Routing zwischen verschiedenen VRRP-Routern und ARF-Netzen

[fildercom]

Hallo zusammen,

ich habe mal wieder ein kleines Routing-Problem, das sich sicherlich lösen lässt, nur wie?

Daher beschreibe ich erst einmal die Ausgangslage:
Es gibt zwei phys. Router (A und B). Auf beiden sind mehrere virtuelle VRRP-Router sowie mehrere ARF-Netze konfiguriert.
Der Zugriff von einem ARF-Netz (0) auf ein anderes (beliebiger Wert) klappt nur, wenn beide Clients denselben phys. Router als Gateway nutzen.

Wenn ich nun aber von einem Client, welcher sich in einem ARF-Netz (0) befindet, welches Router A als Gateway benutzt, auf einen anderen Client zugreifen will, welches sich in einem ARF-Netz befindet (1), welches Router B als Gateway benutzt, ist der Zugriff nicht möglich.
Der Zugriff klappt, wenn die Internetverbindung auf Router A ausfällt und im VRRP-Verbund Router B "einspringt", was auch logisch ist.

Die ARF-Netze sind wohlgemerkt auf beiden phys. Routern A und B vorhanden und korrekt konfiguriert.

Was muss konfiguriert sein, damit ich permanent Zugriff auch auf andere ARF-Netze habe, die ein anderes Gateway nutzen?

Viele Grüße und vielen Dank
fildercom.

[backslash]

Hi fildercom,

in dem Fall kommst du mit einem einzelnen Gateway auf den Clients nicht aus....

Hier hilft eigentlich nur, für das Routing zwischen den ARF-Netzen eine eigene VRRP-Gruppe einzurichten (damit das Ganze auch ausfallsicher ist) und den auf Clients explizit Routen zu den ARF-Netzen zu setzen, die dann die virtuelle IP dieser VRRP-Gruppe als Gateway verwenden....

Gruß
Backslash

[fildercom]

Hallo backslash,

danke für die schnelle Antwort. Ich habe es schon so konfiguriert, dass die Clients jeweils einen VRRP-Router als Gateway nutzen.

Trotzdem gibt es aber auch hier Unterschiede, die einen bekommen einen VRRP-Router, bei dem der phys. Router A die höchste Priorität hat, die anderen Clients bekommen einen VRRP-Router bei dem der phys. Router B die höchste Priorität hat. In diesem Fall ist eben leider kein Routing möglich.

Gibt es da irgend einen "Trick"?

Viele Grüße und danke
fildercom.

[backslash]

Hi fildercom

Ich habe es schon so konfiguriert, dass die Clients jeweils einen VRRP-Router als Gateway nutzen.

Die Clients müssen jeweils *ZWEI* VRRP-Router nutzen... den ersten als Default-Gateway um ins Internet zu kommen und den zweiten um zwischen den ARF-Netzen zu routen. Und der zweite VRRP-Router muß für *alle* Clients gleich sein...

Angenommen du hast die ARF-Netze 192.168.1.x, 192.168.2.x und 192.168.3.x. in allen 3 ARF-Netzen hast du bereits zwei virtuelle Router für den Internet-Traffic, z.B. mit den VRRP-IDs 1, 2 und 3 (die in auf Router A Master sind) sowie 4, 5 und 6 (die in auf Router B Master sind).

Damit hast du aber das Problem, daß du die ARF-Netze nicht erreichen kannst, wenn die Clients unterschiedliche VRRP-Router als Gateway nehmen. Abhilfe schaffst du mit je einer weiteren VRP-ID pro ARF-Netz (7, 8, und 9), die aber *ALLE* entweder nur auf Router A oder Router B Master sind.

Auf den Clients erstellst du nun Routen zu den ARF-Netzen und gibst diesen als Next-Hop (aka "Gateway") den VRRP-Router 7, 8 oder 9 - je nach ARF-Netz im dem sich der jeweilig Client befindet...

