Hallo,
ich habe hier zwei Gerät in der Zentrale mit 2 ISPs als HA (VRRP) Konfiguration.
Aus Gründen der verfügbaren Bandbreite (mehr bekomme ich z.Zt. nicht), sind beide aktiv, die Filial wählt sich per VPN an den VRRP Backup an.
Daher wird hier RIP verwendet, was auch mit VLAN1 172.20.0.0/23 funktioniert.
Ich verstehe bei diesem Paket die Routing Entscheidung nicht. Lt. RIP Best-Routes sollte doch hier 172.20.5.20 gewählt werden, wieso steht in der Active Routing Table 172.20.1.1 drin?
Vielen Dank und viele Grüße
Henri
[IP-Router] 2022/03/03 09:50:22,921
IP-Router Rx (BUNDLE-1, VLAN5_DMZ, RtgTag: 5):
DstIP: 172.21.5.80, SrcIP: 172.20.5.75, Len: 616, DSCP: CS3 (0x18), ECT: 0, CE: 0
Prot.: UDP (17), DstPort: 5060, SrcPort: 5060
Route: 172.20.1.1, BRG-1 Tx (INTRANET)
root@Router:/Setup/IP-Router/IP-Routing-Table (hier ist PRAXIS offline, d.h. die Routen werden nicht propagiert, für Backup gedacht).
> l
IP-Address IP-Netmask Rtg-tag Admin-Distance Peer-or-IP Distance Masquerade Active Comment
===========================================================----------------------------------------------------------------------------------------------------------------------
172.21.0.0 255.255.255.0 0 0 PRAXIS 0 No Semi Route to Praxis
172.21.2.0 255.255.255.0 2 0 PRAXIS 0 No Semi Route to Praxis
172.21.2.0 255.255.255.0 0 0 PRAXIS 0 No Semi Route to Praxis
172.21.5.0 255.255.255.0 5 0 PRAXIS 0 No Semi Route to Praxis
172.21.5.0 255.255.255.0 0 0 PRAXIS 0 No Semi Route to Praxis
l All-Routes/
root@Router:/Setup/IP-Router/RIP
IP-Address IP-Netmask Rtg-tag Gateway Distance Time Network-name
============================================================--------------------------------
172.21.0.0 255.255.255.0 0 172.20.1.1 3 1 INTRANET
172.21.2.0 255.255.255.0 2 172.20.2.20 3 1 VLAN2_SECURITY
172.21.2.0 255.255.255.0 0 172.20.1.1 3 1 INTRANET
172.21.5.0 255.255.255.0 5 172.20.5.20 3 1 VLAN5_DMZ
172.21.5.0 255.255.255.0 0 172.20.1.1 3 1 INTRANET
172.21.100.0 255.255.255.0 0 172.20.1.1 3 1 INTRANET
root@Router:/Status/IP-Router/RIP
> l Best-Routes/
IP-Address IP-Netmask Rtg-tag Gateway Distance Time Network-name
============================================================--------------------------------
172.21.0.0 255.255.255.0 0 172.20.1.1 3 1 INTRANET
172.21.2.0 255.255.255.0 2 172.20.2.20 3 1 VLAN2_SECURITY
172.21.2.0 255.255.255.0 0 172.20.1.1 3 1 INTRANET
172.21.5.0 255.255.255.0 5 172.20.5.20 3 1 VLAN5_DMZ
172.21.5.0 255.255.255.0 0 172.20.1.1 3 1 INTRANET
172.21.100.0 255.255.255.0 0 172.20.1.1 3 1 INTRANET
root@Router:/Status/IP-Router/Act.-IPv4-Routing-Tab.
