8
Routing bei MPLS
Hallo Community,
ich hänge gerade bei der Konfiguration von zwei Standorten die über MPLS miteinander verbunden sind.
Hier der Aufbau
Standort1
Firewall
Interne IP: 192.168.100.1
Netz ist 192.168.100.0/24
IP des MPLS-Routers 192.168.100.254
Standort zwei
Netz ist 192.168.101.0/24
IP des MPLS-Routers 192.168.101.1
Auf der Firewall ist eine Route in das andere Netz eingerichtet sowie eine Policy das alles aus der internen Zone LAN in das 192.168.101.0/24 Netz darf.
Das funktioniert soweit auch super. Ich kann aus dem ersten Netz alles im zweiten Netz erreichen.
Und jetzt kommt mein Problem ich komme von dem zweiten Standort nicht in den ersten.
Ich kann die beiden MPLS-Adressen anpingen und auch die IP der FIrewall. Aber nichts was in der LAN-Zone in Standort 1 ist.
Ich habe auch versucht eine Policy dafür einzurichten an der Firewall ähnlich der oben beschriebenen, leider erfolglos.
Ins Internet komme ich aber aus dem zweiten Standort.
Vielleicht ist ja jemand hier der schon mal ne Sophos XG Firewall eingerichtet hat und mir sagen kann wie ich die Policy zu setzen habe.
Der Support vom Hersteller ist schon unterrichtet aber trotz versprochenen 4 Stunden Reaktionszeit warte ich jetzt seit 3 Tagen auf eine Antwort.
Ich hoffe ihr könnt mir helfen.
Gruß
Salix
ich hänge gerade bei der Konfiguration von zwei Standorten die über MPLS miteinander verbunden sind.
Hier der Aufbau
Standort1
Firewall
Interne IP: 192.168.100.1
Netz ist 192.168.100.0/24
IP des MPLS-Routers 192.168.100.254
Standort zwei
Netz ist 192.168.101.0/24
IP des MPLS-Routers 192.168.101.1
Auf der Firewall ist eine Route in das andere Netz eingerichtet sowie eine Policy das alles aus der internen Zone LAN in das 192.168.101.0/24 Netz darf.
Das funktioniert soweit auch super. Ich kann aus dem ersten Netz alles im zweiten Netz erreichen.
Und jetzt kommt mein Problem ich komme von dem zweiten Standort nicht in den ersten.
Ich kann die beiden MPLS-Adressen anpingen und auch die IP der FIrewall. Aber nichts was in der LAN-Zone in Standort 1 ist.
Ich habe auch versucht eine Policy dafür einzurichten an der Firewall ähnlich der oben beschriebenen, leider erfolglos.
Ins Internet komme ich aber aus dem zweiten Standort.
Vielleicht ist ja jemand hier der schon mal ne Sophos XG Firewall eingerichtet hat und mir sagen kann wie ich die Policy zu setzen habe.
Der Support vom Hersteller ist schon unterrichtet aber trotz versprochenen 4 Stunden Reaktionszeit warte ich jetzt seit 3 Tagen auf eine Antwort.
Ich hoffe ihr könnt mir helfen.
Gruß
Salix
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 295171
Url: https://administrator.de/contentid/295171
Printed on: April 25, 2024 at 09:04 o'clock
8 Comments
Latest comment
Irgendwas kann da nicht stimmen.... Du hast ein vollkommen falsches IP Design oder machst hier einen strukturellen Denkfehler in der IP Adressierung.
Die beiden Netze die du oben angegeben hast sollen das die jeweiligen lokalen LANs sein der Standorte ??
Wenn das der Fall ist fehlen die IP Adressen der MPLS Router wobei MPLS hier völlig irrelevant ist da das nur die Transport Infrastruktur des Providers ist auf die du eh keinen Einfluss hast.
Sind die Netze allerdings die lokalen IP Netze des Standortnetzes selber auf dem MPLS Router machst du hier einen Denkfehler, denn dann brauchst du ja noch ein lokales LAN Netz also z.B.
Standort 1
Firewall
IP Lokales LAN: 192.168.200.1
Lokales Netz ist 192.168.200.0/24
WAN Port Firewall: 192.168.100.1
IP des MPLS-Routers 192.168.100.254
Default Route der Firewall auf 192.168.100.254
Analog der andere Standort:
Standort 2
Firewall
IP Lokales LAN: 192.168.201.1
Lokales Netz ist 192.168.201.0/24
WAN Port Firewall: 192.168.100.254
IP des MPLS-Routers 192.168.100.1
Default Route der Firewall auf 192.168.100.1
Das Prinzip ist daraus ersichtlich. Du brauchst ja ein lokales LAN was du aufs MPLS Backbone routest.
Willst du das nicht und willst oder musst mit den lokalen LANs die durch die Router vorgegeben sind leben, dann musst du die Firewall in den Transparent Modus schalten, also das sie dann nur Traffic im Layer 2 filtert. Dann mussen beide Ports der Firewall im gleichen IP netz liegen und die Firewall muss in den Bridging Mode geschaltet sein !
