Routereinstellungen.....Knoten im Hirn

Forum zu aktuellen Geräten der LANCOM Router/Gateway Serie

Moderator: Lancom-Systems Moderatoren

Antworten
firefox_i
Beiträge: 251
Registriert: 28 Jan 2015, 09:07

Routereinstellungen.....Knoten im Hirn

Beitrag von firefox_i »

Hallo zusammen,
es gibt nen Schwesterthread in dem ich das Grundlegende schonmal beschrieben habe:
fragen-zur-lancom-systems-routern-und-g ... 18976.html

Jetzt bin ich huet dranund versuch das zu implementieren.
Scheitere aber an einer Stelle:

Mal reduziert gibt es 2 Netze:
Intranet: IP 10.72.30.1, VLAN 0, Tag 0, Schnittstelle BRG-1
Isoliert: IP 10.72.60.1, VLAN0,Tag 0, LAN-2


Wenn ich bei beiden Netzen das Schnittstellentag 0 drin habe, sehen sich die beiden Netze.
Soweit so gut.

Nun wollte ich die trennen:
Also hab ich dem Isolierten Netz (10.7.60.x) das Schnittstellentag 300 gegeben.

Aus dem Intranet (10.72.30.x) komm ich immer noch ins 10.72.60.x, klar, Intranet hat auch Schnittstellentag 0. Passt.

Meine Annahme war nun, wenn ich in der Routertabelle folgendes einstelle:
2021-08-28 22_04_30-Window.png
dann schaffe ich eine Route für die mit 300 getaggeten Pakete in das Netz 10.72.30.x....nur irgendwie funktioniert das nicht.
Beim Ping kommt die Meldung "Antwort von 10.72.60.1: Zielnetz nicht erreichbar".

Wo ist hier mein Denkfehler?


Was ich auch seltsam finde:
Es gibt einen VPN Tunnel zu einem anderen Standort.
Da die Route dorthin mit dem Routing Tag 0 versehen ist, dachte ich, dass ich dann von meinem 10.72.60.x auch auf das entfernte Netz (10.72.10.x) komme....aber das tut nicht.
Fehlt mir da am entfernten Router ne Rückroute oder muss ich am VPN was ändern. Sichtwort SA ?
Hat mir da jemand ne Hilfestellung?

Danke
S.
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
5624
Beiträge: 865
Registriert: 14 Mär 2012, 12:36

Re: Routereinstellungen.....Knoten im Hirn

Beitrag von 5624 »

Schau dir mal den Teil für ARF in der Referenzanleitung an.

Die Route ist sinnlos, die produziert nur eine Schleife. Das Springen zwischen ARF-Kontexten ist nur über die Firewall möglich. Gibt nur einen Sonderfall, wenn man ins ARF-Kontext 0 springen will, muss man 65535 eintragen.

Aber warum trennst du Netze und willst die wieder verbinden? Das ist sinnlos.

VPN ist da wieder so ne ganz spezielle Sache im ARF.
LCS NC/WLAN
firefox_i
Beiträge: 251
Registriert: 28 Jan 2015, 09:07

Re: Routereinstellungen.....Knoten im Hirn

Beitrag von firefox_i »

Guten Morgen,
danke für den Hinweis.
Das Dokument hab ich mir schon angeschaut, allerdings finde ich dort nicht den von Dir erwähnten Punkt, dass ein Wechsel zwischen ARF Kontexten nur über die Firewall möglich ist.

Also - wenn ich es richtig verstehe - muss ich eine FW Regel erstellen, die mir die Pakete aus dem 10.72.60.1 er Netz - die das Tag 300 haben - umtaggen auf die 0 (über den Eintrag 65535).

Was ist an meinem Ansatz so falsch, dass ich für die Route ins Netz 10.72.30.0 für Pakete mit dem Tag 300 explizit den Router 10.72.60.1 angebe?


Der Hintergrund über den Router zu gehen war, dass ich eine einfache Möglichkeit wollte, den Zugriff aus dem 10.72.60.0 Netz in das 10.72.30.0 Netz zu unterbinden - und das eben über das abschalten der Route umsetzen wollte.
Aber da ist wohl der vermeintlich logische Ansatz der falsche....

Mein zweiter Grund war, dass ich versucht habe, dadurch das Ping Thema unter WIn10 zu lösen.
Ein Window 10 Rechner antwortet nur auf Ping Anfragen aus dem selben Subnetz.
Wenn ich nun die beiden Netze über den Router verbunden hätte, müsste doch das Echo Request Paket durch die IP Maskiereung die Absenderadresse aus dem korrekten Subnetz bekommen, oder denke ich da wieder falsch ?


MIt dem VPN scheint es einfach an einer fehlenden SA zu liegen.

