gelöst Mikrotik - statische Route (distance, scope, target scope)

Mitglied: michi1983

michi1983 (Level 3) - Jetzt verbinden

20.11.2020 um 11:36 Uhr, 437 Aufrufe, 6 Kommentare

Hallo admins,

gegeben ist ein Netz mit 2 WAN Anschlüssen. Das ist eine Zahnarztpraxis wo der Sozialversicherungsträger einen eigenen WAN Zugang bereitstellt, weil das die verschlüsselte Schnittstelle zum Sozialversicherungsnetz ist.

Internes LAN:

10.10.10.0/24
GW: 10.10.10.254
Mask: 255.255.255.0

Firewall und Router ist ein hEX S von Mikrotik wo an Port1 das separate WAN angeschlossen ist und an Port2 (von der Bridge losgelöst) das LAN (mit oben genannter Konfiguration).

An Port2 des MT hängt dann ein Cisco SG200-26 Switch ohne VLANS, stupides flaches Netz.

An Port 20 des Cisco Switches hängt ein Cisco 887 von der Sozialversicherung. Auf diesen habe ich keinen Zugriff. Allerdings ist dort auf Port3 die so genannte Ginabox konfiguriert in einem eigenen VLAN, welche das Gateway darstellt zum Sozialversicherungs Rechenzentrum. Die Ports 0-2 sind in einem eigenen VLAN und da hängt eben unser Cisco Switch dran. Da ist ein Port fix mit der 10.10.10.200 konfiguriert.

Diese Ginabox hat eine private IP Adresse die die Sozialversicherung in ihrem Netz nutzt. 10.203.xxx.xxx

ordi_netzwerkplan_edit - Klicke auf das Bild, um es zu vergrößern

Die Arztsoftware die auf den Clients läuft, kommuniziert mit dieser Ginabox wenn Daten der Patienten abgefragt werden und geschickt werden.

Ich habe also eine statische Route auf dem Mikrotik eingerichtet.

Jeglicher Traffic, der an die 10.203.xxx.xxx gerichtet ist, soll über die 10.10.10.200 geschickt werden (dies ist der Port unseres Cisco Switches an dem der Cisco der Sozialversicherung hängt).

Aktuell ist das Problem, dass der Traffic extrem langsam ist wenn diese Daten abgefragt werden sollen. Es dauert ca. 2 min bis der erste Dialog aufgebaut wird, und nach Bestätigung nochmal 2 min ca. Aber es funktioniert schlussendlich.

Wenn ich allerdings einen Client hernehme und dem eine IP Adresse aus dem 10.10.10.0/24 Netz verpasse und als Gateway aber die .200 und nicht den MT mit .254, dann funktioniert der Datenaustausch so wie gewünscht. Dafür geht natürlich kein Internet und sonstiges (weil der Cisco der Sozialversicherung dafür nicht konfiguriert ist).
Das sagt mir doch, dass irgendetwas mit dem Gateway bzw. der statischen Route nicht "richtig" ist. Ganz falsch kann es nicht sein, denn es funktioniert ja, nur halt extrem langsam.

bildschirmfoto 2020-11-20 um 10.59.59 - Klicke auf das Bild, um es zu vergrößern

Habt ihr eine Idee woran das liegen kann oder ob ich etwas übersehen habe?

Falls ich noch Infos nachliefern soll, kann ich das gerne tun.

