tom1234
Goto Top

Routing od. evtl. DNS Problem. Merkwürdiges geschieht hier.

Hallo,

ich habe da mal ein merkwürdiges Problem, welches mir gerade aufgefallen ist, als ich die Seite http://www.dresdner-bank.de aufrufen wollte.

Diese ist von meinem Rechner nicht zu erreichen.

Folgende Routenverfolgung...

Routenverfolgung zu www.dresdner-bank.de [194.127.84.105] über maximal 30 Abschnitte:

1 1 ms 1 ms 1 ms lanrouter.lan.local [192.168.200.254]
2 82 ms 2 ms 2 ms 192.168.100.254
3 108 ms 27 ms 51 ms lo1.br01.dtm.de.hansenet.net [213.191.89.28]
4 27 ms 28 ms 29 ms ae0-105.cr01.dus.de.hansenet.net [62.109.112.93]

5 33 ms 105 ms 48 ms so-1-2-0-0.cr01.fra.de.hansenet.net [213.191.87.
158]
6 33 ms 30 ms 32 ms ae0-0.pr03.decix.de.hansenet.net [213.191.66.138
]
7 33 ms 33 ms 33 ms DE-CIX4.de.lambdanet.net [80.81.192.74]
8 39 ms 48 ms 105 ms MUC-1-eth000.de.lambdanet.net [217.71.96.166]
9 43 ms 40 ms 41 ms AGIS-MUC.de.lambdanet.net [217.71.108.58]
10 * * * Zeitüberschreitung der Anforderung.
11 * * * Zeitüberschreitung der Anforderung.
30 * * * Zeitüberschreitung der Anforderung.

Zu meiner Netzwerkkonfiguration ist folgendes zu sagen. Ich nutze 2 Router einen für ein DMZ und einen für mein LAN.

Das DMZ hat das Subnetz 192.168.100.0/24
Das LAN hat das Subnetz 192.168.200.0/24

Es funktioniert auch wirklich alles, nur nicht die verflixte DB Seite.

Das Merkwürdige ist allerdings, wenn ich den LAN Router anstatt auf Routing, auf Gateway stelle. geht es sofort. Der tracert verliert sich nicht mitten drin.

Trotzdem ist doch merkwürdig, dass der tracert unter der Routing Option sich ausserhalb meiner Netze verliert.

Ich stehe da wohl gerade auf der Leitung....


Evtl. hat ja jemand Luscht mir zu helfen.

Danke.

Content-ID: 136332

Url: https://administrator.de/forum/routing-od-evtl-dns-problem-merkwuerdiges-geschieht-hier-136332.html

Ausgedruckt am: 23.12.2024 um 02:12 Uhr

builder4242
builder4242 18.02.2010 um 23:32:34 Uhr
Goto Top
Was für ein Router ist das denn ( Config ) ?
tom1234
tom1234 19.02.2010 um 18:55:28 Uhr
Goto Top
Hi,

also ich habe 2 x Cisco RVS4000 http://www.cisco.com/en/US/products/ps9928/index.html

Die sind wie folgt configuriert.

DMZ-Router (192.168.100.0/24)
WAN-IP: ISP-Adresse
DNS: ISP-Adressen
LAN-IP: 192.168.100.254
Advanced Routing: Gateway, Dynamic Routing RIPv2

LAN-Router (192.168.200.0/24)
WAN-IP: 192.168.100.253
DNS: 192.168.100.254
LAN-IP: 192.168.200.254
Advanced Routing: Router, Dynamic Routing RIPv2

Ich habe heute mal noch ein paar Websites ausprobiert, es sind noch andere als die der Dresdner Bank. z.B. UCI-Kino, Meebo, Ciao, anscheinend haben die Sites etwas gemeinsam was nicht hinhaut.

Habt ihr Config Tipps? Ich könnte ja den LAN router auch auf Gateway lassen, aber ich würde es gerne nachvollziehen.... oder haltet ihr die Config für falsch?
aqui
aqui 19.02.2010 um 20:30:50 Uhr
Goto Top
Es grenzt überhaupt an ein Wunder das du soweit kommts. Im Modus Routing routet der Cisco ganz normal transparent. D.h. deine RFC 1918 Absenderadresse (Privates Netzwerk) wird nicht verändert. Normalerweise solltest du da schon beim ersten Providerrouter im Datenmülleimer landen, denn die filtern in der Regel alle RFC 1918 IP Adressen vor eintritt in ihr Netz.
Im Modus Gateway machst du NAT (Adress Translation) wie es allgemein üblich ist. D.h. dein Router übersetzt dein lokales RFC 1918 IP Netz in die öffentliche IP vom Provider so das du wie allgemein üblich auch mit der IP unterwegs bist, denn RFC 1918 IPs werden im Internet nicht geroutet.
Hättest du dir nur mal die kleine Mühe gemacht und mit einem freien Packet Sniffer wie dem Wireshark einmal deine Packete am WAN/DSL Port des Ciscos mitgesniffert hättest du das selber sehen können und der Thread hier wäre überflüssig !
Der Modus Gateway ist also zwingend für dich sofern du keine öffentlichen IPs benutzt !
In sofern ist der Traceroute absolut korrekt und entweder Hansenet ist schlampig und hat die RFC 1918 Accesslisten vergessen...ebenso wie Lambdanet oder die haben ebenfalls eine Accessliste auf ICMP deshalb lässt sich dei Bankseite weder pingen noch tracerouten. Vermutlich ist das der Fall, da alle Banking Seiten aus Sicherheitsgründen so eingestellt sind.
Alternativ kannst du unter Windows einmal pathping benutzen, das kein ICMP benutzt.
tom1234
tom1234 19.02.2010 um 21:11:49 Uhr
Goto Top
Danke für deine Bemühungen. Ich verstehe nur eins nicht.

