Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Routing mit drei Punkten

Frage Netzwerke Router & Routing

Mitglied: Ralf2001

Ralf2001 (Level 1) - Jetzt verbinden

01.02.2011 um 11:55 Uhr, 2183 Aufrufe, 7 Kommentare

Hallo,

ich habe eine Frage bezüglich des Routens mit drei Punkten.

Ich habe drei Standorte, die wie ein Dreieck mittels VPN Tunneln verbunden sind.
Momentan sieht es so aus:

Standort A hat den IP Bereich 172.16.0.0/16 und ist mittels VPN jeweils mit Standort B und C verbunden.
Standort B hat den IP Bereich 172.17.0.0/16 und ist mittels VPN jeweils mit Standort A und C verbunden.
Standort C hat den IP Bereich 172.18.0.0/16 und ist mittels VPN jeweils mit Standort A und B verbunden.
Ich selbst befinde mich am Standort A

Das Routing sieht so aus:

Zwischen A und B 172.16.0.0/16 <-> 172.17.0.0/16
Zwischen A und C 172.16.0.0/16 <-> 172.18.0.0/16

Zwischen B und A 172.17.0.0/16 <-> 172.16.0.0/16
Zwischen B und C 172.17.0.0/16 <-> 172.18.0.0/16

Na gut... Das Routing bei Punkt C kann man sich ja denken

Das Problem ist nun:

Bricht die direkte Verbindung von A nach C weg, dann ist C für mich nicht mehr erreichbar.
Wie muss das Routing aussehen, damit ich mir den Ausfall einer Verbindung leisten kann und alle Punkte trotzdem noch erreichbar sind?

Sorry für diese bestimmt sehr einfache Frage aber ich habe gerade ein Brett vorm Kopf

Gruss
Ralf
Mitglied: dog
01.02.2011 um 12:10 Uhr
Entweder du nimmst OSPF oder du baust dir manuell noch die alternativen Routen ein.
Bitte warten ..
Mitglied: sk
01.02.2011 um 16:48 Uhr
Hallo,

Zitat von Ralf2001:
Ich habe drei Standorte, die wie ein Dreieck mittels VPN Tunneln verbunden sind

Wir sprechen von IPSec-VPN übers Internet?


Zitat von Ralf2001:
Das Problem ist nun:
Bricht die direkte Verbindung von A nach C weg, dann ist C für mich nicht mehr erreichbar.
Wie muss das Routing aussehen, damit ich mir den Ausfall einer Verbindung leisten kann und alle Punkte trotzdem noch erreichbar
sind?

Die Verbindung von A nach C kann doch eigentlich - von fehlerhafter Änderung der bestehenden Config mal abgesehen - nur in folgenden Fällen gestört sein:
1) Internetausfall an A
2) Hardwareausfall an A
3) Internetausfall an C
4) Hardwareausfall an C

In all diesen Fällen wäre C von A aus aber auch über den Umweg über B nicht erreichbar...

Dass das Routing im öffentlichen Netz von A nach C aber nicht gleichzeitig auch von A nach B und/oder von B nach C gestört ist, erscheint mir sehr unwahrscheinlich.


Gruß
sk
Bitte warten ..
Mitglied: Ralf2001
01.02.2011 um 19:20 Uhr
Hallo, ich habe vergessen zu sagen, dass B und C zwei Provider haben.
Mit A sind sie jeweils per Satellit verbunden und untereinander mittels Kabel.
Fällt also bei bei B und C ein Provider aus, dann bedeutet das nicht, dass sie gar nicht mehr erreichbar sind.

Gruss
Ralf
Bitte warten ..
Mitglied: sk
01.02.2011 um 22:48 Uhr
Also B und C haben jeweils 2 Internetzugänge. Wäre es dann nicht sinnvoller, beim Ausfall des 1. WAN-Links den VPN-Tunnel nach A auf den 2. WAN-Anschluß zu switchen?
Welche VPN-Gateways setzt ihr denn ein?
Bitte warten ..
Mitglied: dog
02.02.2011 um 02:45 Uhr
Also sieht dein Aufbau jetzt so aus oder wie?

