Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Routing mit drei Punkten

Frage Netzwerke Router & Routing

Mitglied: Ralf2001

Ralf2001 (Level 1) - Jetzt verbinden

01.02.2011 um 11:55 Uhr, 2232 Aufrufe, 7 Kommentare

Hallo,

ich habe eine Frage bezüglich des Routens mit drei Punkten.

Ich habe drei Standorte, die wie ein Dreieck mittels VPN Tunneln verbunden sind.
Momentan sieht es so aus:

Standort A hat den IP Bereich 172.16.0.0/16 und ist mittels VPN jeweils mit Standort B und C verbunden.
Standort B hat den IP Bereich 172.17.0.0/16 und ist mittels VPN jeweils mit Standort A und C verbunden.
Standort C hat den IP Bereich 172.18.0.0/16 und ist mittels VPN jeweils mit Standort A und B verbunden.
Ich selbst befinde mich am Standort A

Das Routing sieht so aus:

Zwischen A und B 172.16.0.0/16 <-> 172.17.0.0/16
Zwischen A und C 172.16.0.0/16 <-> 172.18.0.0/16

Zwischen B und A 172.17.0.0/16 <-> 172.16.0.0/16
Zwischen B und C 172.17.0.0/16 <-> 172.18.0.0/16

Na gut... Das Routing bei Punkt C kann man sich ja denken

Das Problem ist nun:

Bricht die direkte Verbindung von A nach C weg, dann ist C für mich nicht mehr erreichbar.
Wie muss das Routing aussehen, damit ich mir den Ausfall einer Verbindung leisten kann und alle Punkte trotzdem noch erreichbar sind?

Sorry für diese bestimmt sehr einfache Frage aber ich habe gerade ein Brett vorm Kopf

Gruss
Ralf
Mitglied: dog
01.02.2011 um 12:10 Uhr
Entweder du nimmst OSPF oder du baust dir manuell noch die alternativen Routen ein.
Bitte warten ..
Mitglied: sk
01.02.2011 um 16:48 Uhr
Hallo,

Zitat von Ralf2001:
Ich habe drei Standorte, die wie ein Dreieck mittels VPN Tunneln verbunden sind

Wir sprechen von IPSec-VPN übers Internet?


Zitat von Ralf2001:
Das Problem ist nun:
Bricht die direkte Verbindung von A nach C weg, dann ist C für mich nicht mehr erreichbar.
Wie muss das Routing aussehen, damit ich mir den Ausfall einer Verbindung leisten kann und alle Punkte trotzdem noch erreichbar
sind?

Die Verbindung von A nach C kann doch eigentlich - von fehlerhafter Änderung der bestehenden Config mal abgesehen - nur in folgenden Fällen gestört sein:
1) Internetausfall an A
2) Hardwareausfall an A
3) Internetausfall an C
4) Hardwareausfall an C

In all diesen Fällen wäre C von A aus aber auch über den Umweg über B nicht erreichbar...

Dass das Routing im öffentlichen Netz von A nach C aber nicht gleichzeitig auch von A nach B und/oder von B nach C gestört ist, erscheint mir sehr unwahrscheinlich.


Gruß
sk
Bitte warten ..
Mitglied: Ralf2001
01.02.2011 um 19:20 Uhr
Hallo, ich habe vergessen zu sagen, dass B und C zwei Provider haben.
Mit A sind sie jeweils per Satellit verbunden und untereinander mittels Kabel.
Fällt also bei bei B und C ein Provider aus, dann bedeutet das nicht, dass sie gar nicht mehr erreichbar sind.

Gruss
Ralf
Bitte warten ..
Mitglied: sk
01.02.2011 um 22:48 Uhr
Also B und C haben jeweils 2 Internetzugänge. Wäre es dann nicht sinnvoller, beim Ausfall des 1. WAN-Links den VPN-Tunnel nach A auf den 2. WAN-Anschluß zu switchen?
Welche VPN-Gateways setzt ihr denn ein?
Bitte warten ..
Mitglied: dog
02.02.2011 um 02:45 Uhr
Also sieht dein Aufbau jetzt so aus oder wie?

8a0ea33636eda576bb52caa303a3b3c4 - Klicke auf das Bild, um es zu vergrößern

Dann trägst du einfach jeweils die Standorte über Kreuz in der Routingtabelle nochmal mit höherer Distanz ein (oder eben OSPF).

Die Routing-Tabelle an Standort A sieht dann so aus:

0.0.0.0/0 via WAN, Distanz 1
172.16.0.0/16 via LAN, Distanz 0
172.17.0.0/16 via VPN-1, Distanz 1
172.18.0.0/16 via VPN-1, Distanz 10
172.18.0.0/16 via VPN-2, Distanz 1
172.17.0.0/16 via VPN-2, Distanz 10
Bitte warten ..
Mitglied: sk
02.02.2011 um 10:55 Uhr
Hallo Dog,

ganz so trivial, wie es Deine Antwort suggeriert, ist es leider nicht.

1)
Zunächst einmal setzt Du voraus, dass die eingesetzten VPN-Gateways routebased arbeiten. Es könnte aber durchaus sein, das diese nur policybased VPN können - sprich sich ausschließlich an die Vereinbarung aus der Phase2-Policy halten.

