5
Frage zum Standort Routing
Hallo Kollegen aus dem Netzwerkumfeld,
ich habe mal eine Verständnisfrage zum Standort übergreifendem Routing / Datentransfer.
Am Standort A (Netz x.x.1.0/24) stehen Server die Daten verarbeiten.
Am Standort B (Netz x.x.2.0/24) stehen PCs die Daten auf Servern am Standort C (Netz x.x.3.0/24) produzieren.
Das Netz C ist über ein zusätzliches GW (VPN Router) zu erreichen, das mit Netz B verbunden ist.
Neu wird ein IPSec Tunnel mittels pfSense zwischen Standort A und B.
Nun sollen Daten von Standort C nach A übertragen werden. Wie stelle ich das am geschicktesten an? Wo müssen welche routen gesetzt werden? Oder ist es einfacher am Standort B einen "Transfer PC" einzurichten der die Daten vom Standort C abholt und an Standort A weiterleitet?
Vielen Dank für die Hilfe
Grüße
Florian
ich habe mal eine Verständnisfrage zum Standort übergreifendem Routing / Datentransfer.
Am Standort A (Netz x.x.1.0/24) stehen Server die Daten verarbeiten.
Am Standort B (Netz x.x.2.0/24) stehen PCs die Daten auf Servern am Standort C (Netz x.x.3.0/24) produzieren.
Das Netz C ist über ein zusätzliches GW (VPN Router) zu erreichen, das mit Netz B verbunden ist.
Neu wird ein IPSec Tunnel mittels pfSense zwischen Standort A und B.
Nun sollen Daten von Standort C nach A übertragen werden. Wie stelle ich das am geschicktesten an? Wo müssen welche routen gesetzt werden? Oder ist es einfacher am Standort B einen "Transfer PC" einzurichten der die Daten vom Standort C abholt und an Standort A weiterleitet?
Vielen Dank für die Hilfe
Grüße
Florian
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 282769
Url: https://administrator.de/contentid/282769
Ausgedruckt am: 22.11.2024 um 09:11 Uhr
5 Kommentare
Neuester Kommentar
Im Grunde ist die Erklärung ganz einfach....
Wenn deine Beschreibung stimmt dann hast einen VPN Tunnel zwischen:
Eine direkte Verbindung zw. A und C gibt es nicht, Daten dahin müssen also immer über B.
Daten die zwischen A und C transferiert werden müssten also 2 Routing Hops überwinden und immer via B geroutet werden.
Etwas unproduktiv, denn sinncoller wäre es von Standort C der ja mit A und B kommunizieren muss jeweils einen direkten Tunnel zu etablieren.
Du kannst ja mehrere VPN Tunnel konfigurieren.
Sollte das nicht gehen machst du es eben übers Routing. Da hast du dann 2 generelle Optionen:
Nachteil ist der erhöhte Datenoverhead
Statische Routen routen fest nur diese Netzwerke. Bieten also etwas mehr Sicherheit, da nichts dynamisch gemacht wird sind aber starr. Nachteil ist der etwas erhöhte Konfigaufwand, was bei deinen wenigen Knoten aber tolerabel ist.
Die Routen sind einfach zu setzen:
Standort A:
Default Route auf Provider IP
Netzwerk IP B via Gateway Tunnel IP zu Standort B
Netzwerk IP C via Gateway Tunnel IP zu Standort B
Standort B:
Default Route auf Provider IP
Netzwerk IP A via Gateway Tunnel IP zu Standort A
Netzwerk IP C via Gateway Tunnel IP zu Standort A
Standort C:
Default Route auf Provider IP
Netzwerk IP A via Gateway Tunnel IP zu Standort B
Netzwerk IP C via Gateway Tunnel IP zu Standort B
Fertisch...!
Bei Verwenden der dynamischen Routing Protokolle machen sich die IP Netze selber bekannt. Wenn du hier eine vermaschte VPN Struktur anwendest in der Kombination mit dyn. Routing bekommst du eine vollautomatische Redundanz. OK, natürlich nur wenn der Provider Link am Standort nicht ausfällt
Wie gesagt: Besser wäre der VPN Router auf A hat 2 VPN Tunnel einen zu B und einen zu C
Da B und C schon verbunden sind wäre das das Optimum.
Wenn deine Beschreibung stimmt dann hast einen VPN Tunnel zwischen:
- Standort B und C
- Standort A und B (neu)
Eine direkte Verbindung zw. A und C gibt es nicht, Daten dahin müssen also immer über B.
