Mikrotik - statische Route (distance, scope, target scope)

Hallo admins,

gegeben ist ein Netz mit 2 WAN Anschlüssen. Das ist eine Zahnarztpraxis wo der Sozialversicherungsträger einen eigenen WAN Zugang bereitstellt, weil das die verschlüsselte Schnittstelle zum Sozialversicherungsnetz ist.

Internes LAN:

10.10.10.0/24
GW: 10.10.10.254
Mask: 255.255.255.0

Firewall und Router ist ein hEX S von Mikrotik wo an Port1 das separate WAN angeschlossen ist und an Port2 (von der Bridge losgelöst) das LAN (mit oben genannter Konfiguration).

An Port2 des MT hängt dann ein Cisco SG200-26 Switch ohne VLANS, stupides flaches Netz.

An Port 20 des Cisco Switches hängt ein Cisco 887 von der Sozialversicherung. Auf diesen habe ich keinen Zugriff. Allerdings ist dort auf Port3 die so genannte Ginabox konfiguriert in einem eigenen VLAN, welche das Gateway darstellt zum Sozialversicherungs Rechenzentrum. Die Ports 0-2 sind in einem eigenen VLAN und da hängt eben unser Cisco Switch dran. Da ist ein Port fix mit der 10.10.10.200 konfiguriert.

Diese Ginabox hat eine private IP Adresse die die Sozialversicherung in ihrem Netz nutzt. 10.203.xxx.xxx

ordi_netzwerkplan_edit

Die Arztsoftware die auf den Clients läuft, kommuniziert mit dieser Ginabox wenn Daten der Patienten abgefragt werden und geschickt werden.

Ich habe also eine statische Route auf dem Mikrotik eingerichtet.

Jeglicher Traffic, der an die 10.203.xxx.xxx gerichtet ist, soll über die 10.10.10.200 geschickt werden (dies ist der Port unseres Cisco Switches an dem der Cisco der Sozialversicherung hängt).

Aktuell ist das Problem, dass der Traffic extrem langsam ist wenn diese Daten abgefragt werden sollen. Es dauert ca. 2 min bis der erste Dialog aufgebaut wird, und nach Bestätigung nochmal 2 min ca. Aber es funktioniert schlussendlich.

Wenn ich allerdings einen Client hernehme und dem eine IP Adresse aus dem 10.10.10.0/24 Netz verpasse und als Gateway aber die .200 und nicht den MT mit .254, dann funktioniert der Datenaustausch so wie gewünscht. Dafür geht natürlich kein Internet und sonstiges (weil der Cisco der Sozialversicherung dafür nicht konfiguriert ist).
Das sagt mir doch, dass irgendetwas mit dem Gateway bzw. der statischen Route nicht "richtig" ist. Ganz falsch kann es nicht sein, denn es funktioniert ja, nur halt extrem langsam.

bildschirmfoto 2020-11-20 um 10.59.59

Habt ihr eine Idee woran das liegen kann oder ob ich etwas übersehen habe?

Falls ich noch Infos nachliefern soll, kann ich das gerne tun.

Danke und Gruß,
Michael

Content-Key: 624265

Url: https://administrator.de/contentid/624265

Ausgedruckt am: 27.11.2021 um 09:11 Uhr

Mitglied: aqui
Lösung aqui 20.11.2020 aktualisiert um 12:04:14 Uhr
Goto Top
Jeglicher Traffic, der an die 10.203.xxx.xxx gerichtet ist, soll über die 10.10.10.200 geschickt werden (dies ist der Port unseres Cisco Switches an dem der Cisco der Sozialversicherung hängt).
Das ist natürlich völliger Quatsch, denn der Cisco SG-200 ist ein reiner Layer 2 Switch der gar nicht routen kann.
Das ist vermutlich ein freudscher Versprecher deinerseits und du meinst den Cisco 800er Router, richtig ??
Dann wäre es technisch richtig.
Aktuell ist das Problem, dass der Traffic extrem langsam ist wenn diese Daten abgefragt werden sollen.
Das liegt sehr wahrscheinlich daran das sowohl auf dem Mikrotik als auch auf dem Cisco Router ICMP Redirect deaktiviert ist. Das gesamte Fehlerbild spricht stark dafür.
Damit sind die Router nicht in der Lage einen Redirect an das Endgerät zu senden so das dieses den zur Route genutzten Router direkt ansprechen kann. Ohne Redirect landen alle Pakete auf dem Default Router und der routet dann weiter. Er funktiert also quasi als "Durchlauferhitzer" und verdoppelt damit den Paket Flow im Netz. Zudem behindert es seinen eigene Performance und macht das Netz entsprechend langsam. Einen lokalen Redirect, also den Reroute auf dem gleichen physischen Interface muss der Router immer in CPU also Software ausführen was ihn erheblich in der Performance einschränkt. Dein "Workaround" beweist diesen Umstand eindeutig.
Hättest du auch leicht selber gesehen wenn du dir diesen Traffic nur einmal mit einem Wireshark Trace angesehen hättest. Leider hast du das versäumt. :-( face-sad
Bedenke auch das du an den Clients ebenso das ICMP Redirect freigeben musst. Ist es ein Winblows Rechner erfordert das eine entsprechende Freigabe in der lokalen Firewall da ICMP dort per default geblockt ist.

