5
MPLS Vernetzung zweier Standorte via ISA04 - Routing Problem
Hallo,
ich habe ein Problem mit der Vernetzung 2er Standorte via MPLS (wobei mir die Suche durch diverse Foren (speziell hier und isaserver_org) bisher auch nicht weitergeholfen haben).
Folgende Problemstellung:
Der obere schwarze Teil ist in Betrieb, die (rote) Verbindung durch das Transfernetz -> MPLS -> ins Branch Office soll hinzu kommen.
Die Verbindung zwischen einem Client im Transfernetz (zb: 70.3) und dem kompletten Branch Office funktioniert (ping, tracert).
Die NIC Config des ISA II (u.a. Proxy über die ISA I ins Internet) sieht wie folgt aus:
3 NIC´s:
1x ins Perimeter Netz
IP: aus dem Perimeter Netz
mit der EINZIGEN Gateway IP der ISA (Perimeter NIC IP der ISA I - um raus zu kommen
DNS Server IP´s des ISP
1x ins Interne LAN
IP: 192.168.80.187 (Gate für die internen Clients)
kein Gateway
1x ins Transfernetz richtung MPLS
IP: 192.168.70.2
kein Gateway
ISA II Config:
Die Netzwerke "Internes LAN" und "Perimeter" sind eingerichtet (das "Transfernetz" nicht ! sonst kann ich dort gar nicht reinpingen - komisch !?!?!?).
Die Network Rules:
"Intern" <> "Perimeter": Route
"Intern" <> "IP des MPLS Routers 192.168.70.1": Route
(da dies die einzige Möglichkeit ist den MPLS Router vom ISA II aus erreichbar zu machen - Das "Transfernetz" im ISA als Netz anzulegen und dann per Route Rule mit "Intern" <> "Transfernetz" funktioniert nicht - trotz gesetzer Routing Einträge)
(Reihenfolge der Network Rules ist 1. intern<>perimeter 2. intern<>Transfernetz 3. Internetaccess intern<>extern - auch ein ändern der Reihenfolge hat nichts gebracht)
Entsprechende test Policy ist angelegt: "allow - ping - from: Local Host+Intern - to: Branch Office 192.168.25.0/24(als Subnet nicht als Network)"
Der Routeneintrag in das Branch Office Netz ist gesetzt:
Dest. 192.168.25.0 Mask: 255.255.255.0 Gate: 192.168.70.1 Metric: 1
Das Problem ist: wenn ich die NIC der ISA II ins MPLS (192.168.70.2) aktiviere, funktioniert zwar ein Ping ins Branch Office (sowohl von Intern als auch an der ISA II selbst), jedoch sämtlicher Traffic nach Extern (tracert nach zb. 8.8.8.8, Web Proxy, VPN User usw) geht nicht mehr, obwohl das default gateway der ISA II in ihrer Routingtabelle das korrekte ist s.u.(NIC deaktivieren, traffic nach Ext. geht wieder, ins Branch logisch ... nicht ^^ - Die Transfernetz NIC hat keinen Gatewayeintrag !)
Ich habe schon an der ISA II - NIC Reihenfolge der Win Adv. Network Connections Settings rumprobiert (1. Intern 2. Perimeter 3. Transfernetz) - kein Erfolg
Ich befürchte die METRICs der dynamischen Routingtabellen Einträge sind falsch; Wenn ich jedoch den dynamischen routeneintrag ins Transfernetz 70.0/29 auf METRIC 30 ändere (also höher als Metric 20 für default 0.0.0.0 bringt das leider auch nichts ..... beim erneuten aktivieren der Tranfernetz NIC bekommt der Routeneintrag 70.0/29 immer die METRIC 10 ?!?!?)
Irgendwie steh ich auf dem Schlauch, vllt. fällt ja jmd noch was anderes ein an dem es liegen könnte.
Routing Table nach ISA II Nic Transfernetz aktivierung:
Danke im vorraus.