Daten die zwischen A und C transferiert werden müssten also 2 Routing Hops überwinden und immer via B geroutet werden.
Etwas unproduktiv, denn sinncoller wäre es von Standort C der ja mit A und B kommunizieren muss jeweils einen direkten Tunnel zu etablieren.
Du kannst ja mehrere VPN Tunnel konfigurieren.
Sollte das nicht gehen machst du es eben übers Routing. Da hast du dann 2 generelle Optionen:
- Dynamisches Routing mit einem Routing Protokoll wie RIPv2 oder OSPF
- Statische Routen
Nachteil ist der erhöhte Datenoverhead
Statische Routen routen fest nur diese Netzwerke. Bieten also etwas mehr Sicherheit, da nichts dynamisch gemacht wird sind aber starr. Nachteil ist der etwas erhöhte Konfigaufwand, was bei deinen wenigen Knoten aber tolerabel ist.
Die Routen sind einfach zu setzen:
Standort A:
Default Route auf Provider IP
Netzwerk IP B via Gateway Tunnel IP zu Standort B
Netzwerk IP C via Gateway Tunnel IP zu Standort B
Standort B:
Default Route auf Provider IP
Netzwerk IP A via Gateway Tunnel IP zu Standort A
Netzwerk IP C via Gateway Tunnel IP zu Standort A
Standort C:
Default Route auf Provider IP
Netzwerk IP A via Gateway Tunnel IP zu Standort B
Netzwerk IP C via Gateway Tunnel IP zu Standort B
Fertisch...!
Bei Verwenden der dynamischen Routing Protokolle machen sich die IP Netze selber bekannt. Wenn du hier eine vermaschte VPN Struktur anwendest in der Kombination mit dyn. Routing bekommst du eine vollautomatische Redundanz. OK, natürlich nur wenn der Provider Link am Standort nicht ausfällt
Wie gesagt: Besser wäre der VPN Router auf A hat 2 VPN Tunnel einen zu B und einen zu C
Da B und C schon verbunden sind wäre das das Optimum.
Hallo Aqui,
danke für die ausführliche Erläuterung. Etwas unproduktiv^^ eher Henne Ei Problem solange das Business der IT sagt was benötigt wird und nicht umgekehrt. Hintergrund Firma an Standort B hat seine Warenwirtschaft im RZ an Standort C. Standort B hat 2 Internet Anschlüsse 1 mit Default GW für das Internet. Anschluss 2 ist ein Router mit einer IP aus dem Netz B und hat einen Tunnel zu C.
Firma an Standort A kauft Firma B als erstes wird das unproduktive Personal konsolidiert und die Buchhaltung gespart. Deshalb ein VPN Tunnel zwischen A und B über das jeweilige Standard GW. Mittelfristig ist die Konsolidierung der Warenwirtschaft geplant. Darum wird es keine dedizierte Verbindung zwischen A und C geben.
Wenn ich deine Antwort richtig verstanden habe, dann gehst Du davon aus, dass B und C eine VPN Verbindung über ihr Default GW unterhalten. Das ist leider nicht der Fall, sondern dabei handelt es sich um eine dedizierte Verbindung.
Am Standort B gibt es also 2 GWs
1 Default GW mit Route ins Internet und statischer Route ins RZ über GW 2
2 GW mit Route ins RZ
Das blöde ist nun, dass ich im Netz A kein zusätzliches GW mit der IP des 2. GW aus Netz B anlegen kann, da ein GW immer eine IP aus dem selben Netz haben muss. Daraus ergibt sich auch, das versucht wird Anfragen an C aus A über das Internet zu routen, weil ich den GW von A nicht sagen kann wie C zu erreichen ist.
Die VPN Verbindung zwischen A und B wird jeweils über das Default GW von A und B etabliert.
Da C irgendwann wegfällt, kann ich mich auch damit anfreunden eine Maschine in B zu platzieren die mit A und C sprechen kann.
danke für die ausführliche Erläuterung. Etwas unproduktiv^^ eher Henne Ei Problem solange das Business der IT sagt was benötigt wird und nicht umgekehrt. Hintergrund Firma an Standort B hat seine Warenwirtschaft im RZ an Standort C. Standort B hat 2 Internet Anschlüsse 1 mit Default GW für das Internet. Anschluss 2 ist ein Router mit einer IP aus dem Netz B und hat einen Tunnel zu C.
Firma an Standort A kauft Firma B als erstes wird das unproduktive Personal konsolidiert und die Buchhaltung gespart. Deshalb ein VPN Tunnel zwischen A und B über das jeweilige Standard GW. Mittelfristig ist die Konsolidierung der Warenwirtschaft geplant. Darum wird es keine dedizierte Verbindung zwischen A und C geben.
