42
Routen zwischen zwei Netzwerken geht nur in eine Richtung
Hallo,
ich habe zwei Bintec Router.
Netz A: 192.168.1.0/24
Router A: 192.168.1.250
Netz B: 192.168.80.0/24
Router B: 192.168.80.5
Das Kabel ist gesteckt über en1-0 (Router A) an en1-4 (Router B).
en1-4 hat die IP 192.168.1.16 bekommen.
Router B erreicht also Netz A über 192.168.1.16. Diese Route ist hinterlegt.
In Router A habe ich die Router eingetragen, dass Netz B über 192.168.1.16 erreicht wird.
Von Netz B komme ich auf Netz A. Andersrum aber nicht. Woran kann dies liegen?
ich habe zwei Bintec Router.
Netz A: 192.168.1.0/24
Router A: 192.168.1.250
Netz B: 192.168.80.0/24
Router B: 192.168.80.5
Das Kabel ist gesteckt über en1-0 (Router A) an en1-4 (Router B).
en1-4 hat die IP 192.168.1.16 bekommen.
Router B erreicht also Netz A über 192.168.1.16. Diese Route ist hinterlegt.
In Router A habe ich die Router eingetragen, dass Netz B über 192.168.1.16 erreicht wird.
Von Netz B komme ich auf Netz A. Andersrum aber nicht. Woran kann dies liegen?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 370920
Url: https://administrator.de/contentid/370920
Ausgedruckt am: 25.11.2024 um 10:11 Uhr
42 Kommentare
Neuester Kommentar
Moin ...
Das liegt daran das du bisher nur eine Einbahnstr. definiert hast .... mach das ganze andersrum auch und es wird klappern ...
VG
P.S. es gibt auch schönere Desings
Das liegt daran das du bisher nur eine Einbahnstr. definiert hast .... mach das ganze andersrum auch und es wird klappern ...
VG
P.S. es gibt auch schönere Desings
Bin nicht so der Profi...
Soll ich jetzt noch ein Kabel dran klemmen?
Oder verätst du mir ne schönere Lösung? ;)
Soll ich jetzt noch ein Kabel dran klemmen?
Oder verätst du mir ne schönere Lösung? ;)
Zitat von @Vanillakop:
Von Netz B komme ich auf Netz A. Andersrum aber nicht. Woran kann dies liegen?
Von Netz B komme ich auf Netz A. Andersrum aber nicht. Woran kann dies liegen?
- Falsche Routen?
- NAT?
- Was sagt denn traceroute?
- Wissen die Clients denn, an welchen der Router sie Ihre daten schicken müssen?
- Wie sehen die Routingtabellen aus?
lks
Ganz sicher macht einer der Router NAT (Adress Translation) an einem der Port.
Damit ist das dann eine Routing Einbahnstrasse !
Accesslisten, Firewall Regeln usw. lassen wir hier jetzt mal bewusst außer Acht und gehen davon aus das diese NICHT aktiv sind auf den Systemen !
Alles Wissenswerte dazu findets du in diesem Forums Tutorial:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Das wirklich lesen und....verstehen, dann bist du danach ein wirklicher Routing Profi !!
Damit ist das dann eine Routing Einbahnstrasse !
Accesslisten, Firewall Regeln usw. lassen wir hier jetzt mal bewusst außer Acht und gehen davon aus das diese NICHT aktiv sind auf den Systemen !
Alles Wissenswerte dazu findets du in diesem Forums Tutorial:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Das wirklich lesen und....verstehen, dann bist du danach ein wirklicher Routing Profi !!
Zitat von @aqui:
Ganz sicher macht einer der Router NAT (Adress Translation) an einem der Port.
Damit ist das dann eine Routing Einbahnstrasse !
Accesslisten, Firewall Regeln usw. lassen wir hier jetzt mal bewusst außer Acht und gehen davon aus das diese NICHT aktiv sind auf den Systemen !
Alles Wissenswerte dazu findets du in diesem Forums Tutorial:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Das wirklich lesen und....verstehen, dann bist du danach ein wirklicher Routing Profi !!