Gruß
SanCho
ich habe ein Problem mit der Vernetzung 2er Standorte via MPLS (wobei mir die Suche durch diverse Foren (speziell hier und isaserver_org) bisher auch nicht weitergeholfen haben).
Folgende Problemstellung:
Der obere schwarze Teil ist in Betrieb, die (rote) Verbindung durch das Transfernetz -> MPLS -> ins Branch Office soll hinzu kommen.
Die Verbindung zwischen einem Client im Transfernetz (zb: 70.3) und dem kompletten Branch Office funktioniert (ping, tracert).
Die NIC Config des ISA II (u.a. Proxy über die ISA I ins Internet) sieht wie folgt aus:
3 NIC´s:
1x ins Perimeter Netz
IP: aus dem Perimeter Netz
mit der EINZIGEN Gateway IP der ISA (Perimeter NIC IP der ISA I - um raus zu kommen
DNS Server IP´s des ISP
1x ins Interne LAN
IP: 192.168.80.187 (Gate für die internen Clients)
kein Gateway
1x ins Transfernetz richtung MPLS
IP: 192.168.70.2
kein Gateway
ISA II Config:
Die Netzwerke "Internes LAN" und "Perimeter" sind eingerichtet (das "Transfernetz" nicht ! sonst kann ich dort gar nicht reinpingen - komisch !?!?!?).
Die Network Rules:
"Intern" <> "Perimeter": Route
"Intern" <> "IP des MPLS Routers 192.168.70.1": Route
(da dies die einzige Möglichkeit ist den MPLS Router vom ISA II aus erreichbar zu machen - Das "Transfernetz" im ISA als Netz anzulegen und dann per Route Rule mit "Intern" <> "Transfernetz" funktioniert nicht - trotz gesetzer Routing Einträge)
(Reihenfolge der Network Rules ist 1. intern<>perimeter 2. intern<>Transfernetz 3. Internetaccess intern<>extern - auch ein ändern der Reihenfolge hat nichts gebracht)
Entsprechende test Policy ist angelegt: "allow - ping - from: Local Host+Intern - to: Branch Office 192.168.25.0/24(als Subnet nicht als Network)"
Der Routeneintrag in das Branch Office Netz ist gesetzt:
Dest. 192.168.25.0 Mask: 255.255.255.0 Gate: 192.168.70.1 Metric: 1
Das Problem ist: wenn ich die NIC der ISA II ins MPLS (192.168.70.2) aktiviere, funktioniert zwar ein Ping ins Branch Office (sowohl von Intern als auch an der ISA II selbst), jedoch sämtlicher Traffic nach Extern (tracert nach zb. 8.8.8.8, Web Proxy, VPN User usw) geht nicht mehr, obwohl das default gateway der ISA II in ihrer Routingtabelle das korrekte ist s.u.(NIC deaktivieren, traffic nach Ext. geht wieder, ins Branch logisch ... nicht ^^ - Die Transfernetz NIC hat keinen Gatewayeintrag !)
Ich habe schon an der ISA II - NIC Reihenfolge der Win Adv. Network Connections Settings rumprobiert (1. Intern 2. Perimeter 3. Transfernetz) - kein Erfolg
Ich befürchte die METRICs der dynamischen Routingtabellen Einträge sind falsch; Wenn ich jedoch den dynamischen routeneintrag ins Transfernetz 70.0/29 auf METRIC 30 ändere (also höher als Metric 20 für default 0.0.0.0 bringt das leider auch nichts ..... beim erneuten aktivieren der Tranfernetz NIC bekommt der Routeneintrag 70.0/29 immer die METRIC 10 ?!?!?)
Irgendwie steh ich auf dem Schlauch, vllt. fällt ja jmd noch was anderes ein an dem es liegen könnte.
Routing Table nach ISA II Nic Transfernetz aktivierung:
Danke im vorraus.
Gruß
SanCho
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 149315
Url: https://administrator.de/contentid/149315
Ausgedruckt am: 22.11.2024 um 09:11 Uhr
5 Kommentare
Neuester Kommentar
Vorweg erstmal hat das Problem mit MPLS selber nur bedingt etwas zu tun (reine ISP Sache, da du keine MPLS Komponenten hast), denn es ist vermutlich ein lokales Routing Problem !