Die beiden Netze die du oben angegeben hast sollen das die jeweiligen lokalen LANs sein der Standorte ??
Wenn das der Fall ist fehlen die IP Adressen der MPLS Router wobei MPLS hier völlig irrelevant ist da das nur die Transport Infrastruktur des Providers ist auf die du eh keinen Einfluss hast.
Sind die Netze allerdings die lokalen IP Netze des Standortnetzes selber auf dem MPLS Router machst du hier einen Denkfehler, denn dann brauchst du ja noch ein lokales LAN Netz also z.B.
Standort 1
Firewall
IP Lokales LAN: 192.168.200.1
Lokales Netz ist 192.168.200.0/24
WAN Port Firewall: 192.168.100.1
IP des MPLS-Routers 192.168.100.254
Default Route der Firewall auf 192.168.100.254
Analog der andere Standort:
Standort 2
Firewall
IP Lokales LAN: 192.168.201.1
Lokales Netz ist 192.168.201.0/24
WAN Port Firewall: 192.168.100.254
IP des MPLS-Routers 192.168.100.1
Default Route der Firewall auf 192.168.100.1
Das Prinzip ist daraus ersichtlich. Du brauchst ja ein lokales LAN was du aufs MPLS Backbone routest.
Willst du das nicht und willst oder musst mit den lokalen LANs die durch die Router vorgegeben sind leben, dann musst du die Firewall in den Transparent Modus schalten, also das sie dann nur Traffic im Layer 2 filtert. Dann mussen beide Ports der Firewall im gleichen IP netz liegen und die Firewall muss in den Bridging Mode geschaltet sein !
Hallo aqui,
ich denke da habe ich in der Erklärung was ausgelassen.
Also ich habe an dem ersten Standort einen LWL-Anschluss von dem Gebäudebetreiber zugewiesen bekommen. An dem liegt das MPLS an. Das ist nicht mein Internetzugang. Im anderen Gebäude dasselbe Spiel. An dem zweiten Standort wird das LWL direkt auf einen Switch gesteckt da ist von meiner Seite aus keine Firewall. Der Gebäudebetreiber leitet so gesehen alles von dem zweiten Standort an den ersten. DIeser Standort geht auch über meine Firewall ins Internet. Und man kommt auch nur über Standort 1 an Standort 2 dran.
Also so ist es aktuell konfiguriert
Standort 1 mit Firewall
LAN-Port mit der IP 192.168.100.1 (da hängt der zentrale Switch von Standort 1 dran und es ist das Gateway für das lokale Netz)
Lokales Netz 192.168.100.0/24
IP des MPLS-Routers 192.168.100.254 (der ist durch LWL an dem zentralen Switch angeschlossen)
Auf der Firewall gibt es eine Route nach 192.168.101.0/24 über das Gateway 192.168.100.254
Und das funktioniert auch alles.
Standort 2 keine eigene Firewall
Lokales Netz 192.168.101.0/24
Gateway 192.168.101.1 (das ist der LWL-Anschluss der mir am zweiten Standort zur Verfügung gestellt wird)
So wenn ich jetzt einen trace route aus dem zweiten Netz in das erste mache sieht man folgendes.
Er springt zur 192.168.101.1
Dann geht er auf irgend ein anderes Netz vom Gebäudebtreiber (das dürfte wohl die Transportstrecke sein die du meintest)
Dann kommt er zur 192.168.100.254 und dann ist Schluss.
Gruß
Salix
ich denke da habe ich in der Erklärung was ausgelassen.
Also ich habe an dem ersten Standort einen LWL-Anschluss von dem Gebäudebetreiber zugewiesen bekommen. An dem liegt das MPLS an. Das ist nicht mein Internetzugang. Im anderen Gebäude dasselbe Spiel. An dem zweiten Standort wird das LWL direkt auf einen Switch gesteckt da ist von meiner Seite aus keine Firewall. Der Gebäudebetreiber leitet so gesehen alles von dem zweiten Standort an den ersten. DIeser Standort geht auch über meine Firewall ins Internet. Und man kommt auch nur über Standort 1 an Standort 2 dran.
Also so ist es aktuell konfiguriert
Standort 1 mit Firewall
LAN-Port mit der IP 192.168.100.1 (da hängt der zentrale Switch von Standort 1 dran und es ist das Gateway für das lokale Netz)
Lokales Netz 192.168.100.0/24
IP des MPLS-Routers 192.168.100.254 (der ist durch LWL an dem zentralen Switch angeschlossen)
Auf der Firewall gibt es eine Route nach 192.168.101.0/24 über das Gateway 192.168.100.254
Und das funktioniert auch alles.
Standort 2 keine eigene Firewall
Lokales Netz 192.168.101.0/24
Gateway 192.168.101.1 (das ist der LWL-Anschluss der mir am zweiten Standort zur Verfügung gestellt wird)
So wenn ich jetzt einen trace route aus dem zweiten Netz in das erste mache sieht man folgendes.