Gruß
Backslash

[fildercom]

Hallo backslash,

danke für die gute Erklärung. Jetzt habe ich es verstanden. Da ist nur die Frage:
Wie weise ich einem Client mehr als ein Gateway zu? Per DHCP (LANCOM, Windows) sowie statisch?

Genauso den Druckern, Telefonen usw.?

Das ist bei vielen Geräten doch gar nicht möglich (im Vergleich zum DNS, wo man primär, sekundär usw. zuweisen kann).

Gruß
fildercom.

[backslash]

Hi fildercom,

Wie weise ich einem Client mehr als ein Gateway zu? Per DHCP (LANCOM, Windows) sowie statisch?

Um Routen per DHCP zuzuweisen, gibt es zum einen die Option 33 (DHCP Router Option), die aber Klasse A, B oder C Routren zuweien kann. Für Classless Routing brauchst du die Option 121...

Hier ist ein schönes Beispiel, wie man das codiert: https://ercpe.de/blog/advanced-dhcp-opt ... to-clients. Wenn du nicht allzu viele ARF-Netze hast, kannst du sie unter IPv4 -> DHCPv4 -> DHCP-Optionen eintragen....

statisch geht das z.B. unter Windows mit route -p add...

Wie du das aber z.B. Druckern und Telefonen beibringst, wenn sie keine DHCP Routen-Option verstehen, kann ich dir nicht sagen... ggf. mußt du diese in ein eigenes ARF-Netz hängen, daß nur einen VRRP-Router (und somit auch nur ein Gateway) kennt...

Gruß
Backslash

[fildercom]

Hallo backslash,

danke für die Erklärungen.

Im Windows DHCP-Server könnte ich auch bei der "normalen" Option "003 Router" mehrere IP-Adressen eintragen. Wäre es hier auch möglich, das zweite Gateway einzutragen, so dass es funktioniert?

Viele Grüße und vielen Dank
fildercom.

[backslash]

Hi fildercom

nein - du muß Option 33 oder 121 verwenden. Schließlich soll das ja kein weiteres Default-Gatreway sein, sondern nur das Gateway zu den ARF-Netzen....

Gruß
Backslash

[fildercom]

Hi fildercom

nein - du muß Option 33 oder 121 verwenden. Schließlich soll das ja kein weiteres Default-Gatreway sein, sondern nur das Gateway zu den ARF-Netzen....

Gruß
Backslash

So, ich muss dieses Thema jetzt nochmal reaktivieren, da ich die Umsetzung bis jetzt aufgeschoben hatte.

Die DHCP-Option 121 beim Windows Server funktioniert wunderbar. Dort gebe ich die Netzwerkadresse des ARF-Netzes, die Subnetzmaske und das dazugehörige Gateway ein und der Client kann sich anschließend mit allen Stationen des Netzes verbinden.



Die Frage ist nun aber:
1. Wie trage ich es beim Windows Server selbst ein, der ja eine *statische* IP-Adresse besitzt und sich nicht selbst per DHCP mit einer Adresse versorgen kann/soll.
EDIT: Google hat die Lösung gefunden: https://www.howtogeek.com/howto/windows ... ing-table/
2. Wie trage ich es bei den Linux-Clients ein, die ebenfalls statische IP-Adressen besitzen?
EDIT: Google hat die Lösung gefunden: https://www.cyberciti.biz/tips/configur ... stems.html

Viele Grüße und vielen Dank
fildercom.

[fildercom]

2. Wie trage ich es bei den Linux-Clients ein, die ebenfalls statische IP-Adressen besitzen?
EDIT: Google hat die Lösung gefunden: https://www.cyberciti.biz/tips/configur ... stems.html

Es geht sogar noch einfacher: Unter Gnome (als root angemeldet) auf "System > Einstellungen > Netzwerkverbindungen" und dann durch folgende Dialogfelder klicken, im Fenster ganz rechts können die Routen genau so eingetragen werden, wie auch beim Windows-Server in der DHCP-Option 121:

[fildercom]

Und hier gleich noch eine weitere Problemstellung, die aufgetaucht ist:
- Wie sieht es mit VPN-Clients aus, die direkt mit dem Hauptnetz (ARF 0) verbunden sind? Kann man im Advanced VPN-Client auch irgendwo die Routen eintragen?