Der Reihe nach:
Die 3 NICs des ISA 2 hast du richtig konfiguriert:
Eine statische Route auf dem ISA 2:
rout add 192.168.25.0 mask 255.255.255.0 192.168.70.1 -p
(Eine Metrik brauchst du dort gar nicht eintragen, ist eh überflüssig, da du keine parallelen Routen hast und deine Routen eindeutig sind ! Damit ist eine Metrik Angabe überflüssig ! )
Jetzt gibt es allerdings eine Schlüsselfrage zu klären zu der du keinerlei Angaben machst:
Macht der ISA 2 auf das Transfer Netz NAT (Adress Translation) oder arbeitet er als normaler transparenter Router ??
Wenn letzteres der Fall ist tauchen die IP Pakete aus dem internen LAN am ISP CE Router (192.168.70.1) mit ihren originalen IP Adressen aus dem internen 192.168.80er Netz auf.
Um diese Pakete korrekt routen zu können muss der ISP CE Router zwingend eine statische Route für das interne LAN 192.168.80.0 eingetragen haben (auf die 192.168.70.2 als next Hop).
Zusätzlich muss der MPLS Label Edge Router des ISPs konfiguriert sein Pakete des 192.168.80.0er Netzes im MPLS zu routen bzw. zu labeln !
Das gilt auch natürlich für den CE ISP Router im Außennetz ! Dort muss routingtechnisch und MPLS labelseitig das interne Netz bekannt gemacht werden !
Hast du das mit dem ISP nicht abgeklärt führt entweder die fehlende Route und/oder der fehlende Label Eintrag am CE Router dazu das 192.168.80er Pakete des internen LANs wegeschmissen werden !
Das solltest du also sicher mit dem ISP abklären bevor du dir einen Wolf konfigurierst. Denn hat der ISP das in seiner Routerkonfig nicht berücksichtig, wird es niemals was.
Wenn du allerdings NAT machst auf dem ISA2 zum Transfer Netz, dann tauchen hier nur 192.168.70er Pakete auf und alles sollte problemlos klappen, allerdings nur als Einbahnstrasse, denn durch die dann aktive NAT Firewall wäre ein Zugriff vom 192.168.25er Außennetz ins interne LAN nicht mehr möglich.
Das alles geht davon aus das du in den FW Einstellungen des ISA2 keinerlei Fehler gemacht hast. Sollte dort auch noch was schiefgelaufen sein hast du 2 Baustellen die du kontrollieren musst !
Der Reihe nach:
Die 3 NICs des ISA 2 hast du richtig konfiguriert:
- 1. Perimeter NIC mit fester IP und Default Gateway auf die IP Perimeter NIC ISA 1
- 2. Internes LAN nur IP Adresse und Maske
- 3. Transfer Netz MPLS ebenfalls nur IP Adresse und Maske
Eine statische Route auf dem ISA 2:
rout add 192.168.25.0 mask 255.255.255.0 192.168.70.1 -p
(Eine Metrik brauchst du dort gar nicht eintragen, ist eh überflüssig, da du keine parallelen Routen hast und deine Routen eindeutig sind ! Damit ist eine Metrik Angabe überflüssig ! )
Jetzt gibt es allerdings eine Schlüsselfrage zu klären zu der du keinerlei Angaben machst:
Macht der ISA 2 auf das Transfer Netz NAT (Adress Translation) oder arbeitet er als normaler transparenter Router ??
Wenn letzteres der Fall ist tauchen die IP Pakete aus dem internen LAN am ISP CE Router (192.168.70.1) mit ihren originalen IP Adressen aus dem internen 192.168.80er Netz auf.
Um diese Pakete korrekt routen zu können muss der ISP CE Router zwingend eine statische Route für das interne LAN 192.168.80.0 eingetragen haben (auf die 192.168.70.2 als next Hop).
