flabs
Goto Top

Frage zum Standort Routing

Hallo Kollegen aus dem Netzwerkumfeld,

ich habe mal eine Verständnisfrage zum Standort übergreifendem Routing / Datentransfer.

Am Standort A (Netz x.x.1.0/24) stehen Server die Daten verarbeiten.

Am Standort B (Netz x.x.2.0/24) stehen PCs die Daten auf Servern am Standort C (Netz x.x.3.0/24) produzieren.

Das Netz C ist über ein zusätzliches GW (VPN Router) zu erreichen, das mit Netz B verbunden ist.

Neu wird ein IPSec Tunnel mittels pfSense zwischen Standort A und B.


Nun sollen Daten von Standort C nach A übertragen werden. Wie stelle ich das am geschicktesten an? Wo müssen welche routen gesetzt werden? Oder ist es einfacher am Standort B einen "Transfer PC" einzurichten der die Daten vom Standort C abholt und an Standort A weiterleitet?

Vielen Dank für die Hilfe

Grüße

Florian

Content-ID: 282769

Url: https://administrator.de/forum/frage-zum-standort-routing-282769.html

Ausgedruckt am: 22.12.2024 um 22:12 Uhr

aqui
aqui 13.09.2015 aktualisiert um 17:15:10 Uhr
Goto Top
Im Grunde ist die Erklärung ganz einfach....
Wenn deine Beschreibung stimmt dann hast einen VPN Tunnel zwischen:
  • Standort B und C
  • Standort A und B (neu)
Du hast also aus Layer 3 Routing Sicht quasi virtuelle Standleitungen (das sind die VPN Tunnel) zwischen diesen Standorten.
Eine direkte Verbindung zw. A und C gibt es nicht, Daten dahin müssen also immer über B.
Daten die zwischen A und C transferiert werden müssten also 2 Routing Hops überwinden und immer via B geroutet werden.
Etwas unproduktiv, denn sinncoller wäre es von Standort C der ja mit A und B kommunizieren muss jeweils einen direkten Tunnel zu etablieren.
Du kannst ja mehrere VPN Tunnel konfigurieren.

Sollte das nicht gehen machst du es eben übers Routing. Da hast du dann 2 generelle Optionen:
  • Dynamisches Routing mit einem Routing Protokoll wie RIPv2 oder OSPF
  • Statische Routen
Erstere Option ist sehr effizient, da sie auch redundante parallele Wege automatisch berücksichtigt und umschaltet und die Wegefindung dynamisch macht ohne irgendwelche Konfiguration:
Nachteil ist der erhöhte Datenoverhead
Statische Routen routen fest nur diese Netzwerke. Bieten also etwas mehr Sicherheit, da nichts dynamisch gemacht wird sind aber starr. Nachteil ist der etwas erhöhte Konfigaufwand, was bei deinen wenigen Knoten aber tolerabel ist.
Die Routen sind einfach zu setzen:
Standort A:
Default Route auf Provider IP
Netzwerk IP B via Gateway Tunnel IP zu Standort B
Netzwerk IP C via Gateway Tunnel IP zu Standort B

Standort B:
Default Route auf Provider IP
Netzwerk IP A via Gateway Tunnel IP zu Standort A
Netzwerk IP C via Gateway Tunnel IP zu Standort A

Standort C:
Default Route auf Provider IP
Netzwerk IP A via Gateway Tunnel IP zu Standort B
Netzwerk IP C via Gateway Tunnel IP zu Standort B

Fertisch...!
Bei Verwenden der dynamischen Routing Protokolle machen sich die IP Netze selber bekannt. Wenn du hier eine vermaschte VPN Struktur anwendest in der Kombination mit dyn. Routing bekommst du eine vollautomatische Redundanz. OK, natürlich nur wenn der Provider Link am Standort nicht ausfällt face-wink
Wie gesagt: Besser wäre der VPN Router auf A hat 2 VPN Tunnel einen zu B und einen zu C
Da B und C schon verbunden sind wäre das das Optimum.
flabs
flabs 13.09.2015 um 18:57:56 Uhr
Goto Top
Hallo Aqui,

danke für die ausführliche Erläuterung. Etwas unproduktiv^^ eher Henne Ei Problem solange das Business der IT sagt was benötigt wird und nicht umgekehrt. Hintergrund Firma an Standort B hat seine Warenwirtschaft im RZ an Standort C. Standort B hat 2 Internet Anschlüsse 1 mit Default GW für das Internet. Anschluss 2 ist ein Router mit einer IP aus dem Netz B und hat einen Tunnel zu C.