Danke schonmal S.
5624
Beiträge: 865
Registriert: 14 Mär 2012, 12:36

Re: Routereinstellungen.....Knoten im Hirn

Beitrag von 5624 »

Was ist an meinem Ansatz so falsch, dass ich für die Route ins Netz 10.72.30.0 für Pakete mit dem Tag 300 explizit den Router 10.72.60.1 angebe?
Weil es nicht geht.

ARF erzeugt effektiv mehrere virtuelle Routingtabellen, wobei die Routingtabelle noch Informationen beinhaltet, die man im LANconfig nicht sieht. Das Problem ist bei dir, dass die Routingtabelle für das Tag 300 keine Connected-Route für Netze aus Tag 0 hat.

Nein, dein VPN-Problem liegt nicht nur an einer fehlenden SA. Das Problem ist hier wieder ARF. Auch eine VPN-Verbindung hat ein ARF-Tag, so wie jede WAN-Verbindung, jede LAN-Verbindung und was auch immer.
Der Hintergrund über den Router zu gehen war, dass ich eine einfache Möglichkeit wollte, den Zugriff aus dem 10.72.60.0 Netz in das 10.72.30.0 Netz zu unterbinden - und das eben über das abschalten der Route umsetzen wollte.
Gibt zwei Möglichkeiten:
1. Du änderst das ARF-Tag, wenn du die Kommunikation erlauben willst, auf einen identischen Wert und zur Vermeidung der Kommunikation auf unterschiedliche Tags
2. Du legst eine Firewall-Regel an, die die Kommunikation erlaubt und schaltest die ein oder aus.
Ein Window 10 Rechner antwortet nur auf Ping Anfragen aus dem selben Subnetz.
Wenn ich nun die beiden Netze über den Router verbunden hätte, müsste doch das Echo Request Paket durch die IP Maskiereung die Absenderadresse aus dem korrekten Subnetz bekommen, oder denke ich da wieder falsch ?
Dann stimmt irgendwas an deiner Windows-Firewall nicht. Router bedeutet nicht automatisch IP-Maskierung. Wenn nicht explizit NAT betrieben wird, egal ob über die Gegenstelle und die Routingtabelle oder aber über die Firewall, bleiben Absender- und Empfänger-IP unverändert. Normales Routing. NAT kam erst viel viel später und ist effektiv Pfusch. Das entspricht nicht dem eigentlichen Sinn von TCP/IP, auch wenn es heute zwingend notwendig ist.

Wenn du das Thema in Zukunft noch etwas vertiefen willst, solltest du dich näher damit beschäftigen. Nicht nur mit ARF sondern grundlegend, weil dir scheinbar auch das Basiswissen Routing fehlt. LANCOM-Schulungen bringen dieses, meiner Meinung nach, nicht richtig rüber. Da sind andere Schulungen, sei es der Cisco CCNA oder, wenn es etwas neutraler sein soll, die CompTIA Network+ besser.
LCS NC/WLAN
firefox_i
Beiträge: 251
Registriert: 28 Jan 2015, 09:07

Re: Routereinstellungen.....Knoten im Hirn

Beitrag von firefox_i »

Danke für die Infos.

Nunja, ganz der Nullblicker in Sachen Routing wie du es darstellt bin ich nicht....ich arbeite mit Netzen seit 10 base-t (kennen manche schon garnimmer).

Ich finde, dass die Lancom Router hier schon einige Spazialitäten haben, die einem in der Doku nur marginal - wenn überhaupt - angedeutet werden und man muss da schon sehr viel probieren, bis es tut.

Mir scheint, dass speziell bei LANCOM das ARF Fluch und Segen zugleich ist.

Ich habs mittlerweile hinbekommen, dass alle Netze so miteinander sprechen (oder eben nicht sprechen) können wie es sein soll. Auch die Umkonfiguration des VPNs so, dass das neu hinzugekommene Netz nun von gegenüber angesprochen weerden kann funktioniert...
Also doch kein völliger Noob ;-)


S.
5624
Beiträge: 865
Registriert: 14 Mär 2012, 12:36

Re: Routereinstellungen.....Knoten im Hirn

Beitrag von 5624 »

Die Physik hat mit dem Routing nichts zu tun. Man kann ein super Wissen zu Ethernet haben, aber von IP nichts verstehen.

Ja, LANCOM hat seine Eigenarten, so wie jeder andere Hersteller auch. Mir ist noch kein Hersteller von Netzwerktechnik in die Finger gekommen, bei dem ich mir nicht gedacht habe "Was soll der Scheiß?!". Gibt nur den einen oder anderen Hersteller bei dem ich mir denke "Bleib mir weg mit dem Scheiß".

Bei LANCOM heißt es ARF, bei vielen anderen VRF. Am Ende ist es nur eine Form der Virtualisierung.
LCS NC/WLAN
Antworten