Das Grundübel im ansonsten richtigen Setup ist aber dein Routing Design mit dem separaten Router im gleichen Client Netz der damit immer ein Redirecting erforderlich macht, will man nicht immer mit doppeltem Traffic arbeiten.
Viel sinnvoller wäre es gewesen den Cisco 887 mit einem Bein direkt an den zentralen Mikrotik in ein separates Subnetz z.B. 10.10.11.0 /24 zu hängen. Das hätte dann einen Redirect Zwang an Router und Clients überflüssig gemacht. Es gibt ja dann nur einen zentralen Router.
Erfordert dann aber seitens des 887 Betreibers 2 kleine Änderungen in der Router Konfig:
  • IP Adress Änderung am LAN Interface auf 10.10.11.200 /24
  • Eintrag einer statischen Route: ip route 10.10.10.0 255.255.255.0 10.10.11.1 (IP Adresse MT im neuen Subnetz)

Letztlich wäre es also besser du würdest das etwas umbauen, denn das erspart dir die Rekonfiguration beider Router und das Anpassen des ICMP Filters in der lokalen Firewall aller Endgeräte !
Mitglied: michi1983
michi1983 20.11.2020 aktualisiert um 12:09:32 Uhr
Goto Top
Hi aqui,

danke für deine Antwort.
Ich sagte ja, dass ich diese statische Route auf dem Mikrotik eingerichtet habe. Und zwar auf den Port 10.10.10.200 (diese IP hat der Cisco 800) der an Port 20 meines Cisco SG200 hängt. So passt es nun oder?

Okay, du hast sicherlich Recht damit, dass der Cisco 800 besser direkt am MT aufgehoben ist.
Der Cisco 800 ist allerdings vom Sozialversicherungsträger konfiguriert, darauf hab ich keinen Einfluss.
Da der jetzt aber das selbe IP Netzt nutzt wie mein internes LAN, habe ich ein Problem, richtig?

Kann ich dem Port3 meines MT einfach eine statische IP geben, z.B. 192.168.0.1 und die Kollegen von der Sozialversicherung müssten den Cisco800 an dem Port an dem er an den MT angeschlossen ist einfach dahingehend anpassen?

Danke und Gruß,
Michael

Edit: sorry aqui, hab deine Vorschlag völlig überlesen mit der Adressierung. Vergiss meinen Vorschlag bitte.
Mitglied: aqui
aqui 20.11.2020 aktualisiert um 12:15:43 Uhr
Goto Top
darauf hab ich keinen Einfluss.
Das stimmt ja nicht, denn man kann den Administratoren dort schon Vorgaben machen für lokale LAN Verhältnisse die diese dann umsetzen.
Du kannst das Pferd auch anders aufzäumen indem du das Netzwerk als Koppelnetz belässt aber ein neues IP Netz für deinen lokalen Clients aufsetzt.
Das erspart dann die lokale IP Adressänderung auf dem 887 aber die zusätzliche statische Route ist weiterhin erforderlich !
In der Regel setzen die Administratoren sowas auch problemlos um, denn du bist bei weitem nicht der Einzige der solche externen Dienstleister aus guten Gründen (Sicherheit, DSGVO usw.) in ein separates Segment legt. Das ist gängige und auch gute Praxis. Frag den Kollegen @keine-ahnung hier im Forum ! ;-) face-wink
Kann ich dem Port3 meines MT einfach eine statische IP geben, z.B. 192.168.0.1
Ja, das ist die o.a. angesprochene Option das Clientnetz zu ändern. Besser aber keine dümmliche Allerwelts 192.168.0er IP die die Gefahr einer Überschneidung vorzeichnet. Es gibt sinnvolleres im RFC 1918er Bereich wie du als IT Admin ja auch selber weisst !
Du brauchst aber die statische Route im 887er in das netz sonst scheitert die Rückroute von Traffic ins Clientnetz.
Wie gesagt: Das lösen diese Administratoren immer problemlos sofern man das mit denen abstimmt.
Mitglied: michi1983
michi1983 20.11.2020 um 13:08:43 Uhr
Goto Top
Damit meinte ich natürlich keinen - direkten - Einfluss. Natürlich kann ich die Vorgaben machen, was ich auch soeben gemacht habe. Danke für den Hinweis auf jeden Fall!

Meine statische Route im MT muss ich aber dennoch auch umdefinieren, richtig?
Denn es soll ja weiterhin der Traffic der an diese Ginabox geht, dann über das eth3 (in meinem Fall) des MT raus gehen.

Gruß,
Michael
Mitglied: aqui
aqui 20.11.2020 aktualisiert um 13:18:29 Uhr
Goto Top
Meine statische Route im MT muss ich aber dennoch auch umdefinieren, richtig?
Kommt drauf an... ?!
Wenn du das IP Netz des Cisco 887 beibehälst und nur dein lokales Client Netz änderst dann natürlich nicht. Da ändert sich dann doch nix !
Wenn du die erste Variante genommen hast mit der Änderung des Koppelnetzes zum 887, dann musst du es natürlich ändern auf die neue next Hop IP.
Traceroute (tracert) ist hier wie immer dein bester Freund die Route zu verifizieren ! ;-) face-wink
Mitglied: michi1983
michi1983 26.11.2020 um 19:51:51 Uhr
Goto Top
So, mittlerweile wurde das Netz dahingehend umgestellt, dass der Cisco 887 der SV an ein zweites Bein meines MTs gesteckt wurde.
Auf dem neuen Interface des MT hab ich ein neues Subnetz definiert - welches von den SV Admins auf dem 887 angepasst werden hat müssen.
Des weiteren habe ich die statische Route in meinem Netz angepasst auf das neue Gateway zu eben diesem 887 Cisco.

Jetzt läuft wieder alles einwandfrei wie es soll.

Danke nochmal aqui!
Heiß diskutierte Beiträge
question
Windows Server 2019 AD MigrationjamesbrownVor 1 TagFrageWindows Server9 Kommentare

Hallo zusammen Langsam habe ich Panik, die komplette Domäne zerschossen zu haben. Bevor ich weiter vergehe, wollte ich darum hier um Rat bitten. Was ist ...

question
Mobilfunk-Internet ins Heimnetzwerk integrieren? gelöst AvarianVor 1 TagFrageNetzwerkmanagement7 Kommentare

Hallo, Ich bin neu hier. Wir sind vorletztes Jahr umgezogen. Die Gelegenheit habe ich damals direkt genutzt, um künftig auf wackelige WLAN-Lösungen (Repeater, Mesh-Repeater, Powerlines ...

question
Maximale Empfänger bei Office365 gelöst mmpmmpVor 1 TagFrageMicrosoft Office11 Kommentare

Hallo, ich verwende nun Office365 (Exchange Online) für Emails und würde gerne die Weihnachtsgrüße per Mail versenden. Wo liegen die Beschränkungen der maximalen Empfänger? ...

report
Mailversand durch Sophos XG gestört (25.11.2021)kgbornVor 1 TagErfahrungsberichtFirewall2 Kommentare

Kurze Information - vielleicht hat jemand eine ähnliche Beobachtung gemacht. Ein IT-Admin hat mich darauf hingewiesen, dass es wohl gestern (25.11.2021) ein Update des Antivirus-Pattern ...

question
Über das Notebook per Simkarte von unterwegs aus ins Internet?isarc01Vor 1 TagFrage5G, 4G, LTE, UMTS, EDGE & GPRS8 Kommentare

Hallo, folgende Frage: Wenn ich über mein Notebook über eine angemeldete SIM Karte mit einer Datenflatrate ins Internet gehen möchte, benötige ich hier einen bestimmten ...

question
Reinigung der Apple Watch gelöst honeybeeVor 19 StundenFrageApple6 Kommentare

Hallo, mit welchem Reinigungsmittel kann ich das Armband meiner Apple Watch schonend reinigen? Auf dem Bild seht ihr, dass es in einem guten Zustand ist. ...

question
HP Notebook startet nicht mehrben1300Vor 21 StundenFrageHardware5 Kommentare

Hallo zusammen, mein HP Notebook Modell 17-ca1300ng startet nicht mehr. Wenn ich den Power Knopf drücke, blinkt die LED neben der Ladebuchse 3x weiß. Jemand ...

question
NAS-Fileserver für KassenverbundsystemGastroVor 1 TagFrageSAN, NAS, DAS4 Kommentare

Hallo IT-Community, vor weg - Ich bin kein IT Adminstrator, sondern einfacher Anwender. Die Situation: Unsere Betriebe arbeiten mit Kassenverbundsystemen. Drei bis fünf PC's (Intel ...