denny86
Goto Top

Telekom CompanyConnect mit 27er-Netzwerk an Sophos UTM

Hi liebe Community,

ich habe ein "größeres" Problem bei einem meiner Kunden.

Folgende Situation:

Vor ca. 1 Woche haben wir das Netz des Kunden übernommen und eine alte Virtual Appliance der Sophos durch eine Hardware SG310 ausgetauscht.
Die alte FW war von einem Laien total stümperhaft und voller Fehler etc. eingerichtet worden. (vermutl. ehem. Dienstleister)
(mehrere Routen in die selben Netze, Regeln ein Graus, NAT-Regeln mit ANY-Ports etc)
Deshalb wollte ich die Konfig dieser alten Box nicht übernehmen und habe sie von Grund auf neu eingerichtet.
Fast alles funktioniert einwandfrei bis auf die Anbindung der Public-IPs.

Wir haben beim Kunden eine Public-IP Range mit einem X.X.X.0/27 Netz.
Dieses liegt via Glasfaser / Koax an 2 CISCO 7200 Routern der Telekom an. (Erstweg 100 MBit/s GF, Zweitweg 34 MBit/s Koax)
Diese Router gehen geweils via Kupfer auf VLAN 666 eines CISCO 5406 Core-Switch-Clusters.
Von diesem VLAN 666 gehen 2 weitere Kupfer auf jeweils die eth1 einer Sophos SG 310 (HA)
Von dieser SG gehen 2 Kupfer vo eth0 auf VLAN 1 des 5406 (internes LAN)
und nochmals 2 Kupfer von eth2 auf VLAN 2 des 5406 (DMZ).

Wir haben bereits von der Telekom alle Leitungen und Routen prüfen lassen.
Diese (5!) Techniker haben uns alle bestätigt, dass die IPs alle richtig geroutet werden und auch am WAN anliegen.

Nun zum eigentlichen Problem:

Ich hab auf der eth1 eine Hauptadresse X.X.X.22/27 liegen.
Diese ist auch von extern erreichbar und Internet wie gewünscht vorhanden.
Nun haben wir als "Additional Addresses" die X.X.X.17/27, X.X.X.19/27, X.X.X.20/27 und X.X.X.21/27 hinzugefügt, damit wir mit NAT, WAF etc. arbeiten können.
.17 via NAT an SCOPIA Server
.19 via NAT an CISCO Netscaler
.21 via NAT an FTP Server (mit FTP Helper!)
.22 als WAF, GW, DNS, NTP, VPN...

Mein großes Problem ist nun, dass die .22 von intern sowie extern einwandfrei funktioniert, jedoch die zusätzlichen Adressen nicht.
Von intern kann ich alle IPs erreichen (routet ja auch die Sophos problemlos!)

Meine Vermutung liegt dahingehend, dass der 5406 irgendwo Schwierigkeiten macht und mir nicht alle Public-IPs an meine SG durchreicht.
(evtl. Routen, MAC-Sperren, ARP-Fehler etc...)

An diesem Punkt komme ich nicht weiter, denn bei diesen Routern fange ich sprichwörtlich bei 0 an.

Ich habe mich bereits ein bisschen in den CISCO einarbeiten können und via clear ip arp und clear arp-cache den Cache gelöscht.
Außerdem habe ich die Routen geprüft. Default-Route an die interne IP der SG, Rest internes Routing.
Keine Sicht der Public-IPs auf dem Switch. Weder in den ARP-Tables noch in den IP-Tables.

Hatte jemand von euch evtl. schon mal solch ein Problem oder gute CISCO Kenntnisse und könnte mich hier unterstützen?

ein großes Danke im Voraus für jede hilfreiche Antwort. face-smile

Content-Key: 335861

Url: https://administrator.de/contentid/335861

Ausgedruckt am: 19.03.2024 um 05:03 Uhr

Mitglied: Dani
Dani 22.04.2017 um 20:38:11 Uhr
Goto Top
Moin,
das Zauberwort heißt ProxyARP und macht natürlich nur Sinn in Verbindung mit DNAT.
Warum gehst du überhaupt über 5406er bzw. VLAN 666 und nicht direkt auf den Firewall-Cluster? Denn ich nehme an, dass die DTAG zwischen ihren Routern einen Cross-Link nutzt, und somit bei Ausfall der FW01 trotzdem die FW02 über den CL auf die primäre Leitung zugreifen kann.


Gruß,
Dani
Mitglied: denny86
denny86 23.04.2017 um 00:14:17 Uhr
Goto Top
Hi Dani,

Proxy ARP ist auf der eth1 aktiv und die HA Überwachung deaktiviert.
Kein Erfolg!
Außerdem sollten die zusätzlichen Adressen auch ohne eingeschaltenem Proxy ARP für WAF / NAT zur Verfügung stehen.
Hab schon viele UTMs/SGs mit CoCo und Public-IPs durch und nie Schwierigkeiten.
Der einzige Unterschied hier ist, dass ich als Verbindung für das Cluster normal HP 1910 nehm und nur einen CoCo Anschluss hab (also kein Erst- und Zweitweg) *grübel*

Ich hab auch bereits die ARPs der FWs geprüft, sowie die Routen der Shell.
Alle Public-IPs werden an das GW der CoCo geroutet face-sad

Heißt für mich:
Von FW Seite aus gehen alle IPs raus an den 5406, von DTAG gehen alle IPs an den 5406.
Aber nicht drüber hinaus...

Wir nutzen den 5406er als Puffer für den Cross-Link der DTAG.

Es nützt nix, wenn wir die DTAG direkt an das HA hängen. Denn dann wäre der Erstweg direkt an der Master und der Zweitweg direkt an der Slave. Außerdem besteht dann keine direkte Verbindung zwischen dem Erstweg und Zweitweg. Somit würde die Funktionalität des Cross-Link wegfallen.

Es müssen ja beide FWs auf beide Wege der DTAG zugreifen können. face-smile

Korrigier mich bitte wenn ich nen Denkfehler drin hab...

Gruß denny
Mitglied: aqui
aqui 23.04.2017 aktualisiert um 15:55:48 Uhr
Goto Top
Bevor wir ins Eingemachte gehen nur zur mal Sicherhei,t damit wir hier alles das gleiche Netzwerk Design vor Augen haben was so aussehen müsste wenn man deiner Beschreibung folgt:

firewallcisco

Dazu mehrere Fragen die du nicht beantwortet hast:
  • Arbeitet das Firewall Cluster in einem Active/Active Design oder Active/Standby ?
  • Sind die sog. "Additional IPs" Secondary IP Adressen oder eigenständige Alias IP Adressen die die FW in die DMZ forwardet ?
  • Wichtig: Wie routen die Ciscos eurer öffentliches /27er Subnetz ins Internet ?? Geht das mit Policy Routing und Active Active oder nur mit einem einfachen Active Standby Routing (HSRP) das z.B nur der 100Mbit Router aktiv ist und der 34Mbit nur Backup ?
  • Welche Gateway IP hat das Firewall Cluster definiert für den Internet Zugriff ?