Er springt zur 192.168.101.1
Dann geht er auf irgend ein anderes Netz vom Gebäudebtreiber (das dürfte wohl die Transportstrecke sein die du meintest)
Dann kommt er zur 192.168.100.254 und dann ist Schluss.
Gruß
Salix
Guten Morgen,
ich vermute mal, dass Du Dir hier irgendwo ein asymmetrisches Routing gebaut hast. (Pakete nehmen einen anderen Weg zurück, wie hin)
Lass Dir noch mal von Deinem Anbieter die Routingkonfiguration vom MPLS Router des zweiten Standortes geben. Hier sollte nämlich auch auf die Firewall geroutet werden.
Gruß
ich vermute mal, dass Du Dir hier irgendwo ein asymmetrisches Routing gebaut hast. (Pakete nehmen einen anderen Weg zurück, wie hin)
Lass Dir noch mal von Deinem Anbieter die Routingkonfiguration vom MPLS Router des zweiten Standortes geben. Hier sollte nämlich auch auf die Firewall geroutet werden.
Gruß
Kann ja eigentlich nicht, denn er hat ja gar keine parallelen Wege fürs Layer 3 ! Asymetrisches Routing kann so gar nicht auftreten.
Das Netzwerk sollte dann so aussehen, richtig ?
Wichtig ist hier die statische Route auf der Firewall UND auch wie die Gateway IPs der Endgeräte eingestellt sind.
Hast du das beachtet ?
Das Netzwerk sollte dann so aussehen, richtig ?
Wichtig ist hier die statische Route auf der Firewall UND auch wie die Gateway IPs der Endgeräte eingestellt sind.
Hast du das beachtet ?
Hallo aqui,
ja genau so sieht es aus. Und die Route ist auch so eingepflegt.
Gruß
Salix
ja genau so sieht es aus. Und die Route ist auch so eingepflegt.
Gruß
Salix
Die Gateway IPs der Endgeräte auch ??
Wenn ja hast du alles richtig gemacht !
Wenn du dann immer noch nicht von dem 2ten Standort in den ersten kannst dann hat das 2 mögliche Gründe:
Was immer gehen muss ist der Test mit den MPLS Routern direkt also das du einem PC an Standort 2 die IP des Routers 2 als Gateway angibst und analog an Standort 1 die IP des Routers 1 so das erstmal nur diese involviert sind.
Stimmt das Routing und die Forwarding Tabelle dieser Router MUSS ein Ping möglich sein !!
Lokale Firewall und ICMP auf den PC entsprechend angepasst natürlich !
Klappt das nicht hast du ganz klar ein Routing Problem auf den beiden MPLS Routern !!
Wenn ja hast du alles richtig gemacht !
Wenn du dann immer noch nicht von dem 2ten Standort in den ersten kannst dann hat das 2 mögliche Gründe:
- Gateway IP der Endgeräte in Standort 2 ist nicht auf den MPLS Router 192.168.101.1 eingestellt ?
- Der Router an Standort 2 hat keinen oder einen fehlerhaften Routing Eintrag für das 192.168.100.0 /24 Netz. Ein show ip route hilft hier, denn das gibt die Routing Tabelle aus
- Geräte an Standort 1 die du erreichen willst haben kein oder ein falsches Gateway eingetragen.
- Geräte an Standort 1 die du erreichen willst haben ihre lokale Firewall so eingestellt das sie Absender IP Adressen aus fremden .101.0er Netz blocken. Achtung das ist der Default bei PCs. Aus Netz 2 solltest du dann besser die Router IP .254 oder die Management IP des Switches pingen die keine Firewalls haben. Deine Firewall selber wird vermutlich ICMP (Ping) blocken ?! http://www.windowspro.de/tipp/ping-windows-7-server-2008-r2-zulassen
- Firewall Filter deiner HW Firewall für das .101.0er Netz nicht angepasst.
Was immer gehen muss ist der Test mit den MPLS Routern direkt also das du einem PC an Standort 2 die IP des Routers 2 als Gateway angibst und analog an Standort 1 die IP des Routers 1 so das erstmal nur diese involviert sind.
Stimmt das Routing und die Forwarding Tabelle dieser Router MUSS ein Ping möglich sein !!
Lokale Firewall und ICMP auf den PC entsprechend angepasst natürlich !
Klappt das nicht hast du ganz klar ein Routing Problem auf den beiden MPLS Routern !!
Hallo aqui,
danke dir vielmals. Der Hinweis die MPLS-Router als Gateway zu versuchen hat mir geholfen es auf die Firewall einzugrenzen.
Damit konnte ich dann irgendwann auch die Einstellung für die Policy finden die noch falsch konfiguriert war.
Gruß
Salix
danke dir vielmals. Der Hinweis die MPLS-Router als Gateway zu versuchen hat mir geholfen es auf die Firewall einzugrenzen.
Damit konnte ich dann irgendwann auch die Einstellung für die Policy finden die noch falsch konfiguriert war.
Gruß
Salix
Alles wird gut... 
