Routing Verständnisfrage

Moin,
ich steh gerade etwas auf dem Schlauch.

Ich habe im Wesentlichen zwei Netze:
1.) 192.168.0.0 / 24
Das ist das Netz hinter meinem Internet Modem

2.) mein Lab Netz 192.168.1.0 / 24

Es gibt einen Router (Ubiquity Edgerouter)
Eth0 mit 192.168.1.1
Eth1 mit 192.168.0.251

Ich hab nun in meinem 192.168.0 Netz einen Host 192.168.0.110
Dort habe ich eine statische Route mit route add (parameter) -p eingetragen
route add 192.168.1.0 mask 255.255.255.0 192.168.0.251

in dem 192.168.1 Netz hab ich einen Host 192.168.1.3
route add 192.168.0.0 mask 255.255.255.0 192.168.1.1 -p

Der Router zeigt mir
route - Klicke auf das Bild, um es zu vergrößern

nun mein Problem
ein Ping von 192.168.0.110 auf 192.168.1.3 geht

ein Ping von 192.168.1.3 auf 192.168.0.110 geht nicht (Firewalls auf beiden systemen offen)

Ein Ping von 192.168.1.3 auf das Interface im 0er Netz geht - Ping auf 192.168.0.251
aber nicht auf andere IP Addressen...

mach ich da was falsch? warum routet der Router nur von 0er Netz ins 1er Netz, aber nicht andersherum?
Bin über Ratschläge sehr dankbar

Content-Key: 666537

Url: https://administrator.de/contentid/666537

Ausgedruckt am: 17.06.2021 um 19:06 Uhr

Mitglied: tikayevent
tikayevent am 08.05.2021
NAT auf dem Router abgeschaltet?
Mitglied: aqui
aqui aktualisiert am 08.05.2021
aber nicht auf andere IP Addressen...
Ist zu erwarten.... 😉
Sehr wahrscheinlich haben alle diese "anderen" IP Adressen den Standard Router 192.168.0.1, den du fälschlicherweise als "Internet Modem" bezeichnest, als Default Gateway eingetragen.
Wollen diese "anderen" IP Adressen nun auf den Absender Ping 192.168.1.3 antworten, schicken sie die Antwort deshalb an die .0.1 und der wiederum nimmt sein Default Gateway und schickt es weiter zum Provider ins ewige Nirwana für private RFC 1918 IP Adressen. Was soll er auch machen wenn ihm die spezifische Route ins 1.0er Netz fehlt. Da bleibt ihm nur das default Gateway als "gateway of last resort".

Mit anderen Worten:
Works as designed ! Bzw. du hast für die "anderen" vergessen auf dem "Internet Modem" eine feste statische Route ala:
Zielnetz: 192.168.1.0, Maske: 255.255.255.0, Gateway: 192.168.0.251
einzutragen. ;-) face-wink
Hätte dir übrigens dann auch die überflüssigen Einzelrouten auf den 0.0er Endgeräten von oben erspart. Routen soll der Router und nicht die Endgeräte... Alte goldene Netzwerker Weisheit.
Im Zweifel immer in die Routing_Grundlagen sehen hier. Da stehen die Lösungen zu unheimlichen Routing und NAT Phänomenen... 😉
Mitglied: GrueneSosseMitSpeck
GrueneSosseMitSpeck am 08.05.2021
ich erwähnte, daß die Systeme in dem 192.168.0.0/24 Netz einen Eintrag in der Routingtabelle für das 192.168.1.0/24 Netz hatten und diese per Ping ansprechbar sind. Acuh per RDP und Fileshare. DEshalb ist die Aussage mit dem Internetmodem falsch...



das würde nur bemüht werden wenn ich keine statischen Routen festgelegt hätte. ich hatte ausdrücklich beschrieben, daß die Routen mit dem route Befehl definiert wurden.



ich glaube daß tikayevent den Finger näher am Puls hatte... es ist aber kein NAT aktiv, keine Firewall, rein garnichts... das Verhalten ändert sich auch nicht wenn ich die IP Addressen auf andere Ports lege... werde den Router morgen aber mal resetten und das Setup neu machen. Wenn ich das Interface des Routers im 192.168.0.0/24 Netz aus dem 192.168.1.0/24 Netz anpingen kann aber andere Addressen nicht, dann verlassen die IGMP Echo Pakete den Router nicht :-( face-sad
Mitglied: tikayevent
tikayevent am 08.05.2021
ICMP, nicht IGMP, wir fangen erstmal klein an, Multicast kommt später.

Ich hatte NAT in Verdacht, weil häufig eine Grundkonfiguration vorhanden ist, die einen sofortigen Internetzugang ermöglichen soll und dafür NAT benötigt.
Ich hoffe mal, dass du die Windows-Firewalls vorher umkonfiguriert oder deaktiviert hast.

Wenn ich das Interface des Routers im 192.168.0.0/24 Netz aus dem 192.168.1.0/24 Netz anpingen
Heißt erstmal nichts, Router können die lustigsten Verhaltensweisen an den Tag legen. Wenn es zu keinem schnellen Erfolg kommt, könnte man per Wireshark schauen, ob es überhaupt rausgeht, aber vorher würde ich erstmal ins Debug-Logging schauen.
Mitglied: aqui
Lösung aqui aktualisiert am 09.05.2021
DEshalb ist die Aussage mit dem Internetmodem falsch...
Sorry wenn das missverständlich war. Es war so gemeint das ein Modem eben ein Modem ist und kein Router. Modem und Router sind 2 technisch verschiedene Dinge...aber egal hat mit dem Thema auch nur am Rand zu tun !!
ich hatte ausdrücklich beschrieben, daß die Routen mit dem route Befehl definiert wurden.
Das war klar ! Der Einwand oben bezog sich auch lediglich nur auf die anderen Geräte im Netzwerk die versucht wurde anzupingen und die eben NICHT diese zusätzliche statische Route haben. Die kann man dann ohne Route natürlich aus dem oben beschriebenen Gründen nicht anpingen.

Das es bei den beteiligten Systemen die diese statische Route haben nur einseitig klappt kann nur 2 Gründe haben:
  • ICMP (nicht IGMP, das ist Multicast !) wird irgendwo geblockt
  • Der Router macht auf einem Interface NAT
Wenn du wirklich die lokale Firewall (und auch die Firewall am Router !) sicher ausschliessen kannst, dann kann es nur NAT sein.
Das Einfachste ist immer mal einen Wireshark zu bemühen und zu sehen WAS genau an den Endgeräten ankommt, bzw. WO die Antwort dann hingeht !
Siehst du im Wireshark dort keine eingehenden ICMP Echo Request Pakete dann ist es doch ganz sicher das der Router irgendwas filtert ! Sei es NAT oder ein Firewall Regelwerk was aktiv ist.
Sieht man sie, gehen aber an ein falsches Gateway stimmt was mit dem Routing nicht. Wireshark ist also immer der "best friend" hier.
Wenn ich das Interface des Routers im 192.168.0.0/24 Netz aus dem 192.168.1.0/24 Netz anpingen kann aber andere Addressen nicht, dann verlassen die IGMP Echo Pakete den Router nicht
ICMP meinst du sicher, oder ?
Nein, das ist falsch bzw. gilt nur für die 2 Teilnehmer die die o.a. statischen Routen definiert haben. Die Geräte die diese Route nicht haben schicken ihre Echo Reply Antwort an den Internet Router der ja ihr einziges Gateway ist und der schickt das ICMP Echo Reply dann in den RFC 1918 Datenmülleimer des Providers.
Sprich der Router sendet schon aber die Antwort geht den falschen Weg ! Ein Bild sagt mehr als 1000 Worte.... ;-) face-wink

gruenesosse - Klicke auf das Bild, um es zu vergrößern

Es wäre netzwerktechnisch wie immer sinnvoller die statischen Routen NICHT auf den Endgeräten zu definieren sondern immer auf den beteiligten Routern in den jeweiligen Netzen. Es sei denn man will das Routing nur auf diese Hosts limitieren oder hängt von anderen Restriktionen in den Netzen ab.
Mitglied: GrueneSosseMitSpeck
GrueneSosseMitSpeck aktualisiert am 09.05.2021
Es war die Defaultgateway Handhabung unter Windows 10, die hat einen Bug bei der Antwort auf einen Ping.

Direktzugriffe auf Systeme in dem 192.168.0.0 Netz gehen... RDP, HTTP wenn das angesprochene System eine statische Route zum Router hat an dem das Herkunftsnetz hängt.

Trotz auflösbarer Route zum Zielnetz wurde für die Ping Antwort der Defaultgateway genommen und nicht die statische Route .... höchstwahrscheinlich... um es zu verifizieren müßte ich auf der Vodaphone Dingsbumsbox einen Paketsniffer aktivieren, sowas gibts da aber nicht.

In dieser Konstellation aus Route und Metric ist der "Rückweg" versperrt, die Metric des Default gateways ist kleiner wie die zum Zielnetz. Die Konfiguration war per DHCP geladen worden, und Windows hat die Metric des Deafult Gateways auf 30 gesetzt, die meines Zielnetzes auf 31

Von Problemen mit 2 Interfaces im selben IP Range kannte ich die Bedeutung der Metric, daß sie aber SO angewendet auch einen Sinn beim Routing hat... bin kein Guru in dem Bereich.


aber mit dieser Variante funktioniert es (in Windows von DHCP auf manuell umgeschaltet, Default gateway und Route nach 192.168.1.0/24 manuell definiert


Das Zauberwort heißt also...
route add 0.0.0.0 mask 0.0.0.0 192.168.0.110 -p metric 255

Damit die Pingantwort den korrekten Weg geht.
Heiß diskutierte Beiträge
Administrator.de Feedback
Neue Administrator Version
FrankVor 23 StundenInformationAdministrator.de Feedback56 Kommentare

Hallo User, heute Nacht haben wir Release 5.9 unserer Seite veröffentlicht. Diese bringt ein paar grundlegende Neuerungen für unsere User mit sich: Die Suche nach ...

Backup
Backupstrategie
Xaero1982Vor 1 TagFrageBackup38 Kommentare

Nabend Zusammen, wir bekommen es ja leider alle immer wieder mal mit, dass es auch große Firmen gibt, die von irgendwelchen Verschlüsselungstrojanern verseucht werden. Aktuell ...

Windows 10
Windows 11 Vorabversion aufgetaucht
NixVerstehenVor 23 StundenTippWindows 1020 Kommentare

Auf Deskmodder.de ist ein Bericht über eine im Netz aufgetauchte Vorabversion von Windows 11 aufgetaucht. Der Bericht: Deskmodder.de - Windows 11 Vorabversion Bericht Download der ...

Internet Domänen
Domaine Join via VPN
SpryceeVor 1 TagFrageInternet Domänen4 Kommentare

Hallo, ich bin gerade dabei die namen einiger rechner umzubenennen dabei verwende ich ein Powershell script welches auf dem rechner ausgeführt wird. Jetzt gibt es ...

Windows Server
Durchgeschliffener Drucker funktioniert auf dem Server nicht
Disse1987Vor 1 TagFrageWindows Server12 Kommentare

Hallo zusammen, wieder einmal muss ich mich an euch wenden da wir mit unserem Latein am Ende sind. Seid ein paar Tagen hat eine Kundin ...

Hardware
PC und Monitor über Entfernung verbinden
gelöst ben1300Vor 11 StundenFrageHardware14 Kommentare

Guten Morgen :) folgende IST Situation: Ich habe einen Gaming PC, welchen meine Freundin gerne nutzt, z.B. für das "legendäre" Spiel Sims 4 ;) Normalerweise ...

Windows Server
Auf Active Directory Benutzer und Computer von Windows 10 zugreifen
RealThoreVor 1 TagFrageWindows Server9 Kommentare

Hallo zusammen, da wir in der Abteilung (10 Leute) uns regelmäßig um die RDP Sessions auf unseren DCs (2012 R2) prügeln, wolle ich mal nachfragen, ...

Sicherheit
Windows Server und Callback Server
gelöst samreinVor 1 TagFrageSicherheit4 Kommentare

Moin zusammen, heute Nacht wurde unser öffentlicher IP Addressbereich angegriffen. Auf einem Windows 2016 Gateway Server der ausschliesslich über Port 443 erreichbar ist sprang sogar ...