Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst MPLS Vernetzung zweier Standorte via ISA04 - Routing Problem

Mitglied: sancho79

sancho79 (Level 1) - Jetzt verbinden

19.08.2010, aktualisiert 12:52 Uhr, 8728 Aufrufe, 5 Kommentare, 1 Danke

Hallo,

ich habe ein Problem mit der Vernetzung 2er Standorte via MPLS (wobei mir die Suche durch diverse Foren (speziell hier und isaserver_org) bisher auch nicht weitergeholfen haben).

Folgende Problemstellung:

7af298e66b839cb8c947087e66440e4e - Klicke auf das Bild, um es zu vergrößern

Der obere schwarze Teil ist in Betrieb, die (rote) Verbindung durch das Transfernetz -> MPLS -> ins Branch Office soll hinzu kommen.
Die Verbindung zwischen einem Client im Transfernetz (zb: 70.3) und dem kompletten Branch Office funktioniert (ping, tracert).

Die NIC Config des ISA II (u.a. Proxy über die ISA I ins Internet) sieht wie folgt aus:

3 NIC´s:

1x ins Perimeter Netz
IP: aus dem Perimeter Netz
mit der EINZIGEN Gateway IP der ISA (Perimeter NIC IP der ISA I - um raus zu kommen
DNS Server IP´s des ISP

1x ins Interne LAN
IP: 192.168.80.187 (Gate für die internen Clients)
kein Gateway

1x ins Transfernetz richtung MPLS
IP: 192.168.70.2
kein Gateway



ISA II Config:

Die Netzwerke "Internes LAN" und "Perimeter" sind eingerichtet (das "Transfernetz" nicht ! sonst kann ich dort gar nicht reinpingen - komisch !?!?!?).

Die Network Rules:
"Intern" <> "Perimeter": Route
"Intern" <> "IP des MPLS Routers 192.168.70.1": Route
(da dies die einzige Möglichkeit ist den MPLS Router vom ISA II aus erreichbar zu machen - Das "Transfernetz" im ISA als Netz anzulegen und dann per Route Rule mit "Intern" <> "Transfernetz" funktioniert nicht - trotz gesetzer Routing Einträge)
(Reihenfolge der Network Rules ist 1. intern<>perimeter 2. intern<>Transfernetz 3. Internetaccess intern<>extern - auch ein ändern der Reihenfolge hat nichts gebracht)

Entsprechende test Policy ist angelegt: "allow - ping - from: Local Host+Intern - to: Branch Office 192.168.25.0/24(als Subnet nicht als Network)"

Der Routeneintrag in das Branch Office Netz ist gesetzt:
Dest. 192.168.25.0 Mask: 255.255.255.0 Gate: 192.168.70.1 Metric: 1




Das Problem ist: wenn ich die NIC der ISA II ins MPLS (192.168.70.2) aktiviere, funktioniert zwar ein Ping ins Branch Office (sowohl von Intern als auch an der ISA II selbst), jedoch sämtlicher Traffic nach Extern (tracert nach zb. 8.8.8.8, Web Proxy, VPN User usw) geht nicht mehr, obwohl das default gateway der ISA II in ihrer Routingtabelle das korrekte ist s.u.(NIC deaktivieren, traffic nach Ext. geht wieder, ins Branch logisch ... nicht ^^ - Die Transfernetz NIC hat keinen Gatewayeintrag !)

Ich habe schon an der ISA II - NIC Reihenfolge der Win Adv. Network Connections Settings rumprobiert (1. Intern 2. Perimeter 3. Transfernetz) - kein Erfolg
Ich befürchte die METRICs der dynamischen Routingtabellen Einträge sind falsch; Wenn ich jedoch den dynamischen routeneintrag ins Transfernetz 70.0/29 auf METRIC 30 ändere (also höher als Metric 20 für default 0.0.0.0 bringt das leider auch nichts ..... beim erneuten aktivieren der Tranfernetz NIC bekommt der Routeneintrag 70.0/29 immer die METRIC 10 ?!?!?)

Irgendwie steh ich auf dem Schlauch, vllt. fällt ja jmd noch was anderes ein an dem es liegen könnte.


