Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Routing mit drei Punkten

Frage Netzwerke Router & Routing

Mitglied: Ralf2001

Ralf2001 (Level 1) - Jetzt verbinden

01.02.2011 um 11:55 Uhr, 2207 Aufrufe, 7 Kommentare

Hallo,

ich habe eine Frage bezüglich des Routens mit drei Punkten.

Ich habe drei Standorte, die wie ein Dreieck mittels VPN Tunneln verbunden sind.
Momentan sieht es so aus:

Standort A hat den IP Bereich 172.16.0.0/16 und ist mittels VPN jeweils mit Standort B und C verbunden.
Standort B hat den IP Bereich 172.17.0.0/16 und ist mittels VPN jeweils mit Standort A und C verbunden.
Standort C hat den IP Bereich 172.18.0.0/16 und ist mittels VPN jeweils mit Standort A und B verbunden.
Ich selbst befinde mich am Standort A

Das Routing sieht so aus:

Zwischen A und B 172.16.0.0/16 <-> 172.17.0.0/16
Zwischen A und C 172.16.0.0/16 <-> 172.18.0.0/16

Zwischen B und A 172.17.0.0/16 <-> 172.16.0.0/16
Zwischen B und C 172.17.0.0/16 <-> 172.18.0.0/16

Na gut... Das Routing bei Punkt C kann man sich ja denken

Das Problem ist nun:

Bricht die direkte Verbindung von A nach C weg, dann ist C für mich nicht mehr erreichbar.
Wie muss das Routing aussehen, damit ich mir den Ausfall einer Verbindung leisten kann und alle Punkte trotzdem noch erreichbar sind?

Sorry für diese bestimmt sehr einfache Frage aber ich habe gerade ein Brett vorm Kopf

Gruss
Ralf
Mitglied: dog
01.02.2011 um 12:10 Uhr
Entweder du nimmst OSPF oder du baust dir manuell noch die alternativen Routen ein.
Bitte warten ..
Mitglied: sk
01.02.2011 um 16:48 Uhr
Hallo,

Zitat von Ralf2001:
Ich habe drei Standorte, die wie ein Dreieck mittels VPN Tunneln verbunden sind

Wir sprechen von IPSec-VPN übers Internet?


Zitat von Ralf2001:
Das Problem ist nun:
Bricht die direkte Verbindung von A nach C weg, dann ist C für mich nicht mehr erreichbar.
Wie muss das Routing aussehen, damit ich mir den Ausfall einer Verbindung leisten kann und alle Punkte trotzdem noch erreichbar
sind?

Die Verbindung von A nach C kann doch eigentlich - von fehlerhafter Änderung der bestehenden Config mal abgesehen - nur in folgenden Fällen gestört sein:
1) Internetausfall an A
2) Hardwareausfall an A
3) Internetausfall an C
4) Hardwareausfall an C

In all diesen Fällen wäre C von A aus aber auch über den Umweg über B nicht erreichbar...

Dass das Routing im öffentlichen Netz von A nach C aber nicht gleichzeitig auch von A nach B und/oder von B nach C gestört ist, erscheint mir sehr unwahrscheinlich.


Gruß
sk
Bitte warten ..
Mitglied: Ralf2001
01.02.2011 um 19:20 Uhr
Hallo, ich habe vergessen zu sagen, dass B und C zwei Provider haben.
Mit A sind sie jeweils per Satellit verbunden und untereinander mittels Kabel.
Fällt also bei bei B und C ein Provider aus, dann bedeutet das nicht, dass sie gar nicht mehr erreichbar sind.

Gruss
Ralf
Bitte warten ..
Mitglied: sk
01.02.2011 um 22:48 Uhr
Also B und C haben jeweils 2 Internetzugänge. Wäre es dann nicht sinnvoller, beim Ausfall des 1. WAN-Links den VPN-Tunnel nach A auf den 2. WAN-Anschluß zu switchen?
Welche VPN-Gateways setzt ihr denn ein?
Bitte warten ..
Mitglied: dog
02.02.2011 um 02:45 Uhr
Also sieht dein Aufbau jetzt so aus oder wie?

