Frage zum Standort Routing
Hallo Kollegen aus dem Netzwerkumfeld,
ich habe mal eine Verständnisfrage zum Standort übergreifendem Routing / Datentransfer.
Am Standort A (Netz x.x.1.0/24) stehen Server die Daten verarbeiten.
Am Standort B (Netz x.x.2.0/24) stehen PCs die Daten auf Servern am Standort C (Netz x.x.3.0/24) produzieren.
Das Netz C ist über ein zusätzliches GW (VPN Router) zu erreichen, das mit Netz B verbunden ist.
Neu wird ein IPSec Tunnel mittels pfSense zwischen Standort A und B.
Nun sollen Daten von Standort C nach A übertragen werden. Wie stelle ich das am geschicktesten an? Wo müssen welche routen gesetzt werden? Oder ist es einfacher am Standort B einen "Transfer PC" einzurichten der die Daten vom Standort C abholt und an Standort A weiterleitet?
Vielen Dank für die Hilfe
Grüße
Florian
ich habe mal eine Verständnisfrage zum Standort übergreifendem Routing / Datentransfer.
Am Standort A (Netz x.x.1.0/24) stehen Server die Daten verarbeiten.
Am Standort B (Netz x.x.2.0/24) stehen PCs die Daten auf Servern am Standort C (Netz x.x.3.0/24) produzieren.
Das Netz C ist über ein zusätzliches GW (VPN Router) zu erreichen, das mit Netz B verbunden ist.
Neu wird ein IPSec Tunnel mittels pfSense zwischen Standort A und B.
Nun sollen Daten von Standort C nach A übertragen werden. Wie stelle ich das am geschicktesten an? Wo müssen welche routen gesetzt werden? Oder ist es einfacher am Standort B einen "Transfer PC" einzurichten der die Daten vom Standort C abholt und an Standort A weiterleitet?
Vielen Dank für die Hilfe
Grüße
Florian
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 282769
Url: https://administrator.de/forum/frage-zum-standort-routing-282769.html
Ausgedruckt am: 22.12.2024 um 22:12 Uhr
5 Kommentare
Neuester Kommentar
Im Grunde ist die Erklärung ganz einfach....
Wenn deine Beschreibung stimmt dann hast einen VPN Tunnel zwischen:
Eine direkte Verbindung zw. A und C gibt es nicht, Daten dahin müssen also immer über B.
Daten die zwischen A und C transferiert werden müssten also 2 Routing Hops überwinden und immer via B geroutet werden.
Etwas unproduktiv, denn sinncoller wäre es von Standort C der ja mit A und B kommunizieren muss jeweils einen direkten Tunnel zu etablieren.
Du kannst ja mehrere VPN Tunnel konfigurieren.
Sollte das nicht gehen machst du es eben übers Routing. Da hast du dann 2 generelle Optionen:
Nachteil ist der erhöhte Datenoverhead
Statische Routen routen fest nur diese Netzwerke. Bieten also etwas mehr Sicherheit, da nichts dynamisch gemacht wird sind aber starr. Nachteil ist der etwas erhöhte Konfigaufwand, was bei deinen wenigen Knoten aber tolerabel ist.
Die Routen sind einfach zu setzen:
Standort A:
Default Route auf Provider IP
Netzwerk IP B via Gateway Tunnel IP zu Standort B
Netzwerk IP C via Gateway Tunnel IP zu Standort B
Standort B:
Default Route auf Provider IP
Netzwerk IP A via Gateway Tunnel IP zu Standort A
Netzwerk IP C via Gateway Tunnel IP zu Standort A
Standort C:
Default Route auf Provider IP
Netzwerk IP A via Gateway Tunnel IP zu Standort B
Netzwerk IP C via Gateway Tunnel IP zu Standort B
Fertisch...!
Bei Verwenden der dynamischen Routing Protokolle machen sich die IP Netze selber bekannt. Wenn du hier eine vermaschte VPN Struktur anwendest in der Kombination mit dyn. Routing bekommst du eine vollautomatische Redundanz. OK, natürlich nur wenn der Provider Link am Standort nicht ausfällt
Wie gesagt: Besser wäre der VPN Router auf A hat 2 VPN Tunnel einen zu B und einen zu C
Da B und C schon verbunden sind wäre das das Optimum.
Wenn deine Beschreibung stimmt dann hast einen VPN Tunnel zwischen:
- Standort B und C
- Standort A und B (neu)
Eine direkte Verbindung zw. A und C gibt es nicht, Daten dahin müssen also immer über B.
Daten die zwischen A und C transferiert werden müssten also 2 Routing Hops überwinden und immer via B geroutet werden.
Etwas unproduktiv, denn sinncoller wäre es von Standort C der ja mit A und B kommunizieren muss jeweils einen direkten Tunnel zu etablieren.
Du kannst ja mehrere VPN Tunnel konfigurieren.
Sollte das nicht gehen machst du es eben übers Routing. Da hast du dann 2 generelle Optionen:
- Dynamisches Routing mit einem Routing Protokoll wie RIPv2 oder OSPF
- Statische Routen
Nachteil ist der erhöhte Datenoverhead
Statische Routen routen fest nur diese Netzwerke. Bieten also etwas mehr Sicherheit, da nichts dynamisch gemacht wird sind aber starr. Nachteil ist der etwas erhöhte Konfigaufwand, was bei deinen wenigen Knoten aber tolerabel ist.
Die Routen sind einfach zu setzen:
Standort A:
Default Route auf Provider IP
Netzwerk IP B via Gateway Tunnel IP zu Standort B
Netzwerk IP C via Gateway Tunnel IP zu Standort B
Standort B:
Default Route auf Provider IP
Netzwerk IP A via Gateway Tunnel IP zu Standort A
Netzwerk IP C via Gateway Tunnel IP zu Standort A
Standort C:
Default Route auf Provider IP
Netzwerk IP A via Gateway Tunnel IP zu Standort B
Netzwerk IP C via Gateway Tunnel IP zu Standort B
Fertisch...!
Bei Verwenden der dynamischen Routing Protokolle machen sich die IP Netze selber bekannt. Wenn du hier eine vermaschte VPN Struktur anwendest in der Kombination mit dyn. Routing bekommst du eine vollautomatische Redundanz. OK, natürlich nur wenn der Provider Link am Standort nicht ausfällt
Wie gesagt: Besser wäre der VPN Router auf A hat 2 VPN Tunnel einen zu B und einen zu C
Da B und C schon verbunden sind wäre das das Optimum.
da ein GW immer eine IP aus dem selben Netz haben muss.
Nein, das ist falsch ! Es kann die IP eine jeglichen direkt am Router befindlichen Interfaces sein. Diese "kennt" der Router ja Der VPN Tunnel wird dabei ans normales Interface angesehen. Du kannst also den Tunnel selber oder die IP dort angeben
dann stößt pfsense imho an seine Grenzen oder ich bin zu blöd das zu konfigurieren...
Leider Letzteres...!der Tunnel hat keine "eigenen" Tunnel IPs. In pfsense kann ich leider keiner IPSec Schnittstelle ein GW zu ordnen.
Leider ein Irrglaube ! Sieh dir unter Diagnostics die Routing Tabelle der FW an !Nimm sonst dynamisches Routing, dann erledigt sich das Routing von selber wenn die Tunnel aktiv sind