Ganz sicher macht einer der Router NAT (Adress Translation) an einem der Port.
Damit ist das dann eine Routing Einbahnstrasse !
Accesslisten, Firewall Regeln usw. lassen wir hier jetzt mal bewusst außer Acht und gehen davon aus das diese NICHT aktiv sind auf den Systemen !
Alles Wissenswerte dazu findets du in diesem Forums Tutorial:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Das wirklich lesen und....verstehen, dann bist du danach ein wirklicher Routing Profi !!
Ja NAT ist aktiv auf Router B.
Also 2. Kabel legen?
Was soll das denn bringen? Deaktivier lieber NAT und zieh Dein Netzwerkdesign gerade.
lks
Richtig !
NAT wäre in so einem Design ja völliger Blödsinn und erklärt auch sofort die Routing Einbahnstrasse !
2tes Kabel legen ist der noch größere Blödsinn. Nützt auch nix.
Konfiguriere den Router richtig. Kollege LKS hats ja schon gesagt.
Fazit: Tutorial oben lesen !
NAT wäre in so einem Design ja völliger Blödsinn und erklärt auch sofort die Routing Einbahnstrasse !
2tes Kabel legen ist der noch größere Blödsinn. Nützt auch nix.
Konfiguriere den Router richtig. Kollege LKS hats ja schon gesagt.
Fazit: Tutorial oben lesen !
Wenn ich NAT ausschalte, geht nur noch PING, keine anderen Funktionen (zum Beispiel Remotedesktop).
Zitat von @Vanillakop:
Wenn ich NAT ausschalte, geht nur noch PING, keine anderen Funktionen (zum Beispiel Remotedesktop).
Wenn ich NAT ausschalte, geht nur noch PING, keine anderen Funktionen (zum Beispiel Remotedesktop).
Dann mußt Du in der Windows-Firewall die eigenen Netze, die nicht lokal am Zielsystem angeschlossen sind, freigeben!
das ist Grundlagenwissen der Windows-Administration!
lks
Die Windows Firewall ist testhalber aus.
Erst wenn ich auf Router A die Firewall deaktiviere funktioniert alles ohne Probleme.
Aber das ist ja keine Lösung.
Sogar eine Regel "Netz A nach Netz B alles erlauben" und umgekehrt bringt nichts..
Erst wenn ich auf Router A die Firewall deaktiviere funktioniert alles ohne Probleme.
Aber das ist ja keine Lösung.
Sogar eine Regel "Netz A nach Netz B alles erlauben" und umgekehrt bringt nichts..
Wenn ich NAT ausschalte, geht nur noch PING, keine anderen Funktionen (zum Beispiel Remotedesktop).
Sorry aber das kannst du dem Weihnachtsmann erzählen aber nicht Usern in einem Admin Forum !Beides basiert auf IP und nur IP ist für die Wegefindung verantwortlich.
Erst wenn ich auf Router A die Firewall deaktiviere
Deshalb ja oben auch die Bemerkung "Accesslisten, Firewall Regeln usw. lassen wir hier jetzt mal bewusst außer Acht"Eine Firewall (Sicherheit) hat rein gar nichts mit der reinen IP Wegefindung (Routing) zu tun. Vermutlich machst du hier einen gehörigen Denkfehler aus Unwissenheit !?
Die Security liegt ja noch oben drüber über dem reinen IP Routing.
Wenn dir die Firewall ICMP (Ping) oder TCP 3389 (RDP) blockiert dann musst du wohl die Firewall anpassen in den Regeln !! Denk doch mal bitte etwas nach !!!
Bei einer Firewall ist immer alles verboten was nicht explizit erlaubt ist....uralte FW Grundregel die nun jeder Dummie kennt.
Also...folgende Regeln auf Router A lösen dein Problem:
Erlaube IP : Source: 192.168.1.0 /24 -> Destination: 192.168.80.0 /24
Analog dann in Router B:
Erlaube IP : Source: 192.168.80.0 /24 -> Destination: 192.168.1.0 /24
Und fertig ist der Lack.