IP-Address IP-Netmask Rtg-tag Next-Hop Target-Interface Type(Distance) Masquerade
=============================================---------------------------------------------------------------------------------
172.21.0.0 255.255.255.0 5 172.20.1.1 INTRANET Static (5) No
172.21.2.0 255.255.255.0 5 172.20.1.1 INTRANET Static (5) No
172.21.3.0 255.255.255.0 5 172.20.5.20 VLAN5_DMZ RIP (120) No
172.21.5.0 255.255.255.0 5 172.20.1.1 INTRANET Static (5) No
172.21.0.0 255.255.255.0 2 172.20.1.1 INTRANET Static (5) No
172.21.2.0 255.255.255.0 2 172.20.1.1 INTRANET Static (5) No
172.21.3.0 255.255.255.0 2 172.20.2.20 VLAN2_SECURITY RIP (120) No
172.21.5.0 255.255.255.0 2 172.20.1.1 INTRANET Static (5) No
172.21.0.0 255.255.255.0 0 172.20.1.1 INTRANET Static (5) No
172.21.2.0 255.255.255.0 0 172.20.1.1 INTRANET Static (5) No
172.21.3.0 255.255.255.0 0 172.20.1.1 INTRANET RIP (120) No
172.21.5.0 255.255.255.0 0 172.20.1.1 INTRANET Static (5) No
RIP und ARF - 10.50.0619RU5 - Frage
Moderator: Lancom-Systems Moderatoren
Re: RIP und ARF - 10.50.0619RU5 - Frage
Hi Henry,
die FIB sagt, daß du in der Routinbg-Tabelle folgende Route definiert hast
172.21.5.0 255.255.255.0 5 172.20.1.1 INTRANET Static (5) No
Und da RIP mit 120 eine höhere administrative Distanz hat als die 5 der statischen Routen, wird die statische Route bevozugt. Kann es sein daß du die Route mit Routing-Tag 0 in der Routing-Tabelle stehen hast? Wenn ja, dann taucht sie in allen Tags auf und ist besser als die RIP-Route. Ggf. mußt du der Route eine admistrative Distanz geben, die höher ist als die der RIP-Routen, z.B. 121
Aber es stellt sich dann natürlich die Frage, wozu du die Route überhaupt hast, wenn du doch die Einwahlen per RIP abdecken willst.
Gruß
Backslash
die FIB sagt, daß du in der Routinbg-Tabelle folgende Route definiert hast
172.21.5.0 255.255.255.0 5 172.20.1.1 INTRANET Static (5) No
Und da RIP mit 120 eine höhere administrative Distanz hat als die 5 der statischen Routen, wird die statische Route bevozugt. Kann es sein daß du die Route mit Routing-Tag 0 in der Routing-Tabelle stehen hast? Wenn ja, dann taucht sie in allen Tags auf und ist besser als die RIP-Route. Ggf. mußt du der Route eine admistrative Distanz geben, die höher ist als die der RIP-Routen, z.B. 121
Aber es stellt sich dann natürlich die Frage, wozu du die Route überhaupt hast, wenn du doch die Einwahlen per RIP abdecken willst.
Gruß
Backslash
Re: RIP und ARF - 10.50.0619RU5 - Frage
Hallo Backslash,
danke für deine Antwort, so eine Route ist nicht definiert.
Diese Route hier sollten auf dem Gerät nicht erzeugt werden, die Gegenstelle ist Offline, so zumindest mein Verständnis.
Mit vielen Grüßen
Henri
danke für deine Antwort, so eine Route ist nicht definiert.
Diese Route hier sollten auf dem Gerät nicht erzeugt werden, die Gegenstelle ist Offline, so zumindest mein Verständnis.
Mit vielen Grüßen
Henri
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Re: RIP und ARF - 10.50.0619RU5 - Frage
Hi Henri
es wäre schon sinnvoll, wenn du die GANZE Routing-Tabelle postest - und nicht nur den Ausschnitt, von dem du meinst, daß er betroffen wäre. denn irgendwo muß die Route zur 172.20.1.1 ja herkommen.
Ist das ggf. die virtuelle IP des VRRP? wie ist das VRRP konfiguriert?
Am Besten gibst du im CLI mal ein show ipv4-fib und ein show ipv4-rib ein. Vielleicht siehst du daran ja schon selbst, was schief läuft: die FIB enthält nur die Routen, die tatsächlich verwendet werden, während in der RIB alle Routen auftauchen (leider nicht so ausführlich wie in der FIB denn das Ziel fehlt in der Ausgabe).
Gruß
Backslash
auch wenn die Gegenstelle offline ist, werden die Routen erzeugt - sie haben dann nur die adminitrative Distanz von 255 und sind somit schlechter als alles, was über Routing-Protokolle so reinkommt.Diese Route hier sollten auf dem Gerät nicht erzeugt werden, die Gegenstelle ist Offline, so zumindest mein Verständnis.
es wäre schon sinnvoll, wenn du die GANZE Routing-Tabelle postest - und nicht nur den Ausschnitt, von dem du meinst, daß er betroffen wäre. denn irgendwo muß die Route zur 172.20.1.1 ja herkommen.