2)
Mehrere statische Routen bringen nichts, wenn es nicht auch einen proprietären Mechanismus gibt, der die Route mit der besseren Metrik automatisch deaktiviert, wenn das Interface down geht oder zumindest kein Traffic durch den Tunnel geht (z.B. per Pingcheck). Ansonsten würde immer die Route mit der besseren Metrik gewinnen und kein Fallback stattfinden.

3)
Der Einsatz eines Routingprotokolls wäre sicherlich der Königsweg. OSPF über einen IPSec-Tunnel zu bekommen, ist aber je nach Funktionsumfang der eingesetzten Geräte auch nicht ganz selbstverständlich...

Gruß
Steffen
Bitte warten ..
Mitglied: dog
02.02.2011 um 11:46 Uhr
. Es könnte aber durchaus sein, das diese nur policybased VPN können - sprich sich ausschließlich an die Vereinbarung aus der Phase2-Policy halten.

Jetzt setzt du aber wieder voraus, dass es hier um IPSec geht, wozu sich der TO aber nicht geäußert hat.
Und auch in so einem Fall kann man es lösen, wenn man IPSec im Transport-Mode nimmt und dann einfach GRE-Tunnel dadrüber.

Mehrere statische Routen bringen nichts

Warum properitärer Mechanismus?
Die Route ist auf dem VPN-Router, wenn der Tunnel ausfällt ist damit auch das Interface down und die bessere Route auch weg.
Bitte warten ..
Ähnliche Inhalte
Netzwerkprotokolle
SMTP und der Punkt
Frage von StefanKittelNetzwerkprotokolle5 Kommentare

Hallo zusammen, ich beschäftige mich gerade mal wieder mit dem SMTP-Protokoll und bin dabei auf ein Prinzip-Problem gestoßen. Ich ...

Netzwerkgrundlagen
Frage zu Punkt-zu-Punkt Verbindung und Broadcast-Netz
gelöst Frage von ichigo77Netzwerkgrundlagen3 Kommentare

Hallo, Es geht um die Schicht 2 (Sicherung) im OSI-Model : Bei Punkt-zu-Punkt Verbindungen (z.B. zwischen Telefonanschluss und ISP ...

Video & Streaming
Drei Webseiten auf drei Monitoren automatisch im Vollbild starten
Frage von BirdyBVideo & Streaming9 Kommentare

Hallo zusammen, ich bräuchte bitte einen Rat von euch: Derzeit hängen in unserer Einsatzzentrale 3 Statusmonitore nebeneinander. Jeder von ...

Batch & Shell
Punkt durch Komma ersetzen
Frage von TingelTangelbatchBatch & Shell9 Kommentare

Hallo, für eine batch Datei suche ich folgende Hilfe / Code: Ich habe monatlich ca. 10 Textdatein welche Werte ...

Neue Wissensbeiträge
Windows 10

Autsch: Microsoft bündelt Windows 10 mit unsicherer Passwort-Manager-App

Tipp von kgborn vor 2 StundenWindows 10

Unter Microsofts Windows 10 haben Endbenutzer keine Kontrolle mehr, was Microsoft an Apps auf dem Betriebssystem installiert (die Windows ...

Sicherheits-Tools

Achtung: Sicherheitslücke im FortiClient VPN-Client

Tipp von kgborn vor 4 StundenSicherheits-Tools

Ich weiß nicht, wie häufig die NextGeneration Endpoint Protection-Lösung von Fortinet in deutschen Unternehmen eingesetzt wird. An dieser Stelle ...

Internet

USA: Die FCC schaff die Netzneutralität ab

Information von Frank vor 18 StundenInternet3 Kommentare

Jetzt beschädigt US-Präsident Donald Trump auch noch das Internet. Der neu eingesetzte FCC-Chef Ajit Pai ist bekannter Gegner einer ...

DSL, VDSL

ALL-BM200VDSL2V - Neues VDSL-Modem mit Vectoring von Allnet

Information von Lochkartenstanzer vor 21 StundenDSL, VDSL1 Kommentar

Moin, Falls jemand eine Alternative zu dem draytek sucht: Gruß lks

Heiß diskutierte Inhalte
Netzwerkmanagement
Mehrere Netzwerkadapter in einem PC zu einem Switch zusammenfügen
Frage von prodriveNetzwerkmanagement21 Kommentare

Hallo zusammen Vorweg, ich konnte schon einige IT-Probleme mit Hilfe dieses Forums lösen. Wirklich klasse hier! Doch für das ...

Windows Server
Anmeldung direkt am DC nicht möglich
Frage von ThomasGrWindows Server16 Kommentare

Hallo, ich habe bei unserem Server 2016 Standard ein Problem. Keine Ahnung wie das auf einmal passiert ist. Ich ...

Hardware
Links klick bei Maus funktioniert nicht
gelöst Frage von Pablu23Hardware16 Kommentare

Hallo erstmal. Ich habe ein Problem mit meiner relativ alten maus jedoch denke ich nicht das es an der ...

TK-Netze & Geräte
VPN-fähige IP-Telefone
Frage von the-buccaneerTK-Netze & Geräte14 Kommentare

Hi! Weiss noch jemand ein VPN-fähiges IP-Telefon mit dem man z.B. einen Heimarbeitsplatz gesichert anbinden könnte? Habe nur einen ...