Gerade die 3te und die daraus resultierende 4te Frage ist essentiell wichtig für die Erreichbarkeit eures öffentlichen /27er Subnetzes. Leider gehst du darauf mit keinem Wort ein was eine zielführende Hilde fast unmöglich macht. face-sad

Nur soviel was die 5400er Switches anbetrifft:
clear ip arp und clear arp-cache sind natürlich Schwachsinn (Sorry) und nützen rein gar nichts, denn sie wirken nur auf Layer 3 Traffic.
Das VLAN 666 darf natürlich NIEMALS eine gültige IP Adresse (vlan Interface) auf dem Switch konfiguriert haben!!
Das wäre tödlich, denn damit läge dieses Subnetz dann völlig ungeschützt direkt an der lokalen Netzwerkstrukur wo es auch gar nichts zu suchen hat. Es MUSS an den Firewalls enden.
Man kann nur dringenst hoffen das das nicht der Fall ist ?!

Wenn also das VLAN 666 richtig konfiguriert ist und ein reines Layer 2 VLAN ist auf dem Switch, ist es damit auch vollkommen isoliert was ja auch zwingend der Fall sein soll.
ARP usw. spielt hier dann keinerlei Rolle mehr...logisch ohne L3. Folglich sind dann auch die Kommandos unsinnig weil der Switch mit dem Layer 3 Forwarding ins Internet rein gar nichts mehr zu tun hat.
Das ist auch genau richtig so, denn das sollen ja logischerweise ausnahmslos die beiden Firewalls machen !!
Deshalb die Frage oben zum Routing der beiden Ciscos und wie sie das Routing und insbesondere die Route Distribution beider WAN Links in eurem öffentliche Subnetz für dortige Endgeräte realisieren !
Da liegt der eigentliche Grund des Fehlverhaltens.
Mitglied: denny86
denny86 23.04.2017 um 16:12:58 Uhr
Goto Top
Hi aqui,

ja dein Visio beschreibt das Design ganz gut.

Zu deinen Fragen:

1. Die FWs arbeiten im Active/Passive Mode.

2. Die AdditionaAdressen sind zusätzliche Schnittstellenadressen im WAN welche direkt am eth1 der FW anliegen.

3. Das VLAN 666 ist vollständig isoliert ohne IP. Reines Schnittstellen bündeln. (funktioniert m.E. wie n reiner eigener Switch)
Kann das nur nicht mit Sicherheit eruieren, da ich wie gesagt von den CISCO keine Ahnung hab. Das VLAN wurde vom Vorgänger konfiguriert und hat mit der alten FW funktioniert.

Die 7200er sind als Active/Passive konfiguriert. Erstweg Aktiv, Zweitweg Failover.
Da haben wir keinen Zugriff drauf. Konfig erfolgt durch die DTAG.

4. Als GW für die FWs haben wir von der DTAG eine 217. er Adresse bekommen welche wohl als virtuelles GW des DTAG Clusters agiert.

Ich hatte gestern noch ein 1-stündiges Telefonat mit der DTAG wg. der Konfig der 7200er. Aber die sagten mir, dass dort alle IPs richtig geroutet werden.

Das Interessante ist, dass sie von den 7200er Routern aus auch die Haupt-WAN-IP der FW erreichen konnte, jedoch keine IP aus den zusätzlichen Adressen.

Konnte ich deine Fragen soweit beantworten?

Gruß denny
Mitglied: aqui
Lösung aqui 23.04.2017 aktualisiert um 16:49:35 Uhr
Goto Top
Ad 2.)
Und die antworten dann auch ganz normal auf ICMP Echo Requests (Ping) von außen sofern das in der Firewall erlaubt ist ??
Hier solltest du erstmal mit einem Wireshark das mitsniffern ob ICMP echos ankommen und auch ob die Firewall Adressen darauf antworten.
Das VLAN 666 ist vollständig isoliert ohne IP
OK, perfekt.
Die 7200er sind als Active/Passive konfiguriert. Erstweg Aktiv, Zweitweg Failover.
Na tolle Wurst...ihr bezahlt für zusätzliche 34Mbit und könnt sie gar nicht nutzen. Solche Steinzeit Konfigs drückt man nur noch Kunden auf die keine Ahnung haben. Sorry aber das sollte man in ein intelligenteres Balancing ändern. Sind 3 Konfig Zeilen im Cisco...
Aber egal... völlig andere Baustelle und nicht das Thema hier, vereinfacht dann das Troubleshooting.
Als GW für die FWs haben wir von der DTAG eine 217. er Adresse bekommen
Die dann aber ja wohl in eurem eigenen Subnetz liegt, richtig ?? also habt ihr ein 217.x.y.0 /27 Netz und die Telekom Gateway IP ist vermutlich die .1 oder die .30, richtig ?? Die Telekom macht es eigentlich immer richtig die Gateway IPs nach ganz oben oder ganz unten zu setzen ganz im Gegensatz zu eurer .22 die mittendrin ist was man nie macht...aber egal Kosmetik...
Sorry, hier ist oben ein Fehler in der Zeichnung !!
Richtig ist natürlich die Host IP Range von .1 bis .30 in einem /27er Prefix.
welche wohl als virtuelles GW des DTAG Clusters agiert.
Ja, die 7200er arbeiten in einem popeligen HSRP Design und das ist die VIP. (Virtual IP) die immer auf den aktiven Router springt je nach Zustand der WAN Leitungen.
Aber die sagten mir, dass dort alle IPs richtig geroutet werden.
Ja, davon kannst du auch ausgehen, denn die routen das gesamte /27er Subnetz.
Ein einfacher Traceroute von einem externen Gerät sollte dir das auch zeigen.