Einfach mal in Ruhe und logisch überlegen und dann machen !!
Wenn ich NAT ausschalte, geht nur noch PING, keine anderen Funktionen (zum Beispiel Remotedesktop).
Sorry aber das kannst du dem Weihnachtsmann erzählen aber nicht Usern in einem Admin Forum !Beides basiert auf IP und nur IP ist für die Wegefindung verantwortlich.
tracert sieht super aus!
Also...folgende Regeln auf Router A lösen dein Problem: Erlaube IP : Source: 192.168.1.0 /24 -> Destination: 192.168.80.0 /24
Analog dann in Router B: Erlaube IP : Source: 192.168.80.0 /24 -> Destination: 192.168.1.0 /24
Analog dann in Router B: Erlaube IP : Source: 192.168.80.0 /24 -> Destination: 192.168.1.0 /24
Die Regeln habe ich gemacht. Bringen nur nichts leider...
Ganz unwissend bin ich auch nicht.
Die Regeln habe ich gemacht. Bringen nur nichts leider...
Dann hast du sie vermutlich an der falschen Stelle aktiviert. Die o.a. regeln gelten wie immer auf den INBOUND Interfaces, sprich auf den LAN Ports !Traceroute basiert übrigens genau wie Ping auf ICMP. Wenn das gut aussieht muss es das auch für Ping tun !
Bei dem Router kann ich das Interface nicht auswählen in der Firewall leider.
Hier der Screenshot davon.
Hier der Screenshot davon.
Hast du etwa beide Regeln jeweils auf beiden Routern gesetzt ??
Das wäre Firewalltechnischer Unsinn, denn der Return Traffic darf in solchen FW immer passieren. (Gesetzes ACK Bit)
Regel A kommt nur auf Router A und Regel B nur auf Router B !
Stell dir immer vor WIE die IP Pakete sich mit ihren Absender- und Zieladressen im Netz bewegen, dann ist die Logik doch ganz einfach !
Das wäre Firewalltechnischer Unsinn, denn der Return Traffic darf in solchen FW immer passieren. (Gesetzes ACK Bit)
Regel A kommt nur auf Router A und Regel B nur auf Router B !
Stell dir immer vor WIE die IP Pakete sich mit ihren Absender- und Zieladressen im Netz bewegen, dann ist die Logik doch ganz einfach !
Zitat von @aqui:
Hast du etwa beide Regeln jeweils auf beiden Routern gesetzt ??
Das wäre Firewalltechnischer Unsinn, denn der Return Traffic darf in solchen FW immer passieren. (Gesetzes ACK Bit)
Hast du etwa beide Regeln jeweils auf beiden Routern gesetzt ??
Das wäre Firewalltechnischer Unsinn, denn der Return Traffic darf in solchen FW immer passieren. (Gesetzes ACK Bit)
Zuerst nein dann aber doch, weil es einfach nicht funktioniert. Egal wie und mit welchen Regeln.
Ich habe sogar eine Regel gemacht, die alles egal von wem, egal wohin erlaubt.
Natürlich ist das quatsch aber in der Verzweifelung macht man sowas.
Was hast du überhaupt für ein Routermodell?
Wäre ja mal die erste Frage.
Wäre ja mal die erste Frage.
Digibox Smart
Hersteller ist bintec im Auftrag für die Deutsche Telekom.
Allerdings ohne Supportvertrag. Sonst hätte ich dort schon nach einer Lösung angefragt.
Hersteller ist bintec im Auftrag für die Deutsche Telekom.
Allerdings ohne Supportvertrag. Sonst hätte ich dort schon nach einer Lösung angefragt.
Natürlich ist das quatsch aber in der Verzweifelung macht man sowas.
Nein, keine Sorge, das ist absolut OK zum Testen.Wenn aber dann trotz "Scheunentorregel" die FW weiter noch blockt hast du ein ganz anderes Problem.
Nur mal doof nachgefragt:
Wenn du mit Winblows Rechnern testest. Dann musst du AUCH deren interne Firewall customizen damit die ICMP von Fremdnetzen durchlassen:
https://www.windowspro.de/tipp/ping-windows-7-server-2008-r2-zulassen
und auch RDP !!