Routing Table nach ISA II Nic Transfernetz aktivierung:

6aaf2b240c7da403d0e00c0bcf36bc3e - Klicke auf das Bild, um es zu vergrößern


Danke im vorraus.
Gruß
SanCho
Mitglied: aqui
19.08.2010 um 13:36 Uhr
Vorweg erstmal hat das Problem mit MPLS selber nur bedingt etwas zu tun (reine ISP Sache, da du keine MPLS Komponenten hast), denn es ist vermutlich ein lokales Routing Problem !
Der Reihe nach:
Die 3 NICs des ISA 2 hast du richtig konfiguriert:
  • 1. Perimeter NIC mit fester IP und Default Gateway auf die IP Perimeter NIC ISA 1
  • 2. Internes LAN nur IP Adresse und Maske
  • 3. Transfer Netz MPLS ebenfalls nur IP Adresse und Maske
Soweit so gut.
Eine statische Route auf dem ISA 2:
rout add 192.168.25.0 mask 255.255.255.0 192.168.70.1 -p
(Eine Metrik brauchst du dort gar nicht eintragen, ist eh überflüssig, da du keine parallelen Routen hast und deine Routen eindeutig sind ! Damit ist eine Metrik Angabe überflüssig ! )

Jetzt gibt es allerdings eine Schlüsselfrage zu klären zu der du keinerlei Angaben machst:
Macht der ISA 2 auf das Transfer Netz NAT (Adress Translation) oder arbeitet er als normaler transparenter Router ??
Wenn letzteres der Fall ist tauchen die IP Pakete aus dem internen LAN am ISP CE Router (192.168.70.1) mit ihren originalen IP Adressen aus dem internen 192.168.80er Netz auf.
Um diese Pakete korrekt routen zu können muss der ISP CE Router zwingend eine statische Route für das interne LAN 192.168.80.0 eingetragen haben (auf die 192.168.70.2 als next Hop).
Zusätzlich muss der MPLS Label Edge Router des ISPs konfiguriert sein Pakete des 192.168.80.0er Netzes im MPLS zu routen bzw. zu labeln !
Das gilt auch natürlich für den CE ISP Router im Außennetz ! Dort muss routingtechnisch und MPLS labelseitig das interne Netz bekannt gemacht werden !
Hast du das mit dem ISP nicht abgeklärt führt entweder die fehlende Route und/oder der fehlende Label Eintrag am CE Router dazu das 192.168.80er Pakete des internen LANs wegeschmissen werden !
Das solltest du also sicher mit dem ISP abklären bevor du dir einen Wolf konfigurierst. Denn hat der ISP das in seiner Routerkonfig nicht berücksichtig, wird es niemals was.
Wenn du allerdings NAT machst auf dem ISA2 zum Transfer Netz, dann tauchen hier nur 192.168.70er Pakete auf und alles sollte problemlos klappen, allerdings nur als Einbahnstrasse, denn durch die dann aktive NAT Firewall wäre ein Zugriff vom 192.168.25er Außennetz ins interne LAN nicht mehr möglich.

Das alles geht davon aus das du in den FW Einstellungen des ISA2 keinerlei Fehler gemacht hast. Sollte dort auch noch was schiefgelaufen sein hast du 2 Baustellen die du kontrollieren musst !
Bitte warten ..
Mitglied: sancho79
19.08.2010 um 13:57 Uhr
Danke für die ausführliche Antwort.

ja der ISA 2 ROUTEt zwischen "intern" <und> "Transfernetz MPLS Router IP"(192.168.70.1) !!! ---> NICHT NAT und auch nicht zwischen "intern <und> "Transfernetz" (192.168.70.0/29)

dies war die einzige Lösung für das oben beschriebene Problem:

Zitat von sancho79:
Die Network Rules:
"Intern" <> "Perimeter": Route
"Intern" <> "IP des MPLS Routers 192.168.70.1": Route
(da dies die einzige Möglichkeit ist den MPLS Router vom ISA II aus erreichbar zu machen - Das "Transfernetz" im
ISA als Netz anzulegen und dann per Route Rule mit "Intern" <> "Transfernetz"(192.168.70.0/29) funktioniert nicht - trotz
gesetzer Routing Einträge)

wenn ich zwischen "intern <und> "Transfernetz" (192.168.70.0/29) route und nicht zwischen "intern" <und> "Transfernetz MPLS Router IP"(192.168.70.1) funktioniert kein ping ins Transfer und Branch Netz


Zur Routerconfig des ISP MPLS Routers:
Der ISP hat mir zugesichert, dass die Routen ins/aus 80.0/24 und 70.0/29 Netz in allen MPLS Routern eingetragen ist. (aber bei den Pappenheimer wurden mir schon öfter Dinge zugesichert, welche erst nach rückfrage eingerichtet wurden ich werde das noch einmal explizit verrifizieren.