Firma an Standort A kauft Firma B als erstes wird das unproduktive Personal konsolidiert und die Buchhaltung gespart. Deshalb ein VPN Tunnel zwischen A und B über das jeweilige Standard GW. Mittelfristig ist die Konsolidierung der Warenwirtschaft geplant. Darum wird es keine dedizierte Verbindung zwischen A und C geben.

Wenn ich deine Antwort richtig verstanden habe, dann gehst Du davon aus, dass B und C eine VPN Verbindung über ihr Default GW unterhalten. Das ist leider nicht der Fall, sondern dabei handelt es sich um eine dedizierte Verbindung.

Am Standort B gibt es also 2 GWs
1 Default GW mit Route ins Internet und statischer Route ins RZ über GW 2
2 GW mit Route ins RZ

Das blöde ist nun, dass ich im Netz A kein zusätzliches GW mit der IP des 2. GW aus Netz B anlegen kann, da ein GW immer eine IP aus dem selben Netz haben muss. Daraus ergibt sich auch, das versucht wird Anfragen an C aus A über das Internet zu routen, weil ich den GW von A nicht sagen kann wie C zu erreichen ist.

Die VPN Verbindung zwischen A und B wird jeweils über das Default GW von A und B etabliert.

Da C irgendwann wegfällt, kann ich mich auch damit anfreunden eine Maschine in B zu platzieren die mit A und C sprechen kann.
aqui
aqui 13.09.2015 um 20:07:14 Uhr
Goto Top
da ein GW immer eine IP aus dem selben Netz haben muss.
Nein, das ist falsch ! Es kann die IP eine jeglichen direkt am Router befindlichen Interfaces sein. Diese "kennt" der Router ja face-wink
Der VPN Tunnel wird dabei ans normales Interface angesehen. Du kannst also den Tunnel selber oder die IP dort angeben face-wink
flabs
flabs 14.09.2015 um 10:28:56 Uhr
Goto Top
Aha man lernt nie aus.

dann stößt pfsense imho an seine Grenzen oder ich bin zu blöd das zu konfigurieren...

Für zusätzliche statische Routen muss in pfsense ein GW in das zu routende Netz angelegt werden. In pfsense von B x.x.2.1 gibt es ein zusätzliches GW x.x.2.2. und eine statische route nach x.x.3.0 über das GW x.x.2.2. Damit erreichen alle Rechner aus dem Netz x.x.2.0 das Netz x.x.3.0

Standort A und B sprechen über einen IPSec Tunnel. der Tunnel hat keine "eigenen" Tunnel IPs. In pfsense kann ich leider keiner IPSec Schnittstelle ein GW zu ordnen. Un wenn ich versuche ein GW im Netz x.x.1.0. mit der IP x.x.2.2, welches ja über den Tunnel erreicht wird, anzulegen kommt der Fehler, dass die IP aus dem selben Subnetz sein muss.

Wie hier beschrieben https://doc.pfsense.org/index.php/IPsec_with_Multiple_Subnets das geht nur wenn die Netz an pfsense anhängen und nicht über zusätzliche GWs zu erreichen sind.

Ich könnte jetzt das Netz C über ein Interface von pfsense B erreichbar machen oder mal den pfsense Support befragen.
aqui
aqui 14.09.2015 um 11:11:52 Uhr
Goto Top
dann stößt pfsense imho an seine Grenzen oder ich bin zu blöd das zu konfigurieren...
Leider Letzteres...!
der Tunnel hat keine "eigenen" Tunnel IPs. In pfsense kann ich leider keiner IPSec Schnittstelle ein GW zu ordnen.
Leider ein Irrglaube ! Sieh dir unter Diagnostics die Routing Tabelle der FW an !
Nimm sonst dynamisches Routing, dann erledigt sich das Routing von selber wenn die Tunnel aktiv sind face-wink