Ohne das blockiert dann zusätzlich noch die interne Windows Firewall !
Die Windows Firewall ist aus. Habe ich oben aber auch schon geschrieben.
Es ist wirklich wie beschrieben, dass das nur geht, wenn die Firewall auf Router A aus ist.
Es ist wirklich wie beschrieben, dass das nur geht, wenn die Firewall auf Router A aus ist.
Bintecs haben die Möglichkeit ein Interface auf trusted zu setzen, dadurch sind die Anfragen die von da kommen automatisch in den Firewallstandardregeln enthalten.
Allerdings ist mir noch nicht klar, was du damit eigentlich erreichen willst?
Deine Konstellation ergibt bisher für mich nur wenig Sinn.
Vielleicht beschreibst du das Szenario mal etwas genauer und nicht nur in Brocken.
Für was brauchst du überhaupt 2 Router?
Allerdings ist mir noch nicht klar, was du damit eigentlich erreichen willst?
Deine Konstellation ergibt bisher für mich nur wenig Sinn.
Vielleicht beschreibst du das Szenario mal etwas genauer und nicht nur in Brocken.
Für was brauchst du überhaupt 2 Router?
Zitat von @rzlbrnft:
Bintecs haben die Möglichkeit ein Interface auf trusted zu setzen, dadurch sind die Anfragen die von da kommen automatisch in den Firewallstandardregeln enthalten.
Bintecs haben die Möglichkeit ein Interface auf trusted zu setzen, dadurch sind die Anfragen die von da kommen automatisch in den Firewallstandardregeln enthalten.
Das Interface auf Router B ist auf "trusted" gesetzt.
Für was brauchst du überhaupt 2 Router?
In einem Gebäude sind zwei Firmen untergebracht.
Ein Mitarbeiter von Firma B muss auf einen Server von Firma A zugreifen.
Und umgekehrt muss ein Mitarbeiter von Firma A auf den Server von Firma B zugreifen.
Das Interface auf Router B ist auf "trusted" gesetzt.
Beide müssen auf Trusted gesetzt werden, sind ja 2 interne Interfaces !n einem Gebäude sind zwei Firmen untergebracht.
Kauf dir einen 35 Euro Mikrotik Router. Damit wäre das alles schon längst am Laufen....Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Zitat von @aqui:
Das Interface auf Router B ist auf "trusted" gesetzt.
Beide müssen auf Trusted gesetzt werden, sind ja 2 interne Interfaces !Auf Router A ist der Anschluss mit in der Default Switch Gruppe. Dieses Interface ist schon automatisch auf "trusted".
Oder muss ich bei Router A auch eine eigene Schnittstelle wählen?
Die beiden Ports sind in 2 separaten IP Netzen folglich müssen die Interfaces dafür auch zwingend eigene und separate Interfaces sein !!
Sie dürfen niemals beide zugleich Member einer Switch Goup sein, das wäre fatal !!
Sie dürfen niemals beide zugleich Member einer Switch Goup sein, das wäre fatal !!
Ich habe den entsprechenden Port aus der Switch Gruppe raus genommen.
Welche IP Adresse muss ich dann auf welcher Schnittstelle einstellen?
Im Moment:
Router A:
Router B:
Welche IP Adresse muss ich dann auf welcher Schnittstelle einstellen?
Im Moment:
Router A:
- en1-0 ("trusted"): 192.168.1.250
- en1-3 ("trusted", hier ist das Verbindungskabel angeschlossen): ohne IP
Router B:
- en1-0 ("trusted"): 192.168.80.5
- en1-4 ("trusted", hier ist das Verbindungskabel angeschlossen): 192.168.1.16
Zitat von @Vanillakop:
In einem Gebäude sind zwei Firmen untergebracht.
Ein Mitarbeiter von Firma B muss auf einen Server von Firma A zugreifen.
Und umgekehrt muss ein Mitarbeiter von Firma A auf den Server von Firma B zugreifen.