Ist das ggf. die virtuelle IP des VRRP? wie ist das VRRP konfiguriert?
Am Besten gibst du im CLI mal ein show ipv4-fib und ein show ipv4-rib ein. Vielleicht siehst du daran ja schon selbst, was schief läuft: die FIB enthält nur die Routen, die tatsächlich verwendet werden, während in der RIB alle Routen auftauchen (leider nicht so ausführlich wie in der FIB denn das Ziel fehlt in der Ausgabe).
Gruß
Backslash
Re: RIP und ARF - 10.50.0619RU5 - Frage
Hallo Backslash,
danke, du hast recht, das ist eine VRRP Adresse, deren Route mittels RIP propagiert wird.
Hier ist die gesamte Routingtabelle.
Ich hätte hier statt:
172.21.5.0/24 172.20.1.1 INTRANET 2 no Redistribute Static (5)
diese Route erwartet, dann wäre alles Okay
172.21.5.0/24 172.20.5.20 VLAN5_DMZ 15 no Redistribute RIP (120)
Danke
Mit vielen Grüßen
Henri
sh ipv4-rib
Rtg-Tag 5
Prefix Type (Distance)
-----------------------------------------
0.0.0.0/0 Static (5)
172.20.5.0/24 Connected LAN (2)
172.20.50.0/24 Static (5)
172.20.55.0/24 Static (5)
172.21.3.0/24 RIP (120)
172.21.5.0/24 Static (5) RIP (120)
172.20.5.1/32 VRRP (0)
172.20.5.5/32 Local LAN (0)
sh ipv4-fib
Rtg-Tag 5
Prefix Next-Hop Interface ID Masquerading Redistribution Type (Distance)
--------------------------------------------------------------------------------------------------------------------------
0.0.0.0/0 92.50.68.81 INTERNET 18 on Redistribute Static (5)
10.0.100.0/24 0.0.0.0 VLAN100_FWINT 3 no Redistribute Connected LAN (2)
10.0.100.1/32 0.0.0.0 #Loopback 1 no Never VRRP (0)
10.0.100.5/32 0.0.0.0 #Loopback 1 no Redistribute Local LAN (0)
10.0.201.0/24 0.0.0.0 VLAN201_UTM 8 no Redistribute Connected LAN (2)
10.0.201.1/32 0.0.0.0 #Loopback 1 no Never VRRP (0)
10.0.201.5/32 0.0.0.0 #Loopback 1 no Redistribute Local LAN (0)
10.0.202.0/24 0.0.0.0 VLAN202_PFSENSE 9 no Redistribute Connected LAN (2)
10.0.202.1/32 0.0.0.0 #Loopback 1 no Never VRRP (0)
10.0.202.5/32 0.0.0.0 #Loopback 1 no Redistribute Local LAN (0)
10.0.203.0/24 0.0.0.0 VLAN203_FWEXT 10 no Redistribute Connected LAN (2)
10.0.203.1/32 0.0.0.0 #Loopback 1 no Redistribute Local LAN (0)
10.0.205.0/24 0.0.0.0 VLAN205_FWLAN 11 no Redistribute Connected LAN (2)
10.0.205.1/32 0.0.0.0 #Loopback 1 no Never VRRP (0)
10.0.205.5/32 0.0.0.0 #Loopback 1 no Redistribute Local LAN (0)
92.50.68.80/29 0.0.0.0 INTERNET 18 on Redistribute Connected WAN (2)
92.50.68.81/32 0.0.0.0 INTERNET 18 on Redistribute Connected WAN (2)
92.50.68.82/32 0.0.0.0 #Loopback 1 no Redistribute Local WAN (0)
100.102.0.0/15 0.0.0.0 #Null 0 no Never Static (255)
127.0.0.0/8 0.0.0.0 #Loopback 1 no Never Loopback (0)
127.0.0.1/32 0.0.0.0 #Loopback 1 no Never Loopback (0)
169.254.0.0/16 0.0.0.0 #Null 0 no Never Static (5)
172.20.0.105/32 0.0.0.0 #Null 0 no Never Static (255)
