Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Routing mit drei Punkten

Frage Netzwerke Router & Routing

Mitglied: Ralf2001

Ralf2001 (Level 1) - Jetzt verbinden

01.02.2011 um 11:55 Uhr, 2196 Aufrufe, 7 Kommentare

Hallo,

ich habe eine Frage bezüglich des Routens mit drei Punkten.

Ich habe drei Standorte, die wie ein Dreieck mittels VPN Tunneln verbunden sind.
Momentan sieht es so aus:

Standort A hat den IP Bereich 172.16.0.0/16 und ist mittels VPN jeweils mit Standort B und C verbunden.
Standort B hat den IP Bereich 172.17.0.0/16 und ist mittels VPN jeweils mit Standort A und C verbunden.
Standort C hat den IP Bereich 172.18.0.0/16 und ist mittels VPN jeweils mit Standort A und B verbunden.
Ich selbst befinde mich am Standort A

Das Routing sieht so aus:

Zwischen A und B 172.16.0.0/16 <-> 172.17.0.0/16
Zwischen A und C 172.16.0.0/16 <-> 172.18.0.0/16

Zwischen B und A 172.17.0.0/16 <-> 172.16.0.0/16
Zwischen B und C 172.17.0.0/16 <-> 172.18.0.0/16

Na gut... Das Routing bei Punkt C kann man sich ja denken

Das Problem ist nun:

Bricht die direkte Verbindung von A nach C weg, dann ist C für mich nicht mehr erreichbar.
Wie muss das Routing aussehen, damit ich mir den Ausfall einer Verbindung leisten kann und alle Punkte trotzdem noch erreichbar sind?

Sorry für diese bestimmt sehr einfache Frage aber ich habe gerade ein Brett vorm Kopf

Gruss
Ralf
Mitglied: dog
01.02.2011 um 12:10 Uhr
Entweder du nimmst OSPF oder du baust dir manuell noch die alternativen Routen ein.
Bitte warten ..
Mitglied: sk
01.02.2011 um 16:48 Uhr
Hallo,

Zitat von Ralf2001:
Ich habe drei Standorte, die wie ein Dreieck mittels VPN Tunneln verbunden sind

Wir sprechen von IPSec-VPN übers Internet?


Zitat von Ralf2001:
Das Problem ist nun:
Bricht die direkte Verbindung von A nach C weg, dann ist C für mich nicht mehr erreichbar.
Wie muss das Routing aussehen, damit ich mir den Ausfall einer Verbindung leisten kann und alle Punkte trotzdem noch erreichbar
sind?

Die Verbindung von A nach C kann doch eigentlich - von fehlerhafter Änderung der bestehenden Config mal abgesehen - nur in folgenden Fällen gestört sein:
1) Internetausfall an A
2) Hardwareausfall an A
3) Internetausfall an C
4) Hardwareausfall an C

In all diesen Fällen wäre C von A aus aber auch über den Umweg über B nicht erreichbar...

Dass das Routing im öffentlichen Netz von A nach C aber nicht gleichzeitig auch von A nach B und/oder von B nach C gestört ist, erscheint mir sehr unwahrscheinlich.


Gruß
sk
Bitte warten ..
Mitglied: Ralf2001
01.02.2011 um 19:20 Uhr
Hallo, ich habe vergessen zu sagen, dass B und C zwei Provider haben.
Mit A sind sie jeweils per Satellit verbunden und untereinander mittels Kabel.
Fällt also bei bei B und C ein Provider aus, dann bedeutet das nicht, dass sie gar nicht mehr erreichbar sind.

Gruss
Ralf
Bitte warten ..
Mitglied: sk
01.02.2011 um 22:48 Uhr
Also B und C haben jeweils 2 Internetzugänge. Wäre es dann nicht sinnvoller, beim Ausfall des 1. WAN-Links den VPN-Tunnel nach A auf den 2. WAN-Anschluß zu switchen?
Welche VPN-Gateways setzt ihr denn ein?
Bitte warten ..
Mitglied: dog
02.02.2011 um 02:45 Uhr
Also sieht dein Aufbau jetzt so aus oder wie?