Als ersten wichtigen Test solltest du also am 5400er mal einen Mirror Port einrichten und den Port der aktiven Firewall mitsniffern mit einem Wireshark.
Dann sendets du von außen einen Ping (ICMP Echo Request) erstmal auf die physische IP der aktiven Firewall und checkst ob diese ICMP Pakete über den 7200 dort eingehen.
Das wiederholst du dann für die "Additional" Adressen in eurem Subnetz.
Siehst du diese von außen eingehenden ICMP Pakete in deinem Wireshark Trace, hast du dann erstmal absolute Gewissheit das die DTAG alles auch wirklich richtig routet.
Eigentlich kannst du das auch schon sehen wenn du direkt von der Firewall einmal die 8.8.8.8 anpingst oder traceroutest und als Absender IP deren eth1 Interface IP nimmst. Kommt ein Echo Reply ist das Routing wasserdicht OK. Kommt kein, dann nicht.
Ggf. musst du dafür natürlich mal temporär eingehend ICMP zulassen auf dem FW eth1 Interface.
auch die Haupt-WAN-IP der FW erreichen konnte, jedoch keine IP aus den zusätzlichen Adressen.
Das kannst du ja auch ganz einfach ohne großen Aufwand selber mal testen !!
Klemm einen Laptop in das VLAN 666, gib dem eine statische freie IP aus dem 217.x.y.0 /27 Netz (idealerweise eine der "Additional IPs"), Gateway auf die Cisco VIP und dann pingst und traceroutest du zuerst mal die Cisco VIP und dann mal die 8.8.8.8.

Wenn das alles klappt ist der böse Buhman die Sophos Gurke bzw. deren Fehlkonfiguration....was so oder so zu vermuten ist.
Mitglied: denny86
denny86 23.04.2017 um 19:55:15 Uhr
Goto Top
Ad 2.)
Na tolle Wurst...ihr bezahlt für zusätzliche 34Mbit und könnt sie gar nicht nutzen. Solche Steinzeit Konfigs drückt man nur noch Kunden auf die keine Ahnung haben. Sorry aber das sollte man in ein intelligenteres Balancing ändern. Sind 3 Konfig Zeilen im Cisco...

Die DTAG sagte mir, dass wir (wenn wir möchten) beide Wege mutzen können, wenn wir sie einzeln ansprechen.
Dies möchte ich realisieren via Uplink-Ausgleich / Load-Balancing über die FW, wenn das Netz mal stabil läuft.
Momentan hat der Kunde wesentlich wichtigere und größere Baustellen. face-sad

Als GW für die FWs haben wir von der DTAG eine 217. er Adresse bekommen
Die dann aber ja wohl in eurem eigenen Subnetz liegt, richtig ?? also habt ihr ein 217.x.y.0 /27 Netz und die Telekom Gateway IP ist vermutlich die .1 oder die .30, richtig ??

Falsch. Wir haben ein Subnetz 80.146.X.0 /27 und ein 212.185.X.72/29
Der Erstweg der DTAG hat die 217.243.191.50, der Zweitweg hat die 217.243.191.51 und unser virtuelles GW der DTAG ist die 217.243.191.49

Die Telekom macht es eigentlich immer richtig die Gateway IPs nach ganz oben oder ganz unten zu setzen ganz im Gegensatz zu eurer .22 die mittendrin ist was man nie macht...aber egal Kosmetik...

Das hat den Grund, dass wir aktuell über diese Adresse die meisten Dienste laufen haben und der Kunde hier einmal Außenstellen/Subunternehmer hat, welche diese Adresse direkt ansprechen und wir weitere Dienste via DNS ansprechen.
Daher meine Sinnhaftigkeit diese Adresse aktuell als Haupt-IP zu nehmen. (Sollte aber eigentlich an der IP-Range Funktionalität nichts ändern!)

Sorry, hier ist oben ein Fehler in der Zeichnung !!
Richtig ist natürlich die Host IP Range von .1 bis .30 in einem /27er Prefix.

Ist mir gar nicht aufgefallen, aber du hast Recht. face-smile

Ein einfacher Traceroute von einem externen Gerät sollte dir das auch zeigen.
Nicht ganz...
  1     1 ms     1 ms     1 ms  interner Router [192.168.X.1]
  2    20 ms    19 ms    19 ms  62.155.X.20
  3    29 ms    29 ms    28 ms  ke-ea1-i.ke.de.net.dtag.de [62.154.98.46]
  4    27 ms    27 ms    26 ms  0186975-1-1-gw.ke.de.net.dtag.de [80.148.164.241]
  5    27 ms    26 ms    28 ms  dns.kunde.de [80.146.X.22]

Wie du siehst taucht hier die VIP der DTAG gar nicht auf...

Als ersten wichtigen Test solltest du also am 5400er mal einen Mirror Port einrichten und den Port der aktiven Firewall mitsniffern mit einem Wireshark.

Kannst du mir kurz anleiten, wie ich das mache?
Habe wie gesagt von CISCO keine Ahnung. face-sad

Ggf. musst du dafür natürlich mal temporär eingehend ICMP zulassen auf dem FW eth1 Interface.

PING und ICMP sind testweise auf die FW zugelassen, aber nicht drüber. face-smile

Klemm einen Laptop in das VLAN 666, gib dem eine statische freie IP aus dem 217.x.y.0 /27 Netz (idealerweise eine der "Additional IPs"), Gateway auf die Cisco VIP und dann pingst und traceroutest du zuerst mal die Cisco VIP und dann mal die 8.8.8.8.

Also müsste ich mir ne "Additional Address" aus dem 80er Netz geben und nicht aus dem 217er???
Beispiel:
IP: 80.146.X.21
MASK: 255.255.255.224
GW: 217.243.191.49
DNS: 8.8.8.8

Wenn das alles klappt ist der böse Buhmann die Sophos Gurke bzw. deren Fehlkonfiguration....was so oder so zu vermuten ist.
Ja die Vermutung habe ich leider auch. Denke da aber weniger an eine Fehl-Konfiguration (bin selbst Sophos UTM Architect und habe auch einen 2. Techniker mit selbem Kenntnisstand hinzugezogen) als eher an eine Fehl-Funktion

Habe hier auch bereits einen Support-Call beim Hersteller offen, aber die Leute arbeiten so gerne am Wochenende. face-big-smile

Gruß denny
Mitglied: denny86
denny86 24.04.2017 um 08:50:44 Uhr
Goto Top
Hallo aqui,

kannst du mir zur Sicherheit einmal sagen, wie ich das VLAN so konfigurieren/prüfen kann, dass definitiv keine IP etc. vorhanden ist sondern das Teil wirklich NUR die Ports verbindet und abschottet??