172.20.3.0/24 172.20.0.80 INTRANET 2 no Redistribute Static (5)
172.20.4.0/25 172.20.5.15 VLAN5_DMZ 15 no Redistribute Static (5)
172.20.4.128/25 172.20.5.12 VLAN5_DMZ 15 no Redistribute Static (5)
172.20.5.0/24 0.0.0.0 VLAN5_DMZ 15 no Redistribute Connected LAN (2)
172.20.5.1/32 0.0.0.0 #Loopback 1 no Never VRRP (0)
172.20.5.5/32 0.0.0.0 #Loopback 1 no Redistribute Local LAN (0)
172.20.50.0/24 172.20.5.184 VLAN5_DMZ 15 no Redistribute Static (5)
172.20.55.0/24 172.20.5.184 VLAN5_DMZ 15 no Redistribute Static (5)
172.21.0.0/24 172.20.1.1 INTRANET 2 no Redistribute Static (5)
172.21.2.0/24 172.20.1.1 INTRANET 2 no Redistribute Static (5)
172.21.3.0/24 172.20.5.20 VLAN5_DMZ 15 no Redistribute RIP (120)
172.21.5.0/24 172.20.1.1 INTRANET 2 no Redistribute Static (5)
172.21.100.0/24 172.20.1.1 INTRANET 2 no Redistribute Static (5)
192.168.178.0/24 0.0.0.0 VLAN250_WANADM 13 no Redistribute Connected LAN (2)
192.168.178.5/32 0.0.0.0 #Loopback 1 no Redistribute Local LAN (0)
192.168.178.20/32 0.0.0.0 #Loopback 1 no Never VRRP (0)
danke, du hast recht, das ist eine VRRP Adresse, deren Route mittels RIP propagiert wird.
Hier ist die gesamte Routingtabelle.
Ich hätte hier statt:
172.21.5.0/24 172.20.1.1 INTRANET 2 no Redistribute Static (5)
diese Route erwartet, dann wäre alles Okay
172.21.5.0/24 172.20.5.20 VLAN5_DMZ 15 no Redistribute RIP (120)
Danke
Mit vielen Grüßen
Henri
sh ipv4-rib
Rtg-Tag 5
Prefix Type (Distance)
-----------------------------------------
0.0.0.0/0 Static (5)
172.20.5.0/24 Connected LAN (2)
172.20.50.0/24 Static (5)
172.20.55.0/24 Static (5)
172.21.3.0/24 RIP (120)
172.21.5.0/24 Static (5) RIP (120)
172.20.5.1/32 VRRP (0)
172.20.5.5/32 Local LAN (0)
sh ipv4-fib
Rtg-Tag 5
Prefix Next-Hop Interface ID Masquerading Redistribution Type (Distance)
--------------------------------------------------------------------------------------------------------------------------
0.0.0.0/0 92.50.68.81 INTERNET 18 on Redistribute Static (5)
10.0.100.0/24 0.0.0.0 VLAN100_FWINT 3 no Redistribute Connected LAN (2)
10.0.100.1/32 0.0.0.0 #Loopback 1 no Never VRRP (0)
10.0.100.5/32 0.0.0.0 #Loopback 1 no Redistribute Local LAN (0)
10.0.201.0/24 0.0.0.0 VLAN201_UTM 8 no Redistribute Connected LAN (2)
10.0.201.1/32 0.0.0.0 #Loopback 1 no Never VRRP (0)
10.0.201.5/32 0.0.0.0 #Loopback 1 no Redistribute Local LAN (0)
10.0.202.0/24 0.0.0.0 VLAN202_PFSENSE 9 no Redistribute Connected LAN (2)
10.0.202.1/32 0.0.0.0 #Loopback 1 no Never VRRP (0)
10.0.202.5/32 0.0.0.0 #Loopback 1 no Redistribute Local LAN (0)
10.0.203.0/24 0.0.0.0 VLAN203_FWEXT 10 no Redistribute Connected LAN (2)
10.0.203.1/32 0.0.0.0 #Loopback 1 no Redistribute Local LAN (0)
10.0.205.0/24 0.0.0.0 VLAN205_FWLAN 11 no Redistribute Connected LAN (2)