Danke und Gruß,
Michael
Mitglied: aqui
LÖSUNG 20.11.2020, aktualisiert um 12:04 Uhr
Jeglicher Traffic, der an die 10.203.xxx.xxx gerichtet ist, soll über die 10.10.10.200 geschickt werden (dies ist der Port unseres Cisco Switches an dem der Cisco der Sozialversicherung hängt).
Das ist natürlich völliger Quatsch, denn der Cisco SG-200 ist ein reiner Layer 2 Switch der gar nicht routen kann.
Das ist vermutlich ein freudscher Versprecher deinerseits und du meinst den Cisco 800er Router, richtig ??
Dann wäre es technisch richtig.
Aktuell ist das Problem, dass der Traffic extrem langsam ist wenn diese Daten abgefragt werden sollen.
Das liegt sehr wahrscheinlich daran das sowohl auf dem Mikrotik als auch auf dem Cisco Router ICMP Redirect deaktiviert ist. Das gesamte Fehlerbild spricht stark dafür.
Damit sind die Router nicht in der Lage einen Redirect an das Endgerät zu senden so das dieses den zur Route genutzten Router direkt ansprechen kann. Ohne Redirect landen alle Pakete auf dem Default Router und der routet dann weiter. Er funktiert also quasi als "Durchlauferhitzer" und verdoppelt damit den Paket Flow im Netz. Zudem behindert es seinen eigene Performance und macht das Netz entsprechend langsam. Einen lokalen Redirect, also den Reroute auf dem gleichen physischen Interface muss der Router immer in CPU also Software ausführen was ihn erheblich in der Performance einschränkt. Dein "Workaround" beweist diesen Umstand eindeutig.
Hättest du auch leicht selber gesehen wenn du dir diesen Traffic nur einmal mit einem Wireshark Trace angesehen hättest. Leider hast du das versäumt.
Bedenke auch das du an den Clients ebenso das ICMP Redirect freigeben musst. Ist es ein Winblows Rechner erfordert das eine entsprechende Freigabe in der lokalen Firewall da ICMP dort per default geblockt ist.

Das Grundübel im ansonsten richtigen Setup ist aber dein Routing Design mit dem separaten Router im gleichen Client Netz der damit immer ein Redirecting erforderlich macht, will man nicht immer mit doppeltem Traffic arbeiten.
Viel sinnvoller wäre es gewesen den Cisco 887 mit einem Bein direkt an den zentralen Mikrotik in ein separates Subnetz z.B. 10.10.11.0 /24 zu hängen. Das hätte dann einen Redirect Zwang an Router und Clients überflüssig gemacht. Es gibt ja dann nur einen zentralen Router.
Erfordert dann aber seitens des 887 Betreibers 2 kleine Änderungen in der Router Konfig:
  • IP Adress Änderung am LAN Interface auf 10.10.11.200 /24
  • Eintrag einer statischen Route: ip route 10.10.10.0 255.255.255.0 10.10.11.1 (IP Adresse MT im neuen Subnetz)

Letztlich wäre es also besser du würdest das etwas umbauen, denn das erspart dir die Rekonfiguration beider Router und das Anpassen des ICMP Filters in der lokalen Firewall aller Endgeräte !
Bitte warten ..
Mitglied: michi1983
20.11.2020, aktualisiert um 12:09 Uhr
Hi aqui,

danke für deine Antwort.
Ich sagte ja, dass ich diese statische Route auf dem Mikrotik eingerichtet habe. Und zwar auf den Port 10.10.10.200 (diese IP hat der Cisco 800) der an Port 20 meines Cisco SG200 hängt. So passt es nun oder?

Okay, du hast sicherlich Recht damit, dass der Cisco 800 besser direkt am MT aufgehoben ist.
Der Cisco 800 ist allerdings vom Sozialversicherungsträger konfiguriert, darauf hab ich keinen Einfluss.
Da der jetzt aber das selbe IP Netzt nutzt wie mein internes LAN, habe ich ein Problem, richtig?

Kann ich dem Port3 meines MT einfach eine statische IP geben, z.B. 192.168.0.1 und die Kollegen von der Sozialversicherung müssten den Cisco800 an dem Port an dem er an den MT angeschlossen ist einfach dahingehend anpassen?

Danke und Gruß,
Michael

Edit: sorry aqui, hab deine Vorschlag völlig überlesen mit der Adressierung. Vergiss meinen Vorschlag bitte.
Bitte warten ..
Mitglied: aqui
20.11.2020, aktualisiert um 12:15 Uhr
darauf hab ich keinen Einfluss.
Das stimmt ja nicht, denn man kann den Administratoren dort schon Vorgaben machen für lokale LAN Verhältnisse die diese dann umsetzen.
Du kannst das Pferd auch anders aufzäumen indem du das Netzwerk als Koppelnetz belässt aber ein neues IP Netz für deinen lokalen Clients aufsetzt.
Das erspart dann die lokale IP Adressänderung auf dem 887 aber die zusätzliche statische Route ist weiterhin erforderlich !
In der Regel setzen die Administratoren sowas auch problemlos um, denn du bist bei weitem nicht der Einzige der solche externen Dienstleister aus guten Gründen (Sicherheit, DSGVO usw.) in ein separates Segment legt. Das ist gängige und auch gute Praxis. Frag den Kollegen @keine-ahnung hier im Forum !
Kann ich dem Port3 meines MT einfach eine statische IP geben, z.B. 192.168.0.1
Ja, das ist die o.a. angesprochene Option das Clientnetz zu ändern. Besser aber keine dümmliche Allerwelts 192.168.0er IP die die Gefahr einer Überschneidung vorzeichnet. Es gibt sinnvolleres im RFC 1918er Bereich wie du als IT Admin ja auch selber weisst !
Du brauchst aber die statische Route im 887er in das netz sonst scheitert die Rückroute von Traffic ins Clientnetz.
Wie gesagt: Das lösen diese Administratoren immer problemlos sofern man das mit denen abstimmt.
Bitte warten ..
Mitglied: michi1983
20.11.2020 um 13:08 Uhr
Damit meinte ich natürlich keinen - direkten - Einfluss. Natürlich kann ich die Vorgaben machen, was ich auch soeben gemacht habe. Danke für den Hinweis auf jeden Fall!

Meine statische Route im MT muss ich aber dennoch auch umdefinieren, richtig?
Denn es soll ja weiterhin der Traffic der an diese Ginabox geht, dann über das eth3 (in meinem Fall) des MT raus gehen.

Gruß,
Michael
Bitte warten ..
Mitglied: aqui
20.11.2020, aktualisiert um 13:18 Uhr
Meine statische Route im MT muss ich aber dennoch auch umdefinieren, richtig?
Kommt drauf an... ?!
Wenn du das IP Netz des Cisco 887 beibehälst und nur dein lokales Client Netz änderst dann natürlich nicht. Da ändert sich dann doch nix !
Wenn du die erste Variante genommen hast mit der Änderung des Koppelnetzes zum 887, dann musst du es natürlich ändern auf die neue next Hop IP.
Traceroute (tracert) ist hier wie immer dein bester Freund die Route zu verifizieren !
Bitte warten ..
Mitglied: michi1983
26.11.2020 um 19:51 Uhr
So, mittlerweile wurde das Netz dahingehend umgestellt, dass der Cisco 887 der SV an ein zweites Bein meines MTs gesteckt wurde.
Auf dem neuen Interface des MT hab ich ein neues Subnetz definiert - welches von den SV Admins auf dem 887 angepasst werden hat müssen.
Des weiteren habe ich die statische Route in meinem Netz angepasst auf das neue Gateway zu eben diesem 887 Cisco.

Jetzt läuft wieder alles einwandfrei wie es soll.

Danke nochmal aqui!
Bitte warten ..
Heiß diskutierte Inhalte
Windows Server
Auslagerungsdatei wird nicht kleiner
GwaihirFrageWindows Server23 Kommentare

Hallo zusammen, gestern hat jemand auf einem unserer Terminalserver (Windows Server 2012 R2) eine Anwendung gestartet, die den RAM ...

