aber überflüssig. Die privaten Adressen routet man am Gateway gegen Null. Wenn du dann Routen für die existierenden Netze entweder über ein Routingprotokoll oder statisch dem Router bekannt machst, funktioniert alles. Eine ACL ist hier nur unnötiger Konfigurationsaufwand und kostet unnütz CPU.

Routing-Konfiguration (IP-Adressen erfunden):
Linux-Router, interne IP des Transportnetzes: 10.0.10.1
Cisco-L3 Switch, IP im Transportnetz: 10.0.10.2


01.
 
02.
ip route add blackhole 10.0.0.0/8
03.
ip route add blackhole 172.6.0.0/12
04.
ip route add blackhole 192.168.0.0/16
05.
ip route add 10.0.0.0/16 via 10.0.10.2
Der Switch hat 10 weitere Subnetze lokal connected. Um Pakete an nicht vorhandene IP-Netze aus dem Netz 10.0.0.0/16 nicht wieder zurück an den Router zu schicken, und damit eine Loop (Ping-Pong Problem) zu bauen, werden am Router ebenfalls die Blackhole-Netze bekanntgegeben.

Ein weiteres Segment aus dem Bereich 10.0.100.0/22 beifindet sich hinter dem L3 Switch. Erreichbar über einen weiteren Router 10.0.50.2 vom L3 Interface 10.0.50.1.

01.
ip route 10.0.0.0 255.0.0.0 null0
02.
ip route 10.0.100.0 255.255.252.0 10.0.50.2
Auf diesem Router gibt es dann wieder die Blackhole-Routen um noch nicht vorhandene Netze ebenfalls nach null zu routen. Hier darf es aber nur 10.0.100.0/22 sein, dass nach null0 geroutet wird, sonst wird kein Client über diesen Router das Internet-Gateway erreichen können. Interface null0 muss natürlich vorhanden sein

Mit dieser Methode brauchst du keine einzige ACL und kannst alles vn der Routing-Engine, die teilweise in Hardware realisiert ist, erledigen lassen. Access-lists gehen in den meisten fällen über die CPU.
Bitte warten ..
Ähnliche Inhalte
Netzwerkmanagement

2 URLs über Gateway 1, Rest über Gateway 2

gelöst Frage von Funky86Netzwerkmanagement4 Kommentare

Hallo an Alle! Ich komme bei einem Problem nicht so richtig weiter. Folgende Konstellation ist aufgebaut (habe ich so ...

Router & Routing

2 Router - 1 DSL Zugang - Netz 1 darf nicht in Netz 2

gelöst Frage von mksadmRouter & Routing10 Kommentare

Guten Abend, vorab zur Problemstellung: Wie oben in der Überschrift beschrieben, möchte ich meine beiden Router zusammenhängen/hintereinanderschalten, um 2 ...

Router & Routing

Netzwerkkonfiguration - PC ist in Netz 1 und soll aus Netz 2 remote erreichbar sein

Frage von hhpp99Router & Routing3 Kommentare

Hallo, ich habe einen W7-PC, der ist im Netz 1 (192.168.178.0) und soll aus Netz 2 (10.109.62.0) remote erreichbar ...

Router & Routing

2 Router Netzwerk - je 1 LAN Port aus dem Anderen Netz bereitstellen

Frage von PaladiumRouter & Routing13 Kommentare

Hallo ich versuche seit langem schon in meinem Netzwerk an den Routern je ein LAN Port aus dem Anderen ...

Neue Wissensbeiträge
Sicherheits-Tools
Putty hat heftige Bugs korrigiert!
Information von Lochkartenstanzer vor 16 StundenSicherheits-Tools5 Kommentare

Moin, Wie man aus herauslesen kann, sind in den Versionen vor 0.71 gravierende Bugs, die es angeraten erscheinen lassen, ...

Off Topic
Sachen die die Welt nicht braucht - Platz 1
Tipp von brammer vor 3 TagenOff Topic14 Kommentare

Hallo, ich habs als Tipp angelegt als Erfahrungsbericht nein Danke brammer

Humor (lol)
Spirit of Health-Kongress in Berlin
Information von AnkhMorpork vor 3 TagenHumor (lol)5 Kommentare

tgif! Beim dritten Spirit of Health-Kongress trafen sich am Wochenende Alternativmediziner und Naturheilkundler im Maritim Hotel Berlin, um sich ...

Windows 7

Updates zum Nachrüsten des SHA-2-Support für Windows 7 SP1, Windows Server 2008 (R2) und WSUS 3.0 SP2 sind da

Information von kgborn vor 5 TagenWindows 7

Wie bereits früher angekündigt (Windows 7 u. Server 2008 (R2) SHA-2-Update kommt am 12. März 2019) hat Microsoft die ...

Heiß diskutierte Inhalte
Cloud-Dienste
Remotedesktopverbindungen beeinflussen sich gegenseitig
gelöst Frage von Samy89Cloud-Dienste15 Kommentare

Moin, ich habe mehrere RDPs gleichzeitig laufen, auf denen jeweils ein Script via Powershell läuft. In diesem Prozess benutzt ...

Netzwerkgrundlagen
Reicht 10GBit Uplink Port für Stacking für ein 10GBit Switch?
gelöst Frage von walnickNetzwerkgrundlagen12 Kommentare

Hallo, Ich habe eine frage. Ich überlege gerade 2 neue Switche von CiscoSG350XG-24F  zu kaufen und die als Core ...

LAN, WAN, Wireless
Switch als Verbindung von 2 Netzwerken
gelöst Frage von Lutz-ReLAN, WAN, Wireless12 Kommentare

Guten Tag Ich hab folgendes Problem 2 Rechner und 2 IP Kameras sind ohne dhcp in einen IP4 Netzwerk ...

DNS
Größere DNS Probleme nach zweitem DC. Eigentlich sollte es auch dadurch besser werden
Frage von TeWutzDNS12 Kommentare

Hallo zusammen, nachdem ich letzte Woche erfolgreich einen zweiten DC ) an den Start gebracht habe melden sich weiterhin ...