Mein Router 1 (LAN) übersetz meine private IP nicht an Router 2 (DMZ), da die beiden ja via routing RIPv2 kommunizieren, richtig?

Mein Router 2 arbeitet aber doch als Gateway, ergo müsste er meine RFC1918 richtig an den ISP Router übermitteln oder?

Habe den pathping auf die Banksite gemacht, bleibt auch bei zeile 11 hängen.

Wireshark wollte/konnte ich hier auf dem Laptop nicht testen, bin hier kein Admin und benötige diese Rechte für den Setup des Treibers. Werde ich aber gleich nachholen.

Comemrzbank, und alle anderen Banken gehen übrigens.

Wollte dich nicht unnötig bemühen.

Danke,
builder4242
builder4242 19.02.2010 um 22:37:42 Uhr
Goto Top
wenn er nur bestimmte Adressen nicht routet, kann es vll nur an einem kleinen Configfehler liegen:

ip tcp adjust-mss 1452
tom1234
tom1234 19.02.2010 um 23:17:12 Uhr
Goto Top
Danke, hoffe ich kann mich irgendwann mal revangieren.

ich habe den WAN MTU Wert auf dem LAN Router auf 1452 geändert, jetzt geht alles.
Kannst du mir das genauer erklären, warum bei der Gateway Conig kein problem mit dem 1500 MTU hat?

Und was meinst du zu dem Kommentar von aqui? <seine aussage hat mich verwirrt!.

Z.B. "
Der Modus Gateway ist also zwingend für dich sofern du keine öffentlichen IPs benutzt !"

Oder ist es so wie ich es gesagt habe?

Nur zu meinem Verständnis, wenn du noch lust hast, sonst markiere ich den tread als gelöst..

Danke
builder4242
builder4242 19.02.2010 um 23:25:37 Uhr
Goto Top
was das mit dem MTU genau auf sich hat kann ich auch nicht sagen,

Im Prinzip kann ich es auch nicht anders erklären, es hängt natürlich auch von deinem ISP Dienst ab.
Wie wählst du dich ein?
DSL oder was größeres?
tom1234
tom1234 19.02.2010 um 23:46:36 Uhr
Goto Top
normales DSL. Was mich nur verwirrte, war die Geschichte mit

"Es grenzt überhaupt an ein Wunder das du soweit kommts. Im Modus Routing routet der Cisco ganz normal transparent. D.h. deine RFC 1918 Absenderadresse (Privates Netzwerk) wird nicht verändert. Normalerweise solltest du da schon beim ersten Providerrouter im Datenmülleimer landen, denn die filtern in der Regel alle RFC 1918 IP Adressen vor eintritt in ihr Netz."

Klappen tut es ja nun, obwohl ich ihn ja nicht auf Gateway umgestellt habe, nicht so wie aqui gesagt hat.
aqui
aqui 20.02.2010 um 00:14:36 Uhr
Goto Top
OK, das war nicht ganz klar wie du das verschaltet hast. Man konnte annehmen die 2 Router arbeiten parallel und nicht hintereinander.
OK dann ist natürlich NAT für beide Netze aktiv keine Frage.
Es wäre auch höchst ungewöhnlich wenn Provider RFC 1918 IPO Netze routen in so fern hätte das nie sein können.
Was das Thema MTU anbetrifft wird das warum hier genau erklärt:
http://www.cisco.com/en/US/tech/tk175/tk15/technologies_tech_note09186a ... --> "Why the MTU must be changed"


Wenns das war bitte
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !
tom1234
tom1234 20.02.2010 um 00:25:24 Uhr
Goto Top
Dank dir auch recht herzlich aqui. Also habe ich alles richtig konfiguriert und verkabelt.

Und nun auch noch den MTU richtig eingestellt und was dazu gelernt....

Vielen Dank nochmal.
aqui
aqui 20.02.2010 um 00:31:41 Uhr
Goto Top
Keine Ursache. Diese "DMZ des kleinen Mannes" ist auch hier recht gut dokumentiert:
http://www.heise.de/netze/artikel/DMZ-selbst-gebaut-221656.html

Für einen DMZ müsstest du eigentlich auch den 2ten Router auf Gateway schalten, ansonsten kann man diesen Router ohne NAT problemlos überwinden.
Erst mit dem NAT wird es zu einer "DMZ" denn erst die NAT Firewall verhindert sicher den Zugriff aufs 2te Netz !
tom1234
tom1234 20.02.2010 um 00:43:44 Uhr
Goto Top
Habs bei heise nachgelesen, somit muss ich das routing wieder deaktivieren und die mtu auf 1500 zurücksetzen. oder macht es beim NAT einen Unterschied auf was die MTu steht, so gings ja auch?