Vielen Dank

denny
Mitglied: aqui
Lösung aqui 24.04.2017 aktualisiert um 11:44:10 Uhr
Goto Top
beide Wege mutzen können, wenn wir sie einzeln ansprechen.
Da haben die DTAG Kollegen natürlich Recht. Das kann man immer via Policy Based Routing machen. Das sollten eure UTM Gurken ja hoffentlich können wenn sie nicht gerade wieder einen Bug haben face-wink
Cisco Router 2 Gateways für verschiedene Clients
Aber wie du richtig bemerkst ist das erstmal ne ganz andere Baustelle....
wie ich das VLAN so konfigurieren/prüfen kann
Du meinst das VLAN 666, richtig ??
Einfach ein show ip int brief. Dort darf es kein konfiguriertes IP vlan Interface 666 geben. Oder auch show run auf dem Switch face-wink
In der gesamten Switch Konfig darf KEIN Kommando interface vlan 666 zu sehen sein !!
Du kannst auch mit Angry IP Scanner oder Fing usw. mal einen IP Scan im VLAN 666 machen um die dort aktiven IP Adressen zu sehen.
Mach dich doch wenigstens mal mit den allernötigsten Cisco CLI Grundlagen schlau !!:
http://www.coufal.info/cisco_ios/index.shtml
"?"und die <TAB> Taste sind beim CLI immer deine besten Freunde face-wink

Falsch. Wir haben ein Subnetz 80.146.X.0 /27 und ein 212.185.X.72/29
OK, das 80er Netz interessiert ja aber jetzt gar nicht, da sich dein Szenario ja komplett dann im 212er Netz abspielt wenn man dich da jetzt richtig versteht.
Das 80er Netz kann man also erstmal vollständig ignorieren, denn es ist ja laut o.a. Zeichnung gar nicht involviert in das Design.

Die gültigen Host Adressen im 666er VLAN liegen dann im Bereich von .33 bis .62.
Das war in so fern verwirrend weil du oben gesagt hattest (Zitat) Als GW für die FWs haben wir von der DTAG eine 217. er Adresse bekommen und (Zitat) eine Public-IP Range mit einem X.X.X.0/27 Netz.
Damit hast du uns hier natürlich bewusst falsche Adressen genannt und uns in die Irre geführt, denn das 0er Netz hat natürlich eine ganz andere IP Hostadressierung wie das bei dir verwendete .32 /27 Netzwerk. Aber egal, damit ist das ja dann sicher geklärt.
Wie du siehst taucht hier die VIP der DTAG gar nicht auf...
Das ist auch richtig, denn eine HSRP VIP ist nicht pingbar. Sinnvoll ping man hier natürlich die beiden physischen Adressen der Router .50 und .51. Sollte man als Netzwerker wissen face-wink
Traceroute dann auch mit -n Parameter um das reverse Lookup zu vermeiden. Ping und Traceroute sollten nicht aus einem internen Netz kommen sondern wirklich von einem externen.
Die beiden physischen IPs sollten sich in jedem Falle pingen lassen. Bei den anderen IPs im 666er VLAN musst du entweder einen Mirror Port benutzen oder einen Testrechner da reinhängen.
Letzteres ist vermutlich für dich jetzt erstmal einfacher !
Nimm also einen Raspberry Pi aus der Bastelkiste oder einen einfachen Laptop. Da sollte Wireshark drauf sein und der Rechner sollte eine statische freie IP aus dem 217... /27 IP Netz haben Gateway erstmal auf eins der physischen Routerports .50 oder .51.
Idealerweise hat der Testrechner dann eine der ominösen "Additional IPs" so das du das gleich Live testen kannst. Diese IP muss dann aber auf der Firewall deaktiviert sein. Egal wie du es machst der Testrechner sollte pingbar sein.
Beachte das wenn es Winblows ist du dann ICMP in der Firewall aktivieren musst:
https://www.windowspro.de/tipp/ping-windows-7-server-2008-r2-zulassen
Jetzt machst du von extern einen Ping auf diesen Testrechner bzw. seine IP während der Wireshark rennt.
Wenn die IP ankommt und der Testrechner antwortet dann stimmt alles wasserdicht mit dem DTAG Routing und der IP Adressierung.
pingtest
Das solltest du mit BEIDEN physischen Gateways .50 und .51 verifizieren !!
Idealerweise mit einem ICMP Capture Filter im Wireshark, damit der nicht auch den gesamten Resttraffic mitschneidet und vollgemüllt wird, sondern nur die ICMP Pings anzeigt:
capturefi

Alternativ kannst du einen Mirror Port (Spiegelport) am Cisco Switch nutzen. und den Port wo die aktive Firewall draufhängt ganz einfach auf einen freien Port spiegeln an den du dann genau wie oben den Wireshark Rechner klemmst. Wie das genau bei Cisco geht steht hier:
http://www.nwlab.net/tutorials/cisco/port-mirroring.html
https://supportforums.cisco.com/document/13891/how-configure-port-monito ...
usw.
Als Cisco Unkundiger solltest du ggf. dann vielleicht erstmal die einfachere Variante mit einem Testrechner in VLAN 666 nehmen.
Mit dem Mirrorport hast du nur den Vorteil das du gleich den Live Traffic der Firewall siehst face-wink
Also müsste ich mir ne "Additional Address" aus dem 80er Netz geben und nicht aus dem 217er???
Nein, natürlich aus dem 217er. Das 80er spielt hier routingtechnisch doch gar keine Rolle.
Und niemals den Google DNS verwenden sondern immer den des Providers !

Das ist der wichtigste Test den du machen solltest.
Wenn der so wie geschildert funktioniert weisst du das routingtechnisch mit dem DTAG Anschluss alles sauber rennt und der Fehler dann einzig nur noch auf den UTM Gurken liegen kann !!
Mitglied: denny86
denny86 24.04.2017 um 14:38:39 Uhr
Goto Top
Hi aqui

Einfach ein show ip int brief. Dort darf es kein konfiguriertes IP vlan Interface 666 geben. Oder auch show run auf dem Switch 
In der gesamten Switch Konfig darf KEIN Kommando interface vlan 666 zu sehen sein !!

in der Running-Config ist davon nichts zu sehen und auch das Show ip int Brief zeigt kein vlan 666 an.
Dennoch scheint der CISCO im Hintergrund etwas falsch zu routen..

OK, das 80er Netz interessiert ja aber jetzt gar nicht, da sich dein Szenario ja komplett dann im 212er Netz abspielt wenn man dich da jetzt richtig versteht.
Das 80er Netz kann man also erstmal vollständig ignorieren, denn es ist ja laut o.a. Zeichnung gar nicht involviert in das Design.

Falsch. Das 80er Netz ist unser aktives Netz auf der WAN-Seite und das 212er ist aktuell unbenutzt.

Da wir bereits den 5406 in Verdacht hatten, haben wir die Netzstruktur heute neu aufgebaut um den 5406 auszuschließen.

wan

Seitdem haben wir eine stabile Internetverbindung.