Kann eine falsch eingetragene Route im MPLS Router dazu führen, dass mir wie beschrieben, sobald die Trasfernetz NIC enabled ist sämtlicher Traffic Richtung ISA 1 -> Internet nicht mehr funktioniert ? WEnn der ISA 2 die richtigen routen nimmt, sollte eine web anfrage nie im Transfernetz/MPLS landen sondern richtung ISA 1 geschickt werden - oder ?!?!?
Bitte warten ..
Mitglied: aqui
19.08.2010 um 16:01 Uhr
Mmmhh jetzt schreibst du irgendwie Unsinn....
...wenn ich zwischen "intern <und> "Transfernetz" (192.168.70.0/29) route und nicht zwischen "intern" <und> "Transfernetz MPLS Router IP"(192.168.70.1) funktioniert kein ping
Äääähhh ??? Der Satz ist irgendwie "sinnfrei" denn er beschreibt das gleiche, nämlich ein Routing zwischen dem internen Netzwerk 192.168.80.0 und dem Transfer Netzwerk 192.168.70.0 !!!
Oder was willst du mit der kryptischen Aussage erklären ???
Das ist jetzt so zu verstehen das sofern du die 192.168.70er NIC im ISA2 aktivierst das Ping nicht mehr klappt.
Die Frage die sich dann stellt ist welche IP Adresse benutzt der ISA2 als Absender IP des ICMP Ping Paketes ???
Nimmt er die 192.168.70.2 oder die 192.168.80.187 ?? Vermutlich entscheidet das die Bindungsreihenfolge.
Das ist aber essentiell wichtig wenn du vom ISA2 die IP des ISP CE Routers (.70.1) anpingst. Wenn die 70.2. als Absender IP benutzt dann sollte alles problemlos klappen es sei denn der ISA2 filtert ICMP Echo Pakete am Transfer Netz NIC ?!
Wenn die Absender IP die 192.168.80.187 ist kannst du den ISP CE Routers (.70.1) nur dann erforlgreich anpingen, wenn dieser auch eine statische Route ins
192.168.80.0er Netz hat ! Hat er sie nicht wird es niemals klappen.
Der ISA2 muss natürlich auch Pakete mit der Ziel IP 192.168.80.x am Transfer NIC durchlassen...logisch !
Wie gesagt : Lass dir erstmal vom ISP die Konfig Auszüge zeigen !
"Vertrauen ist gut, Kontrolle ist besser !"
Bitte warten ..
Mitglied: dog
19.08.2010 um 16:17 Uhr
funktioniert kein ping ins Transfer und Branch Netz

Das der ISA eine Firewall im Whitelist-Modus ist hast du aber bedacht?

(Will heißen: Sobald du dein Transfernetz im ISA als Netzwerk einrichtest wird es nicht mehr als "Extern" gerechnet und braucht eigene Einträge)
Bitte warten ..
Mitglied: sancho79
24.08.2010 um 09:22 Uhr
Hallo,

nach einer Nachtschicht gestern, habe ich des Rätzels Lösung gefunden.

Wie schon vermutet wurde, lag der Fehler natürlich an der ISA Config. (und der ISP hatte erstaunlicherweise doch Wort gehalten die internen LANS der MPLS Sites korrekt in alle anderen geroutet

Nachdem ich das Tranfernetz 192.168.70.0/28 unter "config-networks-networks" zum bestehenden Perimeter Netz hinzugefügt hatte und die "Network Rule" geändert in: "Route: Internal <> subnet Branch office" (die route "Route: Internal <> Perimeter" existierte ja schon) .... hat es funktioniert.