In einem Gebäude sind zwei Firmen untergebracht.
Ein Mitarbeiter von Firma B muss auf einen Server von Firma A zugreifen.
Und umgekehrt muss ein Mitarbeiter von Firma A auf den Server von Firma B zugreifen.
Warum du dafür 2 Router brauchst erschließt sich mir trotzdem nicht, du könntest problemlos beide Netze über einen bedienen.
Interface 1-4 ist normalerweise für WANs ausgelegt. Lass das einfach auf Standard und koppel dir für die Strecke ein anderes aus.
Router 1
en1-4 DHCP WAN
en1-0 192.168.1.250/24
Router 2
en1-4 nicht verwendet, wahrscheinlich irgendein Unsinn drauf konfiguriert.
en1-0 192.168.80.5/24
en1-1 192.168.1.251/24
Routen erstellen:
Auf Router 1
Netwerk über Gateway, Ziel 192.168.80.0/24 GW 192.168.1.251
Damit kennt Router 1 das Netzwerk B
Auf Router 2
Standardroute über Gateway, GW 192.168.1.250
Damit geht alles was Router 2 im LAN nicht findet an Router 1.
Nat nur auf en1-4 an, sonst überall aus.
en1-4 untrusted, en1-0 und 1-1 trusted.
Kauf dir einen 35 Euro Mikrotik Router. Damit wäre das alles schon längst am Laufen....
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Normalerweise finde ich deine Anmerkungen ja gut aber das ist Bullshit. Sorry.
Die FAQs von bintec sind normalerweise idiotensicher. Da ist einfach nur ein grober Hund in der Konfig, Gülle konfigurieren funktioniert mit keiner Marke, schon gar nicht mit dem absolut grottig unübersichtlichen Mikrotik Interface.
//EDIT:
Router A:
Ohne IP kein Routing ist schon klar oder?- en1-0 ("trusted"): 192.168.1.250
- en1-3 ("trusted", hier ist das Verbindungskabel angeschlossen): ohne IP
Das Kabel steckst du von Router 2 en1-1 an Router 1 irgendeinen Port aus en1-0, damit ist der Router 2 ein Client im Netz von Router 1.
Warum du dafür 2 Router brauchst erschließt sich mir trotzdem nicht, du könntest problemlos beide Netze über einen bedienen.
2 Internetanschlüsse für Firma A, 1 für Firma B.
Jeweils mit Exchange usw...
Zwei Router sind da schon besser.
Interface 1-4 ist normalerweise für WANs ausgelegt. Lass das einfach auf Standard und koppel dir für die Strecke ein anderes aus.
Router 1
en1-4 DHCP WAN
en1-0 192.168.1.250/24
Router 2
en1-4 nicht verwendet, wahrscheinlich irgendein Unsinn drauf konfiguriert.
en1-0 192.168.80.5/24
en1-1 192.168.1.251/24
Routen erstellen:
Auf Router 1
Netwerk über Gateway, Ziel 192.168.80.0/24 GW 192.168.1.251
Damit kennt Router 1 das Netzwerk B
Auf Router 2
Standardroute über Gateway, GW 192.168.1.250
Damit geht alles was Router 2 im LAN nicht findet an Router 1.
Nat nur auf en1-4 an, sonst überall aus.
en1-4 untrusted, en1-0 und 1-1 trusted.
Alles so gemacht.
//EDIT:
Router A:
Ohne IP kein Routing ist schon klar oder?- en1-0 ("trusted"): 192.168.1.250
- en1-3 ("trusted", hier ist das Verbindungskabel angeschlossen): ohne IP
Das Kabel steckst du von Router 2 en1-1 an Router 1 irgendeinen Port aus en1-0, damit ist der Router 2 ein Client im Netz von Router 1.
Habe ich auch gemacht.
Funktioniert aber wie gehabt.
Tracert geht sauber durch. Alles andere nicht.
Zitat von @Vanillakop:
Habe ich auch gemacht.
Funktioniert aber wie gehabt.
Tracert geht sauber durch. Alles andere nicht.