10.0.205.1/32 0.0.0.0 #Loopback 1 no Never VRRP (0)
10.0.205.5/32 0.0.0.0 #Loopback 1 no Redistribute Local LAN (0)
92.50.68.80/29 0.0.0.0 INTERNET 18 on Redistribute Connected WAN (2)
92.50.68.81/32 0.0.0.0 INTERNET 18 on Redistribute Connected WAN (2)
92.50.68.82/32 0.0.0.0 #Loopback 1 no Redistribute Local WAN (0)
100.102.0.0/15 0.0.0.0 #Null 0 no Never Static (255)
127.0.0.0/8 0.0.0.0 #Loopback 1 no Never Loopback (0)
127.0.0.1/32 0.0.0.0 #Loopback 1 no Never Loopback (0)
169.254.0.0/16 0.0.0.0 #Null 0 no Never Static (5)
172.20.0.105/32 0.0.0.0 #Null 0 no Never Static (255)
172.20.3.0/24 172.20.0.80 INTRANET 2 no Redistribute Static (5)
172.20.4.0/25 172.20.5.15 VLAN5_DMZ 15 no Redistribute Static (5)
172.20.4.128/25 172.20.5.12 VLAN5_DMZ 15 no Redistribute Static (5)
172.20.5.0/24 0.0.0.0 VLAN5_DMZ 15 no Redistribute Connected LAN (2)
172.20.5.1/32 0.0.0.0 #Loopback 1 no Never VRRP (0)
172.20.5.5/32 0.0.0.0 #Loopback 1 no Redistribute Local LAN (0)
172.20.50.0/24 172.20.5.184 VLAN5_DMZ 15 no Redistribute Static (5)
172.20.55.0/24 172.20.5.184 VLAN5_DMZ 15 no Redistribute Static (5)
172.21.0.0/24 172.20.1.1 INTRANET 2 no Redistribute Static (5)
172.21.2.0/24 172.20.1.1 INTRANET 2 no Redistribute Static (5)
172.21.3.0/24 172.20.5.20 VLAN5_DMZ 15 no Redistribute RIP (120)
172.21.5.0/24 172.20.1.1 INTRANET 2 no Redistribute Static (5)
172.21.100.0/24 172.20.1.1 INTRANET 2 no Redistribute Static (5)
192.168.178.0/24 0.0.0.0 VLAN250_WANADM 13 no Redistribute Connected LAN (2)
192.168.178.5/32 0.0.0.0 #Loopback 1 no Redistribute Local LAN (0)
192.168.178.20/32 0.0.0.0 #Loopback 1 no Never VRRP (0)
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Re: RIP und ARF - 10.50.0619RU5 - Frage
Hi Henri,
das Problem ist, daß die RIB zwei Routen hat: die statische, die offenbar durch das VRRP ungeboden wurde, und die vom RIP:
172.21.5.0/24 Static (5) RIP (120)
Gib den Routen zur Gegenbstelle PRAXIS doch mal eine administrative Distanz von 130...
Gruß
Backslash
das Problem ist, daß die RIB zwei Routen hat: die statische, die offenbar durch das VRRP ungeboden wurde, und die vom RIP:
172.21.5.0/24 Static (5) RIP (120)
Gib den Routen zur Gegenbstelle PRAXIS doch mal eine administrative Distanz von 130...
Gruß
Backslash
Re: RIP und ARF - 10.50.0619RU5 - Frage
Hallo Backslash,
vielen Dank, das funktioniert jetzt (allerdings nur beim Verbindungsaufbau von einer Seite aus).
Habe ich die Chance den "172.20.5.0/24" bei angeschlossenen LAN via RIP auf 172.20.5.1 als Next-Hop umzubiegen?
Wenn die Verbindung von der (via VPN) angeschlossenen Seite aus initiiert wird, landet das Paket direct im LAN und
wird nicht über die VRRP Adresse 172.20.5.1 (auf dem anderen Gerät) gerouted, mit allen dadurch entstehenden Problemen.