Das seltsame ist nun jedoch, dass wir zwar die Haupt-IP auf eth1 (.22) und eine zusätzliche IP (.19) extern erreichen können, jedoch nicht die .21 und .20.

Aber ich denke hier liegt nun ein Fehler in der UTM vor, welche unser Hersteller-Support lösen muss.

Fazit: Wir werden wohl auf lange Sicht entweder den CISCO 5406 durch einen HPE 5406zl2 ersetzen (sind doch schon etwas betagter die aktuellen Geräte) oder zumindest den aktuellen komplett neu konfigurieren!

Daher sagte ich trotzdem mal vielen Dank für die Unterstützung und eure Hilfe.

P.S.:
Da haben die DTAG Kollegen natürlich Recht. Das kann man immer via Policy Based Routing machen. Das sollten eure UTM Gurken ja hoffentlich können wenn sie nicht gerade wieder einen Bug haben face-wink

Ja da geb ich dir leider recht, dass hier viele BUGs verbaut sind. -.-
Aber auch ja die SG/UTM kann Policy Based Routing face-wink
Mitglied: aqui
aqui 24.04.2017 aktualisiert um 18:56:19 Uhr
Goto Top
Falsch. Das 80er Netz ist unser aktives Netz auf der WAN-Seite und das 212er ist aktuell unbenutzt.
Wieso jetzt wieder das 212er??? Oben redest du doch von 217er... Ja was denn nun ?? face-sad

Das ist auch technisch dann vollkommen unmöglich. Jeder Dummie weiss ja das in einem Netzwerk Endgeräte niemals kommunizieren können deren Hostadressen in vollkommen unterschiedlichen IP Netzen liegen.
Wie sollten also Endgeräte im 217.. /27er IP Netz jemals mit Endgeräten kommunizieren die in einem 80... /27 IP Netz konfiguriert sind wenn du auf dem selbe Draht arbeiten. Das kann ja niemals funktionieren und weiss jeder IT Azubi im ersten Lehrjahr und lernt man in der ersten Klasse IP Routing Grundlagen
Mal ganz davon abgesehen das es gegen den TCP/IP Standard verstößt wenn man so ein unsinniges Design umsetzt.
Da ist es also nicht weiter verwunderlich das so ein Konstrukt niemals laufen kann.
Das solltest du eigentlich auch selber wissen, denn hast du schon mal einen Rechner mit einer IP 10.1.1.1 /24 an einen Switch gesteckt mit einem Rechner der 192.168.1.1 /24 konfiguriert hat.
Ohne einen Router werden die sich niemals erreichen können.

Hier geht also schon mal was ganz grundsätzlich falsch bei dir bzw. dem wirren IP Adressdesign !!!
Von welchen IP Adressen reden wir hier also im WAN zwischen FW und Cisco 7200.
Entweder hast du also oben Unsinn gemalt bei der IP Adressierung oder hier einen fatalen Designfehler gemacht. 2 IP Netze können niemals und sollten auch niemals auf einem Draht (Layer 2 Domain) koexistieren.
Hoffen wir also mal das du dich da bei der Zeichnung schlicht und einfach nur vertan hast oder den Router vergessen hast ! 217er und 80er Netz müssten in unterschiedlichen VLANs liegen also immer vollkommen getrennte L2 Domains haben.
auf lange Sicht entweder den CISCO 5406 durch einen HPE 5406zl2 ersetzen
Igitt...ein ziemlicher Rückschritt sich dann auch noch HP Schrott ins Haus zu holen. Das macht das gruselige IP Design oben auch nicht besser.
oder zumindest den aktuellen komplett neu konfigurieren!
Ein sehr weiser und guter Schritt !! Es erspart dir gruselige HPs
Wenn du mal schilderst was du vorhast, dann können wir mit dir hier eine grundlegende Basiskonfiguration erstellen. Mit 3 oder 4 popeligen VLANs ist das sehr schnell gemacht.
da geb ich dir leider recht, dass hier viele BUGs verbaut sind. -.-
Scheinbar aber dann eher von eurer Seite wenn das oben Geschilderte tatsächlich stimmen sollte ? (Hoffentlich nicht ?!)
Mitglied: denny86
denny86 24.04.2017 um 19:35:04 Uhr
Goto Top
Hi aqui,

Wieso jetzt wieder das 212er??? Oben redest du doch von 217er... Ja was denn nun ??

das Design der WAN IPs liegt nicht in unserer Hand sondern ist von der DTAG vorgegeben!!

Wir haben folgende IP Konfig von der DTAG:

Ein Subnetz 80.146.X.0/27
Ein Subnetz 212.X.X.78/29
Das sind unsere öffentlichen IP-Bereiche im Internet!

Die DTAG Router hängen von uns aus gesehen im Internet und wir haben damit konfigtechnisch nichts zu tun!
Diese sind mit den IPs
217.243.191.50
217.243.191.51
versehen.

Unser GW ist die 217.243.191.49

Das sind Vorgaben der DTAG die wir nicht beeinflussen können!

Igitt...ein ziemlicher Rückschritt sich dann auch noch HP Schrott ins Haus zu holen. Das macht das gruselige IP Design oben auch nicht besser

Diese Aussage überlese ich jetzt mal gekonnt. Möchte mich weder über CISCO noch HP auslassen! Und da wir HP certified Partner sind ist das unsere Wahl/Vorgabe.

Scheinbar aber dann eher von eurer Seite wenn das oben Geschilderte tatsächlich stimmen sollte ? (Hoffentlich nicht ?!)

Denke eher nicht, denn sonst dürfte meine Config auf den SG ja überhaupt nicht funktionieren.


Sorry, aber mir wären konstruktive Vorschläge mit den Gegebenheiten lieber, als ein Ablästern über Hersteller und Vorwerfen von Inkompetenz bzgl. öffentlicher IP-Vorgaben und Design.

Es ist nicht alles Gold was glänzt aber alles runter buttern mit dem man selbst nicht arbeiten mag ist in meinem Augen kontraproduktiv!
Mitglied: Dani
Dani 24.04.2017 um 20:56:43 Uhr
Goto Top
Moin,
kann es sein, dass die genannten IP-Adresse 217.x.x.x nur für den Weg DTAG Router <-> Internet gedacht sind und in deinem 80.x die Cisco Router ebenfalls eine IP-Adresse haben?! Ansonsten hat Kollege @aqui bezüglich des Routing vollkommen recht.


