4
LANCOM RIP Filter
Hallo zusammen,
ich habe mal eine kleine Verständnisfrage
Kurz zur Umgebung (vereinfacht)
Über Dual WAN gehen auf zwei LANCOM Routern VPN Verbindungen ein. Diese beiden Router Propagieren dann über RIP je nach Verbindungszustand die Subnetze der VPNs in eine DMZ. In dieser DMZ sollen jetzt zwei PFsense neu kommen, mit C.A.R.P.
Subnetze der VPNs sind 172.16.10.0/21 aufgeteilt in /28ger Netze
Funktioniert auch soweit. Die Firewall empfängt alle Routen jeweils von dem Routern. Allerdings kennen die Lancom auch die Route 0.0.0.0 und geben diese mit Raus. Problem dabei ist, das es gewollt andere Routen für 0.0.0.0 gibt. Und die Lancom lassen diesen Traffic sowieso nicht zu. Meine Idee war dann das ich diese Route gar nicht erst bekannt mache.
Und jetzt zum Thema:
Klar ist ich brauch bei RIP eine TX Filter
Versucht habe ich bereits einen Filter mit -0.0.0.0/0 einzutragen hat leider die VPNs ins Chaos gestürzt weil gar keine Route mehr übermittelt wird. Wohl auch zurecht Admin fehler
Auf der Pfsense kann ich leider keine Filter eingeben das Modul gibt nicht viel her.
Ich bin mir inzwischen ziemlich sicher das ich mehrere Werte eingeben muss nur würde gerne mal die Meinung von jemanden hören der damit öfter zu tun hat, damit es nicht wieder Chaos gibt.
Wäre folgendes sinnvoller? würde er dann nur die VPN Netze preisgeben?
-0.0.0.0/0
+172.16.10.0/21
Ich hoffe jemand kann mir helfen damit ich nicht Probieren muss.
PS: https://www.lancom-systems.de/docs/LCOS-Refmanual/9.10-Rel/DE/topics/aa1 ...
habe ich natürlich gelesen
ich habe mal eine kleine Verständnisfrage
Kurz zur Umgebung (vereinfacht)
Über Dual WAN gehen auf zwei LANCOM Routern VPN Verbindungen ein. Diese beiden Router Propagieren dann über RIP je nach Verbindungszustand die Subnetze der VPNs in eine DMZ. In dieser DMZ sollen jetzt zwei PFsense neu kommen, mit C.A.R.P.
Subnetze der VPNs sind 172.16.10.0/21 aufgeteilt in /28ger Netze
Funktioniert auch soweit. Die Firewall empfängt alle Routen jeweils von dem Routern. Allerdings kennen die Lancom auch die Route 0.0.0.0 und geben diese mit Raus. Problem dabei ist, das es gewollt andere Routen für 0.0.0.0 gibt. Und die Lancom lassen diesen Traffic sowieso nicht zu. Meine Idee war dann das ich diese Route gar nicht erst bekannt mache.
Und jetzt zum Thema:
Klar ist ich brauch bei RIP eine TX Filter
Versucht habe ich bereits einen Filter mit -0.0.0.0/0 einzutragen hat leider die VPNs ins Chaos gestürzt weil gar keine Route mehr übermittelt wird. Wohl auch zurecht Admin fehler
Auf der Pfsense kann ich leider keine Filter eingeben das Modul gibt nicht viel her.
Ich bin mir inzwischen ziemlich sicher das ich mehrere Werte eingeben muss nur würde gerne mal die Meinung von jemanden hören der damit öfter zu tun hat, damit es nicht wieder Chaos gibt.
Wäre folgendes sinnvoller? würde er dann nur die VPN Netze preisgeben?
-0.0.0.0/0
+172.16.10.0/21
Ich hoffe jemand kann mir helfen damit ich nicht Probieren muss.
PS: https://www.lancom-systems.de/docs/LCOS-Refmanual/9.10-Rel/DE/topics/aa1 ...
habe ich natürlich gelesen
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 339871
Url: https://administrator.de/contentid/339871
Ausgedruckt am: 24.11.2024 um 13:11 Uhr
4 Kommentare
Neuester Kommentar
Einfach nur die Routen eingeben, die du propagieren und/oder lernen willst, dann kannst du dir das -0.0.0.0/0 sparen.
Allerdings kennen die Lancom auch die Route 0.0.0.0 und geben diese mit Raus.
Das ist auch normal wenn auf dem Lancom default-information originate konfiguriert ist.Das ist bei allen dynamischen Route Prozessen konfigurierbar und dann propagieren diese Router auch immer die Default Route.
Das ist aber in der Regel immer abschaltbar wenn du das nicht möchtest.
Bei besseren Routern kannst du eine Filterlist definieren und das pro Interface ausfiltern.
Problem dabei ist, das es gewollt andere Routen für 0.0.0.0 gibt
Wieso ist das ein "Problem" ?Wenn das statische Routen sind, dann haben die so oder so immer eine höhere Metrik als die dynamisch gelernten und bügeln diese also über. Statisch gewinnt also immer. So kannst du die gelernten Default Routen auch einfach "überkonfigurieren". Ist kosmetisch nicht schön und unsauber, klappt aber.
Klar ist ich brauch bei RIP eine TX Filter
Das wäre unschön und führt zu dem Problem das du siehst. Der Lancom interpretiert vermutlich 0.0.0.0/0 als Wildcard für alle IP Netze.Besser ist die default-information originate Regel abzuschalten im Lancom das ist einfacher.
So heute wieder getestet. Und es geht jetzt wie gewünscht.
Was tikayevent geschrieben hat war gold richtig. Wichtig ist nur das Lancom die Subnetzmaske gerne ausgeschrieben haben möchte,
also genaue Lösung war:
+172.16.10.0/255.255.248.0
Was tikayevent geschrieben hat war gold richtig. Wichtig ist nur das Lancom die Subnetzmaske gerne ausgeschrieben haben möchte,
also genaue Lösung war:
+172.16.10.0/255.255.248.0
Das sollte man bei dynmaischem Routing auch immer machen 
