14116
Sep 22, 2015, updated at Sep 29, 2015 (UTC)
4178
7
0
Routing von 169.254.x.x - Class B Netzwerken
Hallo Leute,
einer meiner Kunden verwendete bislang Juniper SSG5 Firewalls um seine Anlagen im Felde per VPN zu erreichen. Die SSG5 Firewalls sind nun abgekündigt. Der uns genannten Nachfolger SSGX100 (?) kann leider dieses Subnetz nicht routen.
Kennt von Euch jemand ein Produkt, welches definitiv ein 169.254.x.x/16 Netz durch einen IPSec Tunnel routen kann?
LG
Günter
einer meiner Kunden verwendete bislang Juniper SSG5 Firewalls um seine Anlagen im Felde per VPN zu erreichen. Die SSG5 Firewalls sind nun abgekündigt. Der uns genannten Nachfolger SSGX100 (?) kann leider dieses Subnetz nicht routen.
Kennt von Euch jemand ein Produkt, welches definitiv ein 169.254.x.x/16 Netz durch einen IPSec Tunnel routen kann?
LG
Günter
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 283564
Url: https://administrator.de/contentid/283564
Printed on: April 18, 2024 at 16:04 o'clock
7 Comments
Latest comment
APIPA-Adressen?
Wieso denn das?
Wenn die Büchsen sich ihre Addi selbst verpassen können, wäre es doch ein Leichtes, einfach nen DHCP-Dienst ins selbe Netz zu hängen und die Quetschen beziehen ohne Konfigänderung ihre Adresse von dem.
Dann kannst Du ein Netz Deiner Wahl definieren, welches von jeder Firewall geroutet werden kann.
Per RFC 3927 ist der APIPA-Bereich nicht zum Routing definiert.
https://tools.ietf.org/html/rfc3927
Aus Section 1.6: IPv4 Link-Local addresses are not routable
Wieso denn das?
Wenn die Büchsen sich ihre Addi selbst verpassen können, wäre es doch ein Leichtes, einfach nen DHCP-Dienst ins selbe Netz zu hängen und die Quetschen beziehen ohne Konfigänderung ihre Adresse von dem.
Dann kannst Du ein Netz Deiner Wahl definieren, welches von jeder Firewall geroutet werden kann.
Per RFC 3927 ist der APIPA-Bereich nicht zum Routing definiert.
https://tools.ietf.org/html/rfc3927
Aus Section 1.6: IPv4 Link-Local addresses are not routable
Zitat von @14116:
Kennt von Euch jemand ein Produkt, welches definitiv ein 169.254.x.x/16 Netz durch einen IPSec Tunnel routen kann?
Kennt von Euch jemand ein Produkt, welches definitiv ein 169.254.x.x/16 Netz durch einen IPSec Tunnel routen kann?
Wofür brauchst Du das denn?
Da solltest Du ein Layer-2-VPN aufbauen und bridgen, wenn Du unbedingt diese Adressen willst, weil das i.d.R. nicht geroutet wird, weil die prinzipiell in jedem LAN-Segment auftauchen können.
lks
Wofür brauchst Du das denn?
Hallo,
der Kunde wartet für seine Kunden Industriemaschinen. Jeder Kunde hat ein Subnetz aus dem 169.254.x.x Bereich bekommen. Die SSG5 konnte mit einem "Kniff" dieses Netz routen.
Da die SSG5 nun abgekündigt wurde, hat er jetzt ein Problem.
LG
Zitat von @beidermachtvongreyscull:
APIPA-Adressen?
Wieso denn das?
Wenn die Büchsen sich ihre Addi selbst verpassen können, wäre es doch ein Leichtes, einfach nen DHCP-Dienst ins selbe Netz zu hängen und die Quetschen beziehen ohne Konfigänderung ihre Adresse von dem.
Dann kannst Du ein Netz Deiner Wahl definieren, welches von jeder Firewall geroutet werden kann.
Per RFC 3927 ist der APIPA-Bereich nicht zum Routing definiert.
https://tools.ietf.org/html/rfc3927
Aus Section 1.6: IPv4 Link-Local addresses are not routable
APIPA-Adressen?
Wieso denn das?
Wenn die Büchsen sich ihre Addi selbst verpassen können, wäre es doch ein Leichtes, einfach nen DHCP-Dienst ins selbe Netz zu hängen und die Quetschen beziehen ohne Konfigänderung ihre Adresse von dem.