Zusätzlich muss der MPLS Label Edge Router des ISPs konfiguriert sein Pakete des 192.168.80.0er Netzes im MPLS zu routen bzw. zu labeln !
Das gilt auch natürlich für den CE ISP Router im Außennetz ! Dort muss routingtechnisch und MPLS labelseitig das interne Netz bekannt gemacht werden !
Hast du das mit dem ISP nicht abgeklärt führt entweder die fehlende Route und/oder der fehlende Label Eintrag am CE Router dazu das 192.168.80er Pakete des internen LANs wegeschmissen werden !
Das solltest du also sicher mit dem ISP abklären bevor du dir einen Wolf konfigurierst. Denn hat der ISP das in seiner Routerkonfig nicht berücksichtig, wird es niemals was.
Wenn du allerdings NAT machst auf dem ISA2 zum Transfer Netz, dann tauchen hier nur 192.168.70er Pakete auf und alles sollte problemlos klappen, allerdings nur als Einbahnstrasse, denn durch die dann aktive NAT Firewall wäre ein Zugriff vom 192.168.25er Außennetz ins interne LAN nicht mehr möglich.
Das alles geht davon aus das du in den FW Einstellungen des ISA2 keinerlei Fehler gemacht hast. Sollte dort auch noch was schiefgelaufen sein hast du 2 Baustellen die du kontrollieren musst !
Danke für die ausführliche Antwort.
ja der ISA 2 ROUTEt zwischen "intern" <und> "Transfernetz MPLS Router IP"(192.168.70.1) !!! ---> NICHT NAT und auch nicht zwischen "intern <und> "Transfernetz" (192.168.70.0/29)
dies war die einzige Lösung für das oben beschriebene Problem:
wenn ich zwischen "intern <und> "Transfernetz" (192.168.70.0/29) route und nicht zwischen "intern" <und> "Transfernetz MPLS Router IP"(192.168.70.1) funktioniert kein ping ins Transfer und Branch Netz
Zur Routerconfig des ISP MPLS Routers:
Der ISP hat mir zugesichert, dass die Routen ins/aus 80.0/24 und 70.0/29 Netz in allen MPLS Routern eingetragen ist. (aber bei den Pappenheimer wurden mir schon öfter Dinge zugesichert, welche erst nach rückfrage eingerichtet wurden ich werde das noch einmal explizit verrifizieren.
Kann eine falsch eingetragene Route im MPLS Router dazu führen, dass mir wie beschrieben, sobald die Trasfernetz NIC enabled ist sämtlicher Traffic Richtung ISA 1 -> Internet nicht mehr funktioniert ? WEnn der ISA 2 die richtigen routen nimmt, sollte eine web anfrage nie im Transfernetz/MPLS landen sondern richtung ISA 1 geschickt werden - oder ?!?!?
ja der ISA 2 ROUTEt zwischen "intern" <und> "Transfernetz MPLS Router IP"(192.168.70.1) !!! ---> NICHT NAT und auch nicht zwischen "intern <und> "Transfernetz" (192.168.70.0/29)
dies war die einzige Lösung für das oben beschriebene Problem:
Zitat von @sancho79:
Die Network Rules:
"Intern" <> "Perimeter": Route
"Intern" <> "IP des MPLS Routers 192.168.70.1": Route
(da dies die einzige Möglichkeit ist den MPLS Router vom ISA II aus erreichbar zu machen - Das "Transfernetz" im
ISA als Netz anzulegen und dann per Route Rule mit "Intern" <> "Transfernetz"(192.168.70.0/29) funktioniert nicht - trotz
gesetzer Routing Einträge)
Die Network Rules:
"Intern" <> "Perimeter": Route
"Intern" <> "IP des MPLS Routers 192.168.70.1": Route
(da dies die einzige Möglichkeit ist den MPLS Router vom ISA II aus erreichbar zu machen - Das "Transfernetz" im
ISA als Netz anzulegen und dann per Route Rule mit "Intern" <> "Transfernetz"(192.168.70.0/29) funktioniert nicht - trotz
gesetzer Routing Einträge)
wenn ich zwischen "intern <und> "Transfernetz" (192.168.70.0/29) route und nicht zwischen "intern" <und> "Transfernetz MPLS Router IP"(192.168.70.1) funktioniert kein ping ins Transfer und Branch Netz
Zur Routerconfig des ISP MPLS Routers:
Der ISP hat mir zugesichert, dass die Routen ins/aus 80.0/24 und 70.0/29 Netz in allen MPLS Routern eingetragen ist. (aber bei den Pappenheimer wurden mir schon öfter Dinge zugesichert, welche erst nach rückfrage eingerichtet wurden
ich werde das noch einmal explizit verrifizieren.Kann eine falsch eingetragene Route im MPLS Router dazu führen, dass mir wie beschrieben, sobald die Trasfernetz NIC enabled ist sämtlicher Traffic Richtung ISA 1 -> Internet nicht mehr funktioniert ? WEnn der ISA 2 die richtigen routen nimmt, sollte eine web anfrage nie im Transfernetz/MPLS landen sondern richtung ISA 1 geschickt werden - oder ?!?!?