8a0ea33636eda576bb52caa303a3b3c4 - Klicke auf das Bild, um es zu vergrößern

Dann trägst du einfach jeweils die Standorte über Kreuz in der Routingtabelle nochmal mit höherer Distanz ein (oder eben OSPF).

Die Routing-Tabelle an Standort A sieht dann so aus:

0.0.0.0/0 via WAN, Distanz 1
172.16.0.0/16 via LAN, Distanz 0
172.17.0.0/16 via VPN-1, Distanz 1
172.18.0.0/16 via VPN-1, Distanz 10
172.18.0.0/16 via VPN-2, Distanz 1
172.17.0.0/16 via VPN-2, Distanz 10
Bitte warten ..
Mitglied: sk
02.02.2011 um 10:55 Uhr
Hallo Dog,

ganz so trivial, wie es Deine Antwort suggeriert, ist es leider nicht.

1)
Zunächst einmal setzt Du voraus, dass die eingesetzten VPN-Gateways routebased arbeiten. Es könnte aber durchaus sein, das diese nur policybased VPN können - sprich sich ausschließlich an die Vereinbarung aus der Phase2-Policy halten.

2)
Mehrere statische Routen bringen nichts, wenn es nicht auch einen proprietären Mechanismus gibt, der die Route mit der besseren Metrik automatisch deaktiviert, wenn das Interface down geht oder zumindest kein Traffic durch den Tunnel geht (z.B. per Pingcheck). Ansonsten würde immer die Route mit der besseren Metrik gewinnen und kein Fallback stattfinden.

3)
Der Einsatz eines Routingprotokolls wäre sicherlich der Königsweg. OSPF über einen IPSec-Tunnel zu bekommen, ist aber je nach Funktionsumfang der eingesetzten Geräte auch nicht ganz selbstverständlich...

Gruß
Steffen
Bitte warten ..
Mitglied: dog
02.02.2011 um 11:46 Uhr
. Es könnte aber durchaus sein, das diese nur policybased VPN können - sprich sich ausschließlich an die Vereinbarung aus der Phase2-Policy halten.

Jetzt setzt du aber wieder voraus, dass es hier um IPSec geht, wozu sich der TO aber nicht geäußert hat.
Und auch in so einem Fall kann man es lösen, wenn man IPSec im Transport-Mode nimmt und dann einfach GRE-Tunnel dadrüber.

Mehrere statische Routen bringen nichts

Warum properitärer Mechanismus?
Die Route ist auf dem VPN-Router, wenn der Tunnel ausfällt ist damit auch das Interface down und die bessere Route auch weg.
Bitte warten ..
Ähnliche Inhalte
Netzwerke
Switch Cisco SG550XG und 2960X L3 und L2 VLAN Routing Problem (6)

Frage von Jimmysozinho zum Thema Netzwerke ...

Router & Routing
Endgerät Routing über Netzwerk und VPN ins Internet (2)

Frage von amuelkx zum Thema Router & Routing ...

Router & Routing
Routing zu IP-Telefonanlage im Netzwerk (8)

Frage von goldstein.marcel zum Thema Router & Routing ...

Netzwerkgrundlagen
gelöst VLAN routing - mit oder ohne NAT? (6)

Frage von Alex29 zum Thema Netzwerkgrundlagen ...

Neue Wissensbeiträge
Batch & Shell

Batch - ein paar Basics die man kennen sollte

Tipp von Pedant zum Thema Batch & Shell ...

Microsoft

Restrictor: Profi-Schutz für jedes Window

(6)

Tipp von AlFalcone zum Thema Microsoft ...

Batch & Shell

Batch zum Zurücksetzen eines lokalen Profils

Tipp von Mr.Error zum Thema Batch & Shell ...

Heiß diskutierte Inhalte
Windows Server
gelöst Benutzer lässt sich nur an einem Clientcomputer anmelden (17)

Frage von Ammann zum Thema Windows Server ...

Netzwerke
SFP Modul (miniGibic) (11)

Frage von apranet zum Thema Netzwerke ...

Batch & Shell
gelöst Gruppenzugehörigkeit von AD Usern ermitteln - die Perfektion fehlt (11)

Frage von Stefan007 zum Thema Batch & Shell ...