Habe ich auch gemacht.
Funktioniert aber wie gehabt.
Tracert geht sauber durch. Alles andere nicht.
Ohne Screenshots von deiner Firewall, Anschluss und Routen Konfig, sowie Settings auf dem Client kann man dir leider nicht weiterhelfen.
Dann solltest Du Deine Firewall-Regeln überprüfen, bzw ganz frisch aufbauen und per wireshark vor und hinter der Routern überprüfen, was durchkommt und was nicht.
lks
Screenshots von Router A sind im Anhang.
Firewall ist zurück gesetzt und nur eine Regel vorhanden.
EDIT:
Ich vermute schon bald einen Bug in der Firmware...
Aber anscheinend muss es mit der Firewall von Router A zusammen hängen, da wenn diese aus ist ja alles funktioniert.
Firewall ist zurück gesetzt und nur eine Regel vorhanden.
EDIT:
Ich vermute schon bald einen Bug in der Firmware...
Aber anscheinend muss es mit der Firewall von Router A zusammen hängen, da wenn diese aus ist ja alles funktioniert.
da wenn diese aus ist ja alles funktioniert.
Stimmt, das ist eindeutig !Also entweder falsche Regeln dort oder eine falsche Interface Zuweisung !
Ich kann leider kein Interface auswählen bei den Einstellungen.
Von wo nach wo möchtest du denn? Wie sind die Einstellungen der Endpunkte?
Wenn eine Stateful Inspection Firewall trotz Erlaubnis deine Pakete nicht durchlässt kann das ggf. an einem asynchronen Routing liegen, also Weg hin ungleich Weg zurück.
Versuch das ganze Mal mit einem Transitnetz.
Also kopple bei beiden Routern ein Interface aus, häng die zusammen und route dann über die jeweiligen IPs.
Wenn eine Stateful Inspection Firewall trotz Erlaubnis deine Pakete nicht durchlässt kann das ggf. an einem asynchronen Routing liegen, also Weg hin ungleich Weg zurück.
Versuch das ganze Mal mit einem Transitnetz.
Also kopple bei beiden Routern ein Interface aus, häng die zusammen und route dann über die jeweiligen IPs.
Die Zeichnung oben hat einen kleinen (Flüchtingkeits) Fehler !
Das EN1-0 (LAN) Interface an Router B hat die gleiche IP wie an Router A. Richtig wäre hier 192.168.80.250 /24.
Ist aber ein guter Tipp mit dem Transfer Netz das so mal zu testen.
Dennoch müsste es auch ohne gehen mit einer Direktkopplung wie hier:
Das EN1-0 (LAN) Interface an Router B hat die gleiche IP wie an Router A. Richtig wäre hier 192.168.80.250 /24.
Ist aber ein guter Tipp mit dem Transfer Netz das so mal zu testen.
Dennoch müsste es auch ohne gehen mit einer Direktkopplung wie hier:
Bei der Direktkopplung besteht das Problem des asynchronen Routings wie beschrieben, da der Router B die Pakete direkt an den angesprochenen Client aus Netz A weiterleitet, die Pakete auf dem Rückweg aber beide Router passieren. Stateless Protokolle wie ICMP gehen problemlos durch aber RDP erzeugt Verbindungsabbrüche oder verbindet gar nicht. Das Problem hatte ich mit unserer Pfsense auch.
Nein, das ist nicht der Fall.
Der Client A hat zwar den Router A als Gateway eingetragen das bedeutet aber nicht das für lokal geroutetem Traffic dann alles über A geht.
Kommt etwas bei A an aus dem Netz von B dann ARPt der Client nach Router A, dieser wird aber sofort ein ICMP Redirect Paket an den Client A schicken und ihm damit mitteilen das er alles in Netz B über das Gateway 192.168.1.254 erreichen kann.
Damit sendet dann der Client A allen Traffic für B auch direkt über Router B. Asymetrisches Routing bzw. der Extrahop über A ist also sicher ausgeschlossen hier dank ICMP Redirekt.