Mmmhh jetzt schreibst du irgendwie Unsinn....
...wenn ich zwischen "intern <und> "Transfernetz" (192.168.70.0/29) route und nicht zwischen "intern" <und> "Transfernetz MPLS Router IP"(192.168.70.1) funktioniert kein ping
Äääähhh ??? Der Satz ist irgendwie "sinnfrei" denn er beschreibt das gleiche, nämlich ein Routing zwischen dem internen Netzwerk 192.168.80.0 und dem Transfer Netzwerk 192.168.70.0 !!!
Oder was willst du mit der kryptischen Aussage erklären ???
Das ist jetzt so zu verstehen das sofern du die 192.168.70er NIC im ISA2 aktivierst das Ping nicht mehr klappt.
Die Frage die sich dann stellt ist welche IP Adresse benutzt der ISA2 als Absender IP des ICMP Ping Paketes ???
Nimmt er die 192.168.70.2 oder die 192.168.80.187 ?? Vermutlich entscheidet das die Bindungsreihenfolge.
Das ist aber essentiell wichtig wenn du vom ISA2 die IP des ISP CE Routers (.70.1) anpingst. Wenn die 70.2. als Absender IP benutzt dann sollte alles problemlos klappen es sei denn der ISA2 filtert ICMP Echo Pakete am Transfer Netz NIC ?!
Wenn die Absender IP die 192.168.80.187 ist kannst du den ISP CE Routers (.70.1) nur dann erforlgreich anpingen, wenn dieser auch eine statische Route ins
192.168.80.0er Netz hat ! Hat er sie nicht wird es niemals klappen.
Der ISA2 muss natürlich auch Pakete mit der Ziel IP 192.168.80.x am Transfer NIC durchlassen...logisch !
Wie gesagt : Lass dir erstmal vom ISP die Konfig Auszüge zeigen !
"Vertrauen ist gut, Kontrolle ist besser !"
...wenn ich zwischen "intern <und> "Transfernetz" (192.168.70.0/29) route und nicht zwischen "intern" <und> "Transfernetz MPLS Router IP"(192.168.70.1) funktioniert kein ping
Äääähhh ??? Der Satz ist irgendwie "sinnfrei" denn er beschreibt das gleiche, nämlich ein Routing zwischen dem internen Netzwerk 192.168.80.0 und dem Transfer Netzwerk 192.168.70.0 !!!
Oder was willst du mit der kryptischen Aussage erklären ???
Das ist jetzt so zu verstehen das sofern du die 192.168.70er NIC im ISA2 aktivierst das Ping nicht mehr klappt.
Die Frage die sich dann stellt ist welche IP Adresse benutzt der ISA2 als Absender IP des ICMP Ping Paketes ???
Nimmt er die 192.168.70.2 oder die 192.168.80.187 ?? Vermutlich entscheidet das die Bindungsreihenfolge.