Dann kannst Du ein Netz Deiner Wahl definieren, welches von jeder Firewall geroutet werden kann.
Per RFC 3927 ist der APIPA-Bereich nicht zum Routing definiert.
https://tools.ietf.org/html/rfc3927
Aus Section 1.6: IPv4 Link-Local addresses are not routable
Hallo,
der Kunde wartet für seine Kunden Industriemaschinen. Jeder Kunde hat ein Subnetz aus dem 169.254.x.x Bereich bekommen. Die SSG5 konnte mit einem "Kniff" dieses Netz routen.
Da die SSG5 nun abgekündigt wurde, hat er jetzt ein Problem.
LG
Hi,
ich glaube du vertauscht da was.
Die 169.254.x.x sind Adressen die nur genommen werden wenn das System keine andere korrekte Adresse vom DHCP oder eingestellt bekommen hat.
Hier hat denn wohl jemand geschlafen und keine korrekten Adresssen wie 192.168.70.34 vergeben.
Ich würde das jetzt mal aufräumen und den Maschinen "richtige" IPs geben. Wundert mich wie das funktionieren soll, denn die Adressen werden rein dynamisch zufällig verteilt.
VG,
Deepsys
ich glaube du vertauscht da was.
Die 169.254.x.x sind Adressen die nur genommen werden wenn das System keine andere korrekte Adresse vom DHCP oder eingestellt bekommen hat.
Hier hat denn wohl jemand geschlafen und keine korrekten Adresssen wie 192.168.70.34 vergeben.
Ich würde das jetzt mal aufräumen und den Maschinen "richtige" IPs geben. Wundert mich wie das funktionieren soll, denn die Adressen werden rein dynamisch zufällig verteilt.
VG,
Deepsys
Den APIPA Adressbereich kannst du nicht routen, bzw. Router und Clients werden das verweigern, steht ja in der RFC und haben.die Kollegen schon erwähnt...
Das ist Fakt! Da hat echt einer ziemlichen Bullshit bei den Kunden gemacht.
Gruß grexit
p.s. die copy n' paste Antwort hätte auch einmal gereicht.
An IPv4 packet whose source and/or destination address is in the
169.254/16 prefix MUST NOT be sent to any router for forwarding, and
any network device receiving such a packet MUST NOT forward it,
regardless of the TTL in the IPv4 header. Similarly, a router or
other host MUST NOT indiscriminately answer all ARP Requests for
addresses in the 169.254/16 prefix. Gruß grexit
p.s. die copy n' paste Antwort hätte auch einmal gereicht.
APIPA Adressen zu verwenden zeugt eher von wenig Fachkenntnis. Letztlich sind sie aber genau so routebar wie andere IPs auch.
Die Verwendung sollte man aber besser nochmal überdenken, denn eigentlich ist es krank Funktional IP Adressen eines Standards in Produktion zu verwenden.
Das Warum liegt ja auf der Hand:
Du hast keinerlei Kontrolle das diese IPs bzw. Netze einzigartig sind, da sich ja alle Endgeräte diese IPs autonom vergeben egal in welchem wirklichen IP Netz sie sich befinden. Ein sicheres Routing ist deshalb niemals mehr gegeben. Ein gravierender Grund warum renomierte Hersteller solche Funktional Adressen auch niemals routen.
Weiss eigentlich auch jeder Laie...
Diese in einem Produktivnetz zu verwenden ist also eher fahrlässig und laienhaft. Vermutlich ohne jegliche Fachkenntniss.
Die Verwendung sollte man aber besser nochmal überdenken, denn eigentlich ist es krank Funktional IP Adressen eines Standards in Produktion zu verwenden.
Das Warum liegt ja auf der Hand:
Du hast keinerlei Kontrolle das diese IPs bzw. Netze einzigartig sind, da sich ja alle Endgeräte diese IPs autonom vergeben egal in welchem wirklichen IP Netz sie sich befinden. Ein sicheres Routing ist deshalb niemals mehr gegeben. Ein gravierender Grund warum renomierte Hersteller solche Funktional Adressen auch niemals routen.
Weiss eigentlich auch jeder Laie...
Diese in einem Produktivnetz zu verwenden ist also eher fahrlässig und laienhaft. Vermutlich ohne jegliche Fachkenntniss.