Ein Punkt warum ICMP Steuerpakete wichtig sind im Netzwerk.
Es wäre per se auch nicht wirklich asymetrisches Routing, da es keinerlei L3 Redundanz in dem Design (und übrigens auch in deinem oben) gibt, die parallele L3 Pfade und damit eine mögliche Asymetrie möglich macht.
Es ist ja lediglich ein lokaler Hop mehr zum Ziel, ...den es aber in Praxis gar nicht gibt dank ICMP Redirect
In der pfSense gibt es übrigens dafür extra einen Schalter den man in solchen lokalen Routing Designs natürlich zwingend setzen sollte:
das hätte auch dein oben angesprochenes Problem sofort gefixt.
Der Client A hat zwar den Router A als Gateway eingetragen das bedeutet aber nicht das für lokal geroutetem Traffic dann alles über A geht.
Kommt etwas bei A an aus dem Netz von B dann ARPt der Client nach Router A, dieser wird aber sofort ein ICMP Redirect Paket an den Client A schicken und ihm damit mitteilen das er alles in Netz B über das Gateway 192.168.1.254 erreichen kann.
Damit sendet dann der Client A allen Traffic für B auch direkt über Router B. Asymetrisches Routing bzw. der Extrahop über A ist also sicher ausgeschlossen hier dank ICMP Redirekt.
Ein Punkt warum ICMP Steuerpakete wichtig sind im Netzwerk.
Es wäre per se auch nicht wirklich asymetrisches Routing, da es keinerlei L3 Redundanz in dem Design (und übrigens auch in deinem oben) gibt, die parallele L3 Pfade und damit eine mögliche Asymetrie möglich macht.
Es ist ja lediglich ein lokaler Hop mehr zum Ziel, ...den es aber in Praxis gar nicht gibt dank ICMP Redirect
In der pfSense gibt es übrigens dafür extra einen Schalter den man in solchen lokalen Routing Designs natürlich zwingend setzen sollte:
Ich geb es auf...
Das geht mit den Routern wohl nicht.
Mit dem Transitnetz hab ich es probiert und auch mit einer Default Route aber nie funktioniert RDP oder HTTP
Das geht mit den Routern wohl nicht.
Mit dem Transitnetz hab ich es probiert und auch mit einer Default Route aber nie funktioniert RDP oder HTTP
Beschaff dir einen kleinen Mikrotik hexLite damit rennt dieses simple Setup in spätestens 5 Minuten !
https://de.varia-store.com/produkt/31133-mikrotik-routerboard-rb750r2-he ...
https://de.varia-store.com/produkt/31133-mikrotik-routerboard-rb750r2-he ...
Zitat von @Vanillakop:
Ich geb es auf...
Das geht mit den Routern wohl nicht.
Mit dem Transitnetz hab ich es probiert und auch mit einer Default Route aber nie funktioniert RDP oder HTTP
Ich geb es auf...
Das geht mit den Routern wohl nicht.
Mit dem Transitnetz hab ich es probiert und auch mit einer Default Route aber nie funktioniert RDP oder HTTP
Such dir am besten jemand der sich damit auskennt, dafür hat man den Support erfunden, sonst hast du mit der Mikrotik das gleiche Problem.
Auch wenn es wahrscheinlich eine ganz blöde Lösung ist habe ich jetzt zwei Kabel genommen, bei beiden jeweiligen Schnittstellen NAT aktiv gesetzt und nun funktioniert es.
Im Herbst kommt eine große Firewall Lösung, da das Unternehmen einen symmtetrischen Glasfaser Anschluss mit 1GBit bekommt.
Solange bleibt das so, da es funktioniert.
Im Herbst kommt eine große Firewall Lösung, da das Unternehmen einen symmtetrischen Glasfaser Anschluss mit 1GBit bekommt.
Solange bleibt das so, da es funktioniert.
Oha...das ist aber wie die Hose mit Kneifzangen anziehn. Aber gut, wenns als Übergangslösung rennt ist ja gut.
Wenns das denn nun war bitte dann auch
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !
Wenns das denn nun war bitte dann auch
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !
