Verständnissfrage zu Routingtags in Bezug auf VPN

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

Antworten
b.junghans
Beiträge: 59
Registriert: 08 Okt 2013, 15:25

Verständnissfrage zu Routingtags in Bezug auf VPN

Beitrag von b.junghans »

Hi zusammen,
habe mal ne Verständnisfrage:

Wir haben 2 Internetleitung, Leitung A & B.
Leitung A hat default Routing Tag 0, Leitung B hat Routing Tag 1 gesetzt bekommen.
Somit geht alles über Leitung A, außer es existiert ne Firewallregel die Pakete mit 1 flaggt oder es kommt aus einem Netzwerk welches ebenfalls mit 1 getaggt ist.

Soweit so gut, funktioniert und ist verstanden.

Kommen wir zu VPN. Hier ist mir die Lage noch nicht ganz klar.
Die VPN Verbindungen werden bei uns ALLE von Client/Außenbüro zur Zentrale aufgebaut.
Als erste entscheidet also die einwählende Seite auf welcher Leitung sie rein kommt, je nach dem welchen DDNS sie benutzt. Das funktioniert auch soweit, so dass wenn sie den DDNS von Leitung A nehmen im Lanmonitor steht (über A) und analog bei Leitung B.

Nun gibt es aber in der VPN Verbindungsliste des Zentralrouters bei den Einträgen auch einen Eintrag für ein Routing Tag. Was hat es damit auf sich? Kommt das nur zum Zuge wenn die Zentrale die Verbindung aufbauen würde?

Und zur endgültigen Verwirrung kommt es dann, wenn man sich überlegt, dass bei site to site Verbindungen ja auch noch VPN-Routen in der Routingtabelle stehen, welchen man nun auch noch ein Routingtag geben könnte.
Gibt es da eine Beziehung zwischen dem eingetragenen Tag in der Route und dem in der VPN Verbindung?

Vielleicht kann ja jemand etwas Klarheit schaffen, vielen Dank!
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Verständnissfrage zu Routingtags in Bezug auf VPN

Beitrag von backslash »

Hi b.junghans,

es ist eigentlich ganz einfach....

Wenn ein Paket auf einem Interface enpfagen wurde, dann bekommt es das dem Intrerfae zugewiesene Tag verpaßt. Dieses Tag wird verwendet, um die Route zum Ziel auszuwählen - man erhält also pro Tag einen in sich geschlossen Router. Daher wird auch von Router-Virtulisierung und Routing-Kontexten gesprochen. Das Paket ist erstmal in diesem Kontext gefangen. Wenn des den Kontext verlassen soll, dann muß es eine Firewallregel geben, die dem Paket ein anders Tag verpaßt.

Das Tag in der VPN-Verbindungsliste dient nun auch nur dazu, bei einer abgehenden VPN-Verbindung die Route festzulegen, über die der entfernte VPN-Server erreichbar ist

Das war's eigentlich schon.


Und dann gibt es noch ein paar Komfort-Funktionenen bei den Tags:
  • Interfaces mit Tag 0 sehen alle anderen Kontexte. Damit ist Kontext 0 sozusagen der Supervisor-Kontext
  • Interfaces vom Typ DMZ werden aus allen Kontexten gesehen (eine DMZ ist prinzipiell Bestandteil des Internets und daher für alle sichtbar)
  • Routen mit Tag 0 werden in allen Kontexten gesehen (das erpart z.B. für jeden Kontext eine eigene Default-Route erstellen zu müssen)
Gruß
Backslash
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: Verständnissfrage zu Routingtags in Bezug auf VPN

Beitrag von GrandDixence »

Neben den Ausführungen von backslash sollte die Fragestellung durch einen Blick unter:

LCOS-Menübaum/Status/IP-Router/Eff.-IP-Routing-Tab.

beantwortet werden können.
https://de.wikipedia.org/wiki/Routingtabelle

Ankommende IP-Pakete aus einem VPN-Tunnel, welche eine TCP- oder UDP-Verbindung initiieren (z.B. TCP SYN), müssen aus Sicherheitsgründen per Setup/IP-Router/Tag-Tabelle/ mit einem Tag versehen werden. So jedenfalls verstehe ich Backslash's Antworten unter:
fragen-zum-thema-vpn-f14/vpn-clients-mi ... 12347.html

Siehe auch die VPN-Anleitungen unter:
fragen-zum-thema-vpn-f14/vpn-via-androi ... tml#p97795
Antworten