Wenn ich deine Antwort richtig verstanden habe, dann gehst Du davon aus, dass B und C eine VPN Verbindung über ihr Default GW unterhalten. Das ist leider nicht der Fall, sondern dabei handelt es sich um eine dedizierte Verbindung.
Am Standort B gibt es also 2 GWs
1 Default GW mit Route ins Internet und statischer Route ins RZ über GW 2
2 GW mit Route ins RZ
Das blöde ist nun, dass ich im Netz A kein zusätzliches GW mit der IP des 2. GW aus Netz B anlegen kann, da ein GW immer eine IP aus dem selben Netz haben muss. Daraus ergibt sich auch, das versucht wird Anfragen an C aus A über das Internet zu routen, weil ich den GW von A nicht sagen kann wie C zu erreichen ist.
Die VPN Verbindung zwischen A und B wird jeweils über das Default GW von A und B etabliert.
Da C irgendwann wegfällt, kann ich mich auch damit anfreunden eine Maschine in B zu platzieren die mit A und C sprechen kann.
da ein GW immer eine IP aus dem selben Netz haben muss.
Nein, das ist falsch ! Es kann die IP eine jeglichen direkt am Router befindlichen Interfaces sein. Diese "kennt" der Router ja Der VPN Tunnel wird dabei ans normales Interface angesehen. Du kannst also den Tunnel selber oder die IP dort angeben
Aha man lernt nie aus.
dann stößt pfsense imho an seine Grenzen oder ich bin zu blöd das zu konfigurieren...
Für zusätzliche statische Routen muss in pfsense ein GW in das zu routende Netz angelegt werden. In pfsense von B x.x.2.1 gibt es ein zusätzliches GW x.x.2.2. und eine statische route nach x.x.3.0 über das GW x.x.2.2. Damit erreichen alle Rechner aus dem Netz x.x.2.0 das Netz x.x.3.0
Standort A und B sprechen über einen IPSec Tunnel. der Tunnel hat keine "eigenen" Tunnel IPs. In pfsense kann ich leider keiner IPSec Schnittstelle ein GW zu ordnen. Un wenn ich versuche ein GW im Netz x.x.1.0. mit der IP x.x.2.2, welches ja über den Tunnel erreicht wird, anzulegen kommt der Fehler, dass die IP aus dem selben Subnetz sein muss.
Wie hier beschrieben https://doc.pfsense.org/index.php/IPsec_with_Multiple_Subnets das geht nur wenn die Netz an pfsense anhängen und nicht über zusätzliche GWs zu erreichen sind.
Ich könnte jetzt das Netz C über ein Interface von pfsense B erreichbar machen oder mal den pfsense Support befragen.
dann stößt pfsense imho an seine Grenzen oder ich bin zu blöd das zu konfigurieren...
Für zusätzliche statische Routen muss in pfsense ein GW in das zu routende Netz angelegt werden. In pfsense von B x.x.2.1 gibt es ein zusätzliches GW x.x.2.2. und eine statische route nach x.x.3.0 über das GW x.x.2.2. Damit erreichen alle Rechner aus dem Netz x.x.2.0 das Netz x.x.3.0
Standort A und B sprechen über einen IPSec Tunnel. der Tunnel hat keine "eigenen" Tunnel IPs. In pfsense kann ich leider keiner IPSec Schnittstelle ein GW zu ordnen. Un wenn ich versuche ein GW im Netz x.x.1.0. mit der IP x.x.2.2, welches ja über den Tunnel erreicht wird, anzulegen kommt der Fehler, dass die IP aus dem selben Subnetz sein muss.
Wie hier beschrieben https://doc.pfsense.org/index.php/IPsec_with_Multiple_Subnets das geht nur wenn die Netz an pfsense anhängen und nicht über zusätzliche GWs zu erreichen sind.
Ich könnte jetzt das Netz C über ein Interface von pfsense B erreichbar machen oder mal den pfsense Support befragen.
dann stößt pfsense imho an seine Grenzen oder ich bin zu blöd das zu konfigurieren...
Leider Letzteres...!der Tunnel hat keine "eigenen" Tunnel IPs. In pfsense kann ich leider keiner IPSec Schnittstelle ein GW zu ordnen.
Leider ein Irrglaube ! Sieh dir unter Diagnostics die Routing Tabelle der FW an !Nimm sonst dynamisches Routing, dann erledigt sich das Routing von selber wenn die Tunnel aktiv sind