Falls nein, würde ich das eben über eine Batch-Datei realisieren, welche sich im Advanced-VPN-Client ja nach Konnektivität mit dem VPN-Netz automatisch ausführen lässt (wie auch z.B. die Netzlaufwerke verbinden).

Aber vielleicht geht das ja auch irgendwie "eleganter"?

Gruß und danke
fildercom.

[fildercom]

Hallo zusammen,

ich habe gerade etwas mit dem VPN-Client getestet:
Leider schaffe ich es nicht, das Routing in die weiteren ARF-Netze darüber zu realisieren.

Folgendes Szenario:
- Laptop befindet sich an einem Hot Spot / öffentlichen WLAN
- VPN-Client ist mit Router 1 verbunden (Haupt-Netz ARF 0)
- es existieren zwei weitere ARF-Netze 2 und 4
- diese weiteren ARF-Netze nutzen Router 2

Wie setze ich die Routen, damit der VPN-Client den Traffic für die ARF-Netze 2 und 4 zunächst durch den VPN-Tunnel leitet und dann Router 2 als Gateway benutzt, um in diese Netze zu gelangen?

Also im Prinzip genau das Szenario, wie es lokal über die DHCP-Option 121 realisiert wird, nur dass der Traffic durch den VPN-Tunnel durch muss.

Ich hoffe, dass es dafür auch eine Lösung gibt...

Viele Grüße und herzlichen Dank
fildercom.

[backslash]

Hi fildercom,

Wie setze ich die Routen, damit der VPN-Client den Traffic für die ARF-Netze 2 und 4 zunächst durch den VPN-Tunnel leitet und dann Router 2 als Gateway benutzt, um in diese Netze zu gelangen?

eigentlich mußt du nur im Client alle Netze als entfernte Netze eintragen (Split-Tunneling) oder du sagst ihm, er soll einfach alles durch den Tunnel schicken (Default). Den Rest muß der Tunnel-Endpunkt (hier also Router-1) machen. Der sollte ja wissen, wie er die anderen Netze erreicht: entweder statisch konfiguriert oder über ein Routing-Protokoll gelernt.

Gruß
Backslash

[fildercom]

Der sollte ja wissen, wie er die anderen Netze erreicht: entweder statisch konfiguriert oder über ein Routing-Protokoll gelernt.

Das Problem ist, dass einige Netze den "Router 1" nur als VRRP-Standby-Gateway nutzen und die Pakete damit gar nicht über ihn laufen (per Default). Deswegen ja auch die DHCP-Option 121 für die Clients im lokalen Netz.

Wie kann ich "Router 1" beibringen, dass der Pakete von den VPN-Stationen für die anderen ARF-Netze, welche Router 2 als Gateway nutzen, an diesen weiterleitet?

[backslash]

Hi Fildercom,

wenn der Client sich immer in Router 1 einwählt, dann erstellst du in Router 2 eine Route zum Client, die auf Router 1 zeigt - zumindst wenn der Clioent eine statische Adresse zugewiesen bekommt...

Oder aber du läßt beide Router sich per RIP ihre Routen austauschen. Dann wissen sie beide, wie welches Netz erreicht werden soll, auch wenn das ganze dynamisch läuft, - wie z.B. bei einem VPN-Client, der eine IP aus dem WAN-Pool bekommt. Die IPs des Pools dürfen dann aber nicht per Proxy-ARP angebunden sein, sondern müssen quasi in einem eigenen Netz ligen, daß sich außerhalb aller anderen ARF-Nertze befindet. Wenn der VPN-Client an Router 1 nun also ein Paket an einen PC schickt, der Router 2 als Gateway hat, dann wird dieser die Antwort des zunächst an auch Router 2 senden. Da Router 2 aber per RIP gelernt hat, daß der Client sich in Router 1 eingewäht hat, wird er das Paket dahin weiterleiten - siehe auch https://www2.lancom.de/kb.nsf/1275/5478 ... enDocument

Gruß
Backslash