8a0ea33636eda576bb52caa303a3b3c4 - Klicke auf das Bild, um es zu vergrößern

Dann trägst du einfach jeweils die Standorte über Kreuz in der Routingtabelle nochmal mit höherer Distanz ein (oder eben OSPF).

Die Routing-Tabelle an Standort A sieht dann so aus:

0.0.0.0/0 via WAN, Distanz 1
172.16.0.0/16 via LAN, Distanz 0
172.17.0.0/16 via VPN-1, Distanz 1
172.18.0.0/16 via VPN-1, Distanz 10
172.18.0.0/16 via VPN-2, Distanz 1
172.17.0.0/16 via VPN-2, Distanz 10
Bitte warten ..
Mitglied: sk
02.02.2011 um 10:55 Uhr
Hallo Dog,

ganz so trivial, wie es Deine Antwort suggeriert, ist es leider nicht.

1)
Zunächst einmal setzt Du voraus, dass die eingesetzten VPN-Gateways routebased arbeiten. Es könnte aber durchaus sein, das diese nur policybased VPN können - sprich sich ausschließlich an die Vereinbarung aus der Phase2-Policy halten.

2)
Mehrere statische Routen bringen nichts, wenn es nicht auch einen proprietären Mechanismus gibt, der die Route mit der besseren Metrik automatisch deaktiviert, wenn das Interface down geht oder zumindest kein Traffic durch den Tunnel geht (z.B. per Pingcheck). Ansonsten würde immer die Route mit der besseren Metrik gewinnen und kein Fallback stattfinden.

3)
Der Einsatz eines Routingprotokolls wäre sicherlich der Königsweg. OSPF über einen IPSec-Tunnel zu bekommen, ist aber je nach Funktionsumfang der eingesetzten Geräte auch nicht ganz selbstverständlich...

Gruß
Steffen
Bitte warten ..
Mitglied: dog
02.02.2011 um 11:46 Uhr
. Es könnte aber durchaus sein, das diese nur policybased VPN können - sprich sich ausschließlich an die Vereinbarung aus der Phase2-Policy halten.

Jetzt setzt du aber wieder voraus, dass es hier um IPSec geht, wozu sich der TO aber nicht geäußert hat.
Und auch in so einem Fall kann man es lösen, wenn man IPSec im Transport-Mode nimmt und dann einfach GRE-Tunnel dadrüber.

Mehrere statische Routen bringen nichts

Warum properitärer Mechanismus?
Die Route ist auf dem VPN-Router, wenn der Tunnel ausfällt ist damit auch das Interface down und die bessere Route auch weg.
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Netzwerke
gelöst FritzboxLAN2LAN mit dahinterliegendem Router: Nur One-Way-Routing möglich (13)

Frage von SnowCrush zum Thema Netzwerke ...

LAN, WAN, Wireless
Computer mit 2 Netzwerkkarten und routing von Red Pitaya ins Internet (9)

Frage von DH1KLM zum Thema LAN, WAN, Wireless ...

LAN, WAN, Wireless
gelöst VLAN Routing - L3 oder Firewall? (17)

Frage von pataya zum Thema LAN, WAN, Wireless ...

Router & Routing
gelöst PfSense, Routing-Frage (10)

Frage von mrserious73 zum Thema Router & Routing ...

Heiß diskutierte Inhalte
Exchange Server
gelöst Exchange 2010 Berechtigungen wiederherstellen (20)

Frage von semperf1delis zum Thema Exchange Server ...

Windows Server
DHCP Server switchen (20)

Frage von M.Marz zum Thema Windows Server ...

Hardware
gelöst Negative Erfahrungen LAN-Karten (19)

Frage von MegaGiga zum Thema Hardware ...

Exchange Server
DNS Einstellung - zwei feste IPs für Mailserver (15)

Frage von ivan0s zum Thema Exchange Server ...