Offensichtlich sieht die ISA dieses Transfernetz als Perimeternetz, durch welches sie ihr unbekannte Netze erreicht. (über entsprechende Network Rules bzw. Routeneinträge)

Die Routen Einträge waren korrekt gesetzt: Dest. 192.168.25.0 Mask: 255.255.255.0 Gate: 192.168.70.1 Metric: 1
(mit der Metric war ich auf dem Holzweg - wie aqui geschrieben hat - gut, schon wieder was gelernt

Über die entsprechenden Policy´s ging dann auch mein lieber ping: "alow - ping - Internal <> Branchoffice"

Also war die Reihenfolge der NICS sowie der NetworkRules irrelevant.

Ich Danke euch trotzdem für eure bemühungen

Gruß
SanCho
Bitte warten ..
Ähnliche Inhalte
Router & Routing
Routing bei MPLS
gelöst Frage von salixhoriganRouter & Routing8 Kommentare

Hallo Community, ich hänge gerade bei der Konfiguration von zwei Standorten die über MPLS miteinander verbunden sind. Hier der ...

Router & Routing

Problem beim Routing zweier Standorte über Zentrale

gelöst Frage von opalkaRouter & Routing15 Kommentare

Hallo, Mehrer Standorte sind per Site-to-Site-VPN an die Zentrale (192.168.10.0/255.255.255.0/Cisco RV320) angeschlossen. Verbindung klappt wunderbar und alle Dienste in ...

Router & Routing

Routing zwischen zwei Standorten und zusätzlichem Router

Frage von dasguteRouter & Routing7 Kommentare

Hallo Experten, ich habe zwei Standorte welche erfolgreich via Openvpn verbunden sind. Die Netze 192.168.1.0 und 192.168.2.0 lassen sich ...

Router & Routing

Routing-Problem über zwei Netzwerke

gelöst Frage von aif-getRouter & Routing21 Kommentare

Hallo, habe ein Ping-Problem bei meinem LANCOM Router. Folgendes Szenario besteht: Netzwerk A: 192.168.1.0/24 LANCOM GW A: 192.168.1.1/24 Netzwerk ...

Neue Wissensbeiträge
Sicherheit

MikroTik-Router patchen, Schwachstelle wird ausgenutzt

Information von kgborn vor 16 StundenSicherheit

Am 23. April 2018 wurde von Mikrotik ein Security Advisory herausgegeben, welches auf eine Schwachstelle im RouterOS hinwies. Mikrotik ...

Windows 10

Microcode-Updates KB4090007, KB4091663, KB4091664, KB4091666 für Windows 10

Information von kgborn vor 23 StundenWindows 101 Kommentar

Kurze Information für Administratoren von Windows 10-Systemen, die mit neueren Intel CPUs laufen. Microsoft hat zum 23. April 2018 ...

iOS
Updates für Iphone und Co
Information von sabines vor 1 TagiOS

Gestern abend ist iOS 11.3.1 erschienen, ein kleineres Update, dass einige Lücken schließt und "Lahmlegen" nach einem Display Tausch ...

Windows 7

Windows 7 - Server 2008 R2: Exploit für Total Meltdown verfügbar

Information von kgborn vor 2 TagenWindows 7

Kleine Information für Administratoren, die für die Updates von Windows 7 SP1 und Windows Server 2008 R2 SP1 verantwortlich ...

Heiß diskutierte Inhalte
Batch & Shell
Powershell: Im AD nach Rechnern mit bestimmten IP-Adressen suchen
gelöst Frage von Raven42Batch & Shell36 Kommentare

Hallo zusammen, ich suche nach einer Möglichkeit nach Computern im AD zu suchen , deren IP-Adresse mit 10.11.12. beginnt. ...

C und C++
Frage1 C Programmierung-Makefile Frage2 PHP-Programmierung HTTP-Fehler 404
Frage von KatalinaC und C++34 Kommentare

Hallo, ich habe 2 Fragen, die nichts miteinander zu tun haben aber mit denen ich mich gerade beschäftige: 1. ...

LAN, WAN, Wireless
Watchguard T15 VPN Einrichtung
gelöst Frage von thomasjayLAN, WAN, Wireless25 Kommentare

Hallo zusammen, wir möchten gerne über unsere Watchguard T15 einen VPN-Tunnel (Mobile VPN with IPSec) einrichten! Als Client nutzen ...

Windows Server
Alten DC entfernen
Frage von smartinoWindows Server24 Kommentare

Hallo zusammen, ich habe hier eine Umgebung übernommen und erstmal einen DCDIAG gemacht. Dabei fällt auf, daß eine ganze ...