Vielen Dank und viele Grüße
Henri
Rtg-Tag 5
Prefix Next-Hop Interface ID Masquerading Redistribution Type (Distance)
--------------------------------------------------------------------------------------------------------------------------
0.0.0.0/0 0.0.0.0 INTERNET 18 on Redistribute Static (5)
172.20.5.0/24 0.0.0.0 VLAN5_DMZ 15 no Redistribute Connected LAN (2)
172.20.5.11/32 0.0.0.0 #Loopback 1 no Redistribute Local LAN (0)
172.21.0.0/24 0.0.0.0 PRAXIS 29 no Redistribute Static (5)
172.21.2.0/24 0.0.0.0 PRAXIS 29 no Redistribute Static (5)
172.21.3.0/24 0.0.0.0 PRAXIS 29 no Redistribute Static (5)
172.21.5.0/24 0.0.0.0 PRAXIS 29 no Redistribute Static (5)
vielen Dank, das funktioniert jetzt (allerdings nur beim Verbindungsaufbau von einer Seite aus).
Habe ich die Chance den "172.20.5.0/24" bei angeschlossenen LAN via RIP auf 172.20.5.1 als Next-Hop umzubiegen?
Wenn die Verbindung von der (via VPN) angeschlossenen Seite aus initiiert wird, landet das Paket direct im LAN und
wird nicht über die VRRP Adresse 172.20.5.1 (auf dem anderen Gerät) gerouted, mit allen dadurch entstehenden Problemen.
Vielen Dank und viele Grüße
Henri
Rtg-Tag 5
Prefix Next-Hop Interface ID Masquerading Redistribution Type (Distance)
--------------------------------------------------------------------------------------------------------------------------
0.0.0.0/0 0.0.0.0 INTERNET 18 on Redistribute Static (5)
172.20.5.0/24 0.0.0.0 VLAN5_DMZ 15 no Redistribute Connected LAN (2)
172.20.5.11/32 0.0.0.0 #Loopback 1 no Redistribute Local LAN (0)
172.21.0.0/24 0.0.0.0 PRAXIS 29 no Redistribute Static (5)
172.21.2.0/24 0.0.0.0 PRAXIS 29 no Redistribute Static (5)
172.21.3.0/24 0.0.0.0 PRAXIS 29 no Redistribute Static (5)
172.21.5.0/24 0.0.0.0 PRAXIS 29 no Redistribute Static (5)
Re: RIP und ARF - 10.50.0619RU5 - Frage
Hallo Backslash,
funktioniert, wie von dir beschrieben.
Ich hatte noch eine alte Rule mit inkorrekten Routing Tag in der Firewall vergessen und mich dann wieder einmal arg gewundert...
Es würde mich allerdings trotzdem interessieren, ob ich das Routing einer lokalen Schnittstelle mittels VRRP/RIP auf einen anderen Router umbiegen kann. Ich habe on der Vergangenheit bei solchen Sachen immer genatted.
Danke und mit vielen Grüßen
Henri
funktioniert, wie von dir beschrieben.
Ich hatte noch eine alte Rule mit inkorrekten Routing Tag in der Firewall vergessen und mich dann wieder einmal arg gewundert...
Es würde mich allerdings trotzdem interessieren, ob ich das Routing einer lokalen Schnittstelle mittels VRRP/RIP auf einen anderen Router umbiegen kann. Ich habe on der Vergangenheit bei solchen Sachen immer genatted.
Danke und mit vielen Grüßen
Henri
Re: RIP und ARF - 10.50.0619RU5 - Frage
Hi Henri
"Habe ich die Chance den "172.20.5.0/24" bei angeschlossenen LAN via RIP auf 172.20.5.1 als Next-Hop umzubiegen? "
nein, denn 172.20.5.1 liegt ja innerhalb des Netzes 172.20.5.0/24. Daher muß/kann/darf da nichts "umgelenkt" werden... Ein solches umlenken wäre nur mit einer ARF-Spoofing-Attacke möglich...
Gruß
Backslash
"Habe ich die Chance den "172.20.5.0/24" bei angeschlossenen LAN via RIP auf 172.20.5.1 als Next-Hop umzubiegen? "
nein, denn 172.20.5.1 liegt ja innerhalb des Netzes 172.20.5.0/24. Daher muß/kann/darf da nichts "umgelenkt" werden... Ein solches umlenken wäre nur mit einer ARF-Spoofing-Attacke möglich...
Gruß
Backslash