8a0ea33636eda576bb52caa303a3b3c4 - Klicke auf das Bild, um es zu vergrößern

Dann trägst du einfach jeweils die Standorte über Kreuz in der Routingtabelle nochmal mit höherer Distanz ein (oder eben OSPF).

Die Routing-Tabelle an Standort A sieht dann so aus:

0.0.0.0/0 via WAN, Distanz 1
172.16.0.0/16 via LAN, Distanz 0
172.17.0.0/16 via VPN-1, Distanz 1
172.18.0.0/16 via VPN-1, Distanz 10
172.18.0.0/16 via VPN-2, Distanz 1
172.17.0.0/16 via VPN-2, Distanz 10
Bitte warten ..
Mitglied: sk
02.02.2011 um 10:55 Uhr
Hallo Dog,

ganz so trivial, wie es Deine Antwort suggeriert, ist es leider nicht.

1)
Zunächst einmal setzt Du voraus, dass die eingesetzten VPN-Gateways routebased arbeiten. Es könnte aber durchaus sein, das diese nur policybased VPN können - sprich sich ausschließlich an die Vereinbarung aus der Phase2-Policy halten.

2)
Mehrere statische Routen bringen nichts, wenn es nicht auch einen proprietären Mechanismus gibt, der die Route mit der besseren Metrik automatisch deaktiviert, wenn das Interface down geht oder zumindest kein Traffic durch den Tunnel geht (z.B. per Pingcheck). Ansonsten würde immer die Route mit der besseren Metrik gewinnen und kein Fallback stattfinden.

3)
Der Einsatz eines Routingprotokolls wäre sicherlich der Königsweg. OSPF über einen IPSec-Tunnel zu bekommen, ist aber je nach Funktionsumfang der eingesetzten Geräte auch nicht ganz selbstverständlich...

Gruß
Steffen
Bitte warten ..
Mitglied: dog
02.02.2011 um 11:46 Uhr
. Es könnte aber durchaus sein, das diese nur policybased VPN können - sprich sich ausschließlich an die Vereinbarung aus der Phase2-Policy halten.

Jetzt setzt du aber wieder voraus, dass es hier um IPSec geht, wozu sich der TO aber nicht geäußert hat.
Und auch in so einem Fall kann man es lösen, wenn man IPSec im Transport-Mode nimmt und dann einfach GRE-Tunnel dadrüber.

Mehrere statische Routen bringen nichts

Warum properitärer Mechanismus?
Die Route ist auf dem VPN-Router, wenn der Tunnel ausfällt ist damit auch das Interface down und die bessere Route auch weg.
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Switche und Hubs
Routing Performance (6)

Frage von geforce28 zum Thema Switche und Hubs ...

Router & Routing
gelöst Softether VPN - Routing (9)

Frage von Basskick zum Thema Router & Routing ...

Netzwerkmanagement
gelöst Richtiges Routing zwischen VLANs (5)

Frage von Kolnak zum Thema Netzwerkmanagement ...

Router & Routing
gelöst Routing im Heimnetz mit einem Linksys WRT3200ACM (3)

Frage von niklasschaefer zum Thema Router & Routing ...

Heiß diskutierte Inhalte
Windows Installation
Eine etwas (wirklich) speziellere Frage: Windows 10-Installation über (11)

Frage von DerFurrer zum Thema Windows Installation ...

Linux
gelöst Boot failed: not a bootable disk (10)

Frage von Fleckmen zum Thema Linux ...

Windows Server
Probleme mit Client Software Zugriff auf Windows Server 2012 (8)

Frage von it-kolli zum Thema Windows Server ...

Multimedia & Zubehör
gelöst Iphone 6 prob (8)

Frage von jensgebken zum Thema Multimedia & Zubehör ...