Gruß,
Dani
Mitglied: denny86
denny86 25.04.2017 um 07:46:46 Uhr
Goto Top
Hallo Dani,

die Frage kann ich dir nicht beantworten, da ich wie gesagt hier keinen Einfluss habe und auch keinen Zugriff.

Mir wurden diese IP-Adressen lediglich von den DTAG Mitarbeitern genannt.
An welchem Anschluss der 7200er diese Adressen anliegen ist mir unbekannt.

Mir wurden keine 80.er Adressen der 7200er genannt.
Mitglied: aqui
aqui 25.04.2017 aktualisiert um 14:03:56 Uhr
Goto Top
und in deinem 80.x die Cisco Router ebenfalls eine IP-Adresse haben?!
Das wäre eigentlich unmöglich, denn dann hätte die DTAG dem Kunden eine fehlerhafte Konfig zur Verfügung gestellt. Sehr sehr unrealistisch sowas zu glauben, dann das sind fest vorgegebene Standardkonfigs bei denen. Secondary IPs kommen da nicht vor.
Die DTAG liefert niemals Router aus die mit Secondary IP Adressen auf dem Cisco konfiguriert sind. Dafür gibt es 3 triftige Gründe:
  • Damit erzwingt man auf dem Cisco sog. Process Switching also das Routen über die CPU was zu massiven Performance Einbußen führt
  • ICMP Frames können nur immer von den primary IP Adressen versendet werden weil der TCP/IP Standard eben so ein IP Design zweier Netze innerhalb einer L2 Collision Domain nicht vorsieht. Damit ist eine ICMP Ablaufsteuerung innerhalb der secondary IPs nicht mehr möglich
  • Letzteres verhindert dann ein sauberes Routing der IP Segmente.
Fazit: Nie und nimmer nicht hat die Telekom das so konfiguriert !!!
Lass dir als Endkunde von der Business Hotline einen Konfig Auszug NUR einzig eurer lokalen LAN Interfaces zeigen, das beweist das dann sofort. Auf diese Information habt ihr einen vertraglichen Anspruch, denn das ist die Übergabe Schnittstelle !
Mir wurden keine 80.er Adressen der 7200er genannt.
Was das o.a. Design dann absolut bestätigt !!!
Das heisst das 80er Subnetz wird dann via den 217er Adressen zu euch geroutet !
Das macht Sinn und ist durchgängige Praxis, zeigt dann aber auch gleichzeitig das dein WAN Design dann absolut falsch oben ist !!
Da ihr dann zwei öffentliche Subnetze habt musst du dich erstmal entscheiden WO du denn diese Netze an die Firewall oder einen separaten Router bringen willst !!!
Der 5400er fällt aus, denn dann wären diese öffentlichen Netze nicht mehr isoliert was dann fatal wäre. Hier dürften diese Segmente wenn dann nur als reine Layer 2 Netze anliegen bzw. konfiguriert sein.
Bleiben also nur die UTM Gurken !!

Ein sauber geroutetes Design dazu sähe dann z.B. so aus:

firewallcisco2

Das entspräche dann auch einem klassischen Standarddesign, indem das 217er Netz das reine Transportnetz ist und das 80er Netz vermutlich die angedachte DMZ. Aber das können wir hier nur frei raten, da wir eure Planungen und Intentionen zum Erwerb dieser Struktur hier gar nicht kennen bzw. du keine Information dazu lieferst.

Den Telekomikern müsst ihr dann aber auch mitteilen das sie das euch zugeteilte 80er Subnetz dann über die 217.x.y.22 (FW Cluster) erreichen !
Diese Route muss dann zwingend statisch in den 7200ern definiert sein oder die DTAG hat euch vorgegeben an welche 217er IP Adresse sie dieses Netz routet ! Das sollte dann in deinen DTAG Unterlagen sein !
Wie gesagt wenn das 80er Netz nicht irgendwie anders auf den 7200 liegt und euch nur frei zugeteilt wurde.
An welchem Anschluss der 7200er diese Adressen anliegen ist mir unbekannt.
Ist natürlich laienhafter Unsinn, denn ihr bezahlt als Vertragskunden dafür also hab ihr auch einen rechtlichen Anspruch darauf zu erfahren WIE diese Netze am Übergabepunkt definiert sind.
Anders wär das doch für euch gar nicht umzusetzen IP technisch und ein Provider kann ja einem Vertragskunden kaum vorschreiben wie der intern seine eigenen IP Netze routet oder sichert.
Vergiss den Unsinn also und mach dich kundig statt zu raten !
Mitglied: denny86
denny86 25.04.2017 um 15:52:38 Uhr
Goto Top
Hallo aqui,

ok ich fang nochmal ganz von vorne an!
Wir haben als Kunde kein 217er Netz sondern nur ein 217er GW!

Um dir das plausibler zu machen hier meine Netzwerkkonfig der eth1:
IP: 80.146.X.22
Subnetz: 255.255.255.224 (/27)
GW: 217.243.191.49
DNS 1: 195.145.119.62
DNS 2: 195.145.119.189

Würden wir die beiden Wege über die FW trennen würde das wie folgt aussehen:

Erstweg:
IP: 80.146.X.22
Subnetz: 255.255.255.224 (/27)
GW: 217.243.191.50
DNS 1: 195.145.119.62
DNS 2: 195.145.119.189
Zweitweg:
IP: 212.X.X.73
Subnetz: 255.255.255.248 (/29)
GW: 217.243.191.51
DNS 1: 195.145.119.62
DNS 2: 195.145.119.189

Zum Gedankensprung wieso dies so angeschafft wurde weiß ich nix.
Nicht mal der aktuelle ITler des Kunden kann mir das beantworten!
Mitglied: aqui
aqui 25.04.2017 aktualisiert um 16:29:57 Uhr
Goto Top
Wir haben als Kunde kein 217er Netz sondern nur ein 217er GW!
Das ist ja unlogisch, denn jeder Netzwerker weiss das zu einer IP Adresse auch immer ein Netzwerk gehört, denn wie sollte das sonst funktionieren ? Man kann nur hoffen das dir die einfachen Grundlagen des IP Adressing bekannt sind ??

Wenn ihr also einzig nur eine 217er Gateway IP bekommen hat dann muss sich dahinter ja mindestens ein IP Netzwerk mit minimal 3 möglichen IP Host Adressen befinden sofern in dem Netzwerk 2 Provider Router aktiv sind.
Host 1 = Provider Router 1
Host 2 = Provider Router 2
Host 3 = Kundenrouter
Ein /30er Prefix reicht hier also de facto nicht ! (OK bei Cisco mit konfiguriertem ip subnet zero würde das gerade auch noch gehen.)
Minimal wäre also ein /29 erforderlich mit 6 möglichen Hostadressen. Wenn du dein Firewall Cluster und ggf. noch Virtuelle Gateway IPs in diesem Netzwerk abbilden musst.
Das ist ja nun mal Fakt und erste Klasse IP Adressierung was der Azubi im ersten Lehrjahr lernt.
Du kannst also wohl kaum eine 217er Gateway IP in einem 80er IP Subnetz bekommen.
Wie sollte das bitte sehr gehen ohne jetzt wilde technische Klimmzüge zu beachten. IP technisch ist das vollkommen unmöglich.

Vor dem Hintergrund dieser einfachen und banalen IP Adressierungs Grundlagen ist allein deine Konfig von eth1 (sorry) barer Unsinn und zeigt eher schwere Defizite im Wissen von IP Adressen !
Aus IP Sicht ist diese Adressierung nicht möglich.
Das weisst du aber vermutlich selber (hoffentlich), denn das sind ja nun mal die banalsten Grundregeln im IP die man in einem Administrator Forum nun nicht nochmal durchkauen muss.
Ab 1:03 beginnt der für dich zum Verständnis deiner Fehler wichtige Teil !!!

Bevor du das nicht wirklich verinnerlicht und verstanden hast und dir damit die falsche und unsinnige eth1 Adressierung bewusst ist müssen wir hier gar nicht erst weiter machen !!
Kein großes Wunder also das dein IP Routing im völligen Chaos endet.

Kläre also als Allererstes auch wasserdicht WIE die Adressierung der beiden IP Subnetze an den Ports der DTAG Router realisiert ist.
Das ist der Schlüssel zum richtigen IP Design der Restkomponenten. Binsenweisheiten die man eigentlich schon mit dem gesunden Menschenverstand erkennt. Sorry für die harten Worte das ist hier nicht bös' gemeint aber die Fakten oben zeigen das du dir da besser dringend jemanden an die Hand nehmen solltest der wirklich weiss was TCP/IP, IP Adressen und Routing sind.
Mitglied: denny86
denny86 25.04.2017 aktualisiert um 19:42:48 Uhr
Goto Top
Hi aqui,

mal die IPs offen auf den Tisch gelegt!

Ich habe genug IP Grundlagen Wissen, dass ich aus meinem IP Netz die Bereiche lesen kann. face-smile
IP Maske: 80.146.193.0
Range: .1-.30
Broadcast: 80.146.193.31
Subnetz: 255.255.255.224 oder /27
Weshalb ich von der DTAG nun ein VIP-GW mit
217.243.191.49
bekomme weiß ich nicht!

Die Aussage des Second-Level-Supports war sinngemäß, dass sie mein 80er Netz und mein 212er Netz durch dieses 217er Netz routen!

Wie die das machen ist mir selbst schleierhaft!

Habe insgesamt 3 Stunden am Stück mit denen telefoniert und bin die komplette IP Konfig so mit denen durchgegangen und die haben mir bestätigt, dass das wie oben angegeben passt! schulterzuck

Aber ich lasse mich gerne eines besseren belehren und frage morgen nochmals nach dem GW!!!
Mitglied: aqui
Lösung aqui 26.04.2017 aktualisiert um 11:49:27 Uhr
Goto Top
OK, wenns mit dem Grunlagen Wissen zum Layer 3 so bestellt ist können wir ja weiter machen... face-wink
Fakt ist aber ja, und das weisst du als Netzwerker ja auch dann selber, das du niemals soe eine unsinnige IP Interface Konfig machen kannst wie oben am eth1 Port. Das das IP technischer Quatsch ist leichtet spätestens nach dem YouTube Video ein.

Das deine beiden Subnetze über das 217er Transfer Netz geroutet werden ist durchaus normal und üblich.
Rein aus Layer 3 Sicht sähe das dann so aus:

firewallcisco2a

Ein simples Standardszenario bei Nutzern die ein oder mehrere Subnetze vom Provider bekommen.
Dir ist aber als Netzwerker ja auch vollkommen klar, das dann ein Router zwischen diesen IP Netzen kommunizieren muss. Ob das letztlich jetzt ein Router oder eine Firewall wie bei dir ist spielt routingtechnisch erstmal keinerlei Rolle.
Wenn das Design aber so aussieht (und das ist sehr wahrscheinlich), dann bekommst du von der DTAG auch eine IP Adresse genannt die dein Router haben muss.
Das ist auch klar, denn der Provider muss ja so das Routing auf die Subnetze vorgeben und dazu braucht er zwingend eine feste IP Adresse. So bekommst du also in der Regel vom Provider das Subnetz genannt, seine vergebenen IP Adressen, deine zu verwendende Gateway IP Adresse und die DNS Server.
In der o.a. Beispielskizze ist es jetzt angenommen mal die .22
Meist liegen diese IP Adressen aber immer am oberen oder unteren Rand der gültigen Host Adressen.
Damit ist dann so ein grundlegendes Design wie oben fehlerfrei abzubilden.
Fakt ist auch das dir das scheinbar nicht bekannt ist oder du hast das nicht hinterfragt oder die Provider Unterlagen konsultiert.
Die DTAG geht mit ziemlicher Sicherheit von so einem Design aus oder schreibt es vor.
Fazit:
Konsultiere deren Hotline oder Kundenbetreuer und frage das unter Zuhilfenahme der Skizze und der bekannten IP Adressierung so ab.
Niemals fährt die DTAG 2 oder mehr IP Netze auf einem Draht ! Das ist auch sicher.
Mitglied: denny86
denny86 28.04.2017 um 15:54:28 Uhr
Goto Top
Hi aqui,

mea culpa.

Ich sah den Wand vor lauter Bäumen nicht mehr. face-smile

Nach einem ausführlichen weiteren Gespräch mit einem technisch versierten Telekom-Mitarbeiter sind wir zu folgendem Schluss gekommen:

Wir haben nun vor unsere Firewall einen Switch gehängt, welcher nun die IP 217.243.191.52 / 29 hat.
Hierauf werden die beiden Netze für uns geroutet.

Ich habe dann auf unserem Router (eigenes VLAN) die 80er und 212er Netze an die IP unserer FW geroutet und die Gegenrouten gesetzt.
Siehe da alles funktioniert und der Kunde ist glücklich. face-wink

Ist für uns selbst ärgerlich, wenn wir bei Kunden mit widersprüchlichen Aussagen/Daten versorgt werden und dieses erst mühselig auseinander pfrimeln müssen. Da kommt es leider auch leicht dazu, dass man solche "Banalitäten" übersieht.

Dennoch vielen Dank für eure überaus geduldige und wissenhafte Hilfe.

Grüße denny
Mitglied: aqui
aqui 28.04.2017 aktualisiert um 16:17:05 Uhr
Goto Top
Ich sah den Wand vor lauter Bäumen nicht mehr.
Passiert dem besten Netzwerker mal face-wink
Wir haben nun vor unsere Firewall einen Switch gehängt, welcher nun die IP 217.243.191.52 / 29 hat.
Einen Layer 3 Routing Switch ???
Ein normaler L2 Switch kann ja nicht routen !
Hierauf werden die beiden Netze für uns geroutet.
Siehst du...genau wie oben schon vermutet face-wink
Ich habe dann auf unserem Router (eigenes VLAN) die 80er und 212er Netze an die IP unserer FW geroutet und die Gegenrouten gesetzt.
Auch genau wie oben ja schon mehrfach beschrieben... Lagen wir also gar nicht mal so falsch face-wink
Siehe da alles funktioniert und der Kunde ist glücklich.
Dann können wir ja entspannt ins lange Wochenende face-wink
Und du hast hoffentlich deine Routing Lektion gelernt ??!! Allein deine eth Konfig zeigt das du nicht wirklich wasserdicht in dem metier bist wenn man eine vorsichtige, kollegiale Kritik angebracht ist.
Und Kunden darfst du niemals fragen. Die haben niemals eine wirkliche Ahnung schon gar nicht bei solch komplexeren Designs wie oben.
Da fragt man immer den Netzwerker auf der anderen Seite und niemand anderen. Aber auch das ist eine simple Binsenweisheit die man als Netzwerker kennt.
Dennoch vielen Dank für eure überaus geduldige und wissenhafte Hilfe.
Immer gerne wieder... face-smile
Mitglied: denny86
denny86 01.05.2017 um 19:31:58 Uhr
Goto Top
Einen Layer 3 Routing Switch ???

Wir haben den CISCO 4506 dazwischen gehängt mit einem eigenen VLAN, dort eine 217er IP vergeben und die Routen für das 80er und 212er Netz drauf gelegt.

Und du hast hoffentlich deine Routing Lektion gelernt ??!! Allein deine eth Konfig zeigt das du nicht wirklich wasserdicht in dem metier bist wenn man eine vorsichtige, kollegiale Kritik angebracht ist.

Wie gesagt Lektion eher verlernt (wenn man sie nur alle 1-2 Jahre mal braucht -.-)
Die Konfig der eth1 ist aber die selbe geblieben. Wir nutzen als GW immer noch die 217.X.X.49 und als IP die 80.X.X.22 jedoch mit dem Unterschied, dass der CISCO nun die 80er IPs an die .22 routet. face-smile
(Best-Practive laut DTAG Techniker face-plain )

Und Kunden darfst du niemals fragen.

Es ist aber wirklich grausam, wenn man 3 Menschen beim Kunden hat, die sich ITler und Netzwerktechniker schimpfen, aber wirklich 0 Ahnung von ihrem eigenen Netzwerk haben. (weder intern noch extern!)

Denke hier werden wir die nächste Zeit noch einiges an Arbeit haben! face-big-smile
Mitglied: aqui
aqui 02.05.2017 aktualisiert um 11:05:19 Uhr
Goto Top
Wir haben den CISCO 4506 dazwischen gehängt
Uuhhhh...dann aber hoffentlich vollkommen isoliert ???

Der 4506 darf KEINESFALLS noch IP Interfaces (vlan Interfaces) in den anderen IP Netzen haben !!! Jedenfalls NICHT wenn da noch die anderen IP Netze drauf liegen im L3.
Klar, denn sonst hättest du eine direkte Routing Verbindung zwischen diesen IP Netzen was aus Sicherheitsgründen absolut tödlich wäre.
Man kann jetzt nur inständig hoffen das das ein isolierter 4506 ist, der dann nur diese öffentlichen IPs verwendet. Alles andere wärewie gesagt tödlich und ein gravierender Konfig Fehler der natürlich auch erhebliche rechtliche Konsequenzen nach sich ziehen kann, denn so hätte man die Firewall komplett ausgetrickst und die lokalen Netze ohne jeglichen Schutz direkt ins Internet exponiert !!!
Hoffentlich ist das also NICHT der Fall wie du es oben schilderst ??!!

Sollte es dennoch so sein kann man wieder nur inständigst hoffen das dann wenigstens mit wasserdichten IP Accesslisten auf den 4506 Switch L3 vlan Interfaces gearbeitet wurde ??
Generell bleibt das dann aber eine tödliche Konfig, denn ein Fehlpatchen oder keinen Accesslisten und das Unglück nimmt seinen Lauf.

Die öffentlichen IP Netze gehören IMMER strikt getrennt von lokalen Netzen. Den Grund muss man ja nun nicht erklären.
Sie sollten logischerweise IMMER direkt auf den Firewalls enden mit dedizierter HW.
Wir nutzen als GW immer noch die 217.X.X.49 und als IP die 80.X.X.22 jedoch mit dem Unterschied, dass der CISCO nun die 80er IPs an die .22 routet
Das ist wie oben schon mehrfach ausgeführt völliger Quatsch und kann aus IP Sicht nie funktionieren !!
Du kannst niemals auf einem IP Interface, egal wo, eine IP Adresse aus Netzwerk X konfigurieren und als Gateway IP dann eine Netzwerk Y IP verwenden.
Wie sollte das gerät diese Gateway IP je verwenden können wenn sie nicht im eigenen Netzwerk X liegt ??
Dazu ist oben ja bereits alles gesagt worden, das ist IP Routing Grundschule, erste Klasse. Das o.a. YouTube Filmchen sagt alles dazu.

Du pinkelst ja auch nicht in deinen Autotank und behauptest im Mechaniker Forum das du damit 100km fährst mit 200km/h auf der Autobahn. Das glaubt dir dort kein Mensch und auch nicht irgendwo anders.
Also halte dich an die Fakten und Standards, dann nimmt man dich auch Ernst.
Und tue bitte endlich etwas für dein IP Adressierung und Routing Wissen bevor du so einen Unsinn in einem Administrator Forum verbreitest !!!
Das ist jetzt nett aber auch Ernst gemeint.
Denke hier werden wir die nächste Zeit noch einiges an Arbeit haben!
In der Tat !!! Aber kehre auch mal vor deiner eigenen Tür. Vor allem solltest DU erstmal an DEINEM Grundwissen arbeiten ! In dem Thread hier ist ja alles dazu bereits gesagt.
Von den Kollegen beim Kunden wollen wir jetzt erstmal gar nicht reden.