Das ist aber essentiell wichtig wenn du vom ISA2 die IP des ISP CE Routers (.70.1) anpingst. Wenn die 70.2. als Absender IP benutzt dann sollte alles problemlos klappen es sei denn der ISA2 filtert ICMP Echo Pakete am Transfer Netz NIC ?!
Wenn die Absender IP die 192.168.80.187 ist kannst du den ISP CE Routers (.70.1) nur dann erforlgreich anpingen, wenn dieser auch eine statische Route ins
192.168.80.0er Netz hat ! Hat er sie nicht wird es niemals klappen.
Der ISA2 muss natürlich auch Pakete mit der Ziel IP 192.168.80.x am Transfer NIC durchlassen...logisch !
Wie gesagt : Lass dir erstmal vom ISP die Konfig Auszüge zeigen !
"Vertrauen ist gut, Kontrolle ist besser !"
funktioniert kein ping ins Transfer und Branch Netz
Das der ISA eine Firewall im Whitelist-Modus ist hast du aber bedacht?
(Will heißen: Sobald du dein Transfernetz im ISA als Netzwerk einrichtest wird es nicht mehr als "Extern" gerechnet und braucht eigene Einträge)
Hallo,
nach einer Nachtschicht gestern, habe ich des Rätzels Lösung gefunden.
Wie schon vermutet wurde, lag der Fehler natürlich an der ISA Config. (und der ISP hatte erstaunlicherweise doch Wort gehalten die internen LANS der MPLS Sites korrekt in alle anderen geroutet
Nachdem ich das Tranfernetz 192.168.70.0/28 unter "config-networks-networks" zum bestehenden Perimeter Netz hinzugefügt hatte und die "Network Rule" geändert in: "Route: Internal <> subnet Branch office" (die route "Route: Internal <> Perimeter" existierte ja schon) .... hat es funktioniert.
Offensichtlich sieht die ISA dieses Transfernetz als Perimeternetz, durch welches sie ihr unbekannte Netze erreicht. (über entsprechende Network Rules bzw. Routeneinträge)
Die Routen Einträge waren korrekt gesetzt: Dest. 192.168.25.0 Mask: 255.255.255.0 Gate: 192.168.70.1 Metric: 1
(mit der Metric war ich auf dem Holzweg - wie aqui geschrieben hat - gut, schon wieder was gelernt
Über die entsprechenden Policy´s ging dann auch mein lieber ping: "alow - ping - Internal <> Branchoffice"
Also war die Reihenfolge der NICS sowie der NetworkRules irrelevant.
Ich Danke euch trotzdem für eure bemühungen
Gruß
SanCho
nach einer Nachtschicht gestern, habe ich des Rätzels Lösung gefunden.
Wie schon vermutet wurde, lag der Fehler natürlich an der ISA Config. (und der ISP hatte erstaunlicherweise doch Wort gehalten die internen LANS der MPLS Sites korrekt in alle anderen geroutet
Nachdem ich das Tranfernetz 192.168.70.0/28 unter "config-networks-networks" zum bestehenden Perimeter Netz hinzugefügt hatte und die "Network Rule" geändert in: "Route: Internal <> subnet Branch office" (die route "Route: Internal <> Perimeter" existierte ja schon) .... hat es funktioniert.
Offensichtlich sieht die ISA dieses Transfernetz als Perimeternetz, durch welches sie ihr unbekannte Netze erreicht. (über entsprechende Network Rules bzw. Routeneinträge)
Die Routen Einträge waren korrekt gesetzt: Dest. 192.168.25.0 Mask: 255.255.255.0 Gate: 192.168.70.1 Metric: 1
(mit der Metric war ich auf dem Holzweg - wie aqui geschrieben hat - gut, schon wieder was gelernt
Über die entsprechenden Policy´s ging dann auch mein lieber ping: "alow - ping - Internal <> Branchoffice"
Also war die Reihenfolge der NICS sowie der NetworkRules irrelevant.
Ich Danke euch trotzdem für eure bemühungen
Gruß
SanCho