Netzwerke
Sporadische Ausfälle im gesamten Heimnetz
gelöst bilbo-dvdFrageNetzwerke23 Kommentare

Guten Morgen, ich habe einen Kabelanschluss bei Vodafone und mein Tarif wurde im März auf CableMax 1000 umgestellt. Ich ...

Sicherheit
Sicherheit oder bessere Benutzbarkeit?
gelöst StefanKittelFrageSicherheit19 Kommentare

Hallo, ich habe eine Webanwendung programmiert und sehe mich nun mit einer Frage zur Benutzbarkeit konfrontiert. Bei der Anmeldung ...

LAN, WAN, Wireless
Externes Ziel nicht erreichbar vom internen Netzwerk
Stibe88FrageLAN, WAN, Wireless16 Kommentare

Hallo Community Ich habe bei mir Homematic IP installiert. Nun kann ich seit 4 Tagen mich nicht mehr in ...

Internet Domänen
Azure AD deactivate Identity Protection
Jannik2018FrageInternet Domänen15 Kommentare

kann mir einer sagen wie ich beim meiner MS Azure AD Domäne die Identity Protection deactiviere siehe Screenshot sollte ...

Debian
2 ungesyncte Mountpoints an einem Raid 1 ?!?
jrglndmnnFrageDebian13 Kommentare

Hallo die Damen und Herren, Liebe Menschen und Menschinnen! Ich habe folgende Ausgangssituation und bitte, verzeiht mir die kleine ...

Ähnliche Inhalte
Netzwerke
Statisch routen Vlan Switch
gelöst decehakanFrageNetzwerke7 Kommentare

Hallo Zusammen, zur Lernzwecken beschäftigte ich mich mit statisches Routen und hab dazu eine einfach Frage. Ich hab hier ...

Router & Routing
Routing Frage, statisch?
gelöst DerInteressierteFrageRouter & Routing12 Kommentare

Ich bin was dieses Problem angeht blutiger Laie und bitte alle Profis um Antwort und Lösung. Ich verwende 2 ...

Windows Server
Disconnect iscsi target
gelöst HeinrichMFrageWindows Server8 Kommentare

Hallo zusammen, ich bin gerade dabei über iscsi einen Sicherungs- Job mit wbadmin einzurichten. Wo ich nicht weiter komme ...

Netzwerke

Statisch - Dynamisches Netzwerk für Internetzugriff

seirex1234FrageNetzwerke5 Kommentare

Hallo, mein Problem ist etwas schwieriger zu erklären. Es geht um ein Lokales Netzwerk. Anhand einer Skizze habe ich ...

SAN, NAS, DAS

QNAP - Sync von iSCSI-Target

HenereFrageSAN, NAS, DAS12 Kommentare

Servus zusammen, die nächste Baustelle Ich stehe vor dem Problem, den Inhalt von einem NAS aus auf ein zweites ...

Apache Server

Apache certbot Invalid host in redirect target

Stibe88FrageApache Server9 Kommentare

Hallo zusammen Ich wollte soeben einen Reverseproxy installieren. Dies funktioniert auch, bis auf den certbot. Ich konnte diesen installieren, ...

Neue Fragen
Administrator Magazin
11 | 2020 Virtualisierung ist aus der IT nicht mehr wegzudenken. In der November-Ausgabe des IT-Administrator Magazins dreht sich der Schwerpunkt um das Thema "Server- und Storage-Virtualisierung". Darin erfahren Sie, wie sich die Virtualisierungstechnologie entwickelt hat, welche Varianten es im Bereich Server und Speicher gibt und wie ...
Neue Beiträge
Neue Jobangebote
Server- und Storage-VirtualisierungServer- und Storage-VirtualisierungBerechtigungs- und IdentitätsmanagementBerechtigungs- und IdentitätsmanagementWebdienste und -serverWebdienste und -serverDatenbankenDatenbankenMonitoring & SupportMonitoring & SupportHybrid CloudHybrid Cloud