[ERL.] Auswertung: Routing-Tag, Schnittstellen-Tag, Firewall

chroiss · Beitrag von **chroiss** » 28 Mai 2016, 11:43

Moin,

hab da mal wieder ne Frage

Routingtabelle

|-----------------+---------------+-------------+---------------+---------+------------+-------|
|      IP-Adresse |     Netzmaske | Routing-Tag | Router        | Distanz | Maskierung | Aktiv |
|-----------------+---------------+-------------+---------------+---------+------------+-------|
| 255.255.255.255 |       0.0.0.0 |           0 | Telekom       |       0 | An         | Ja    |
| 255.255.255.255 |       0.0.0.0 |           1 | 1und1         |       0 | An         | Ja    |
|      90.90.90.0 | 255.255.255.0 |         100 | CISCO-1-IPSEC |       0 | Aus        | Ja    |
|       10.10.0.0 | 255.255.255.0 |           0 | CISCO-2-IPSEC |       0 | Aus        | Ja    |
|-----------------+---------------+-------------+---------------+---------+------------+-------|

Netze

Code: Alles auswählen

|--------------+---------------+---------------+-------------+---------+---------------+---------------+-----+-----------|
| Netzwerkname |    IP-Adresse |     Netzmaske | Netzwerktyp | VLAN-ID | Schnittstelle | Adressprüfung | Tag | Kommentar |
|--------------+---------------+---------------+-------------+---------+---------------+---------------+-----+-----------|
|          100 | 192.168.100.0 | 255.255.255.0 | Intranet    |     100 | LAN-1         | Flexibel      | 100 |           |
|          110 | 192.168.110.0 | 255.255.255.0 | Intranet    |     110 | LAN-1         | Flexibel      | 100 |           |
|          120 | 192.168.120.0 | 255.255.255.0 | Intranet    |     120 | LAN-1         | Flexibel      | 100 |           |
|          130 | 192.168.130.0 | 255.255.255.0 | Intranet    |     130 | LAN-1         | Flexibel      | 200 |           |
|--------------+---------------+---------------+-------------+---------+---------------+---------------+-----+-----------|

1) Netz 120 in der Firewall bekommt noch ein Routing Tag 1 , so dass dessen
Internet-Traffic ueber 1und1 geroutet wird. Die Default Route mit 0
gilt ja aber auch (und zusaetzlich die Route mit dem Routing-Tag 100)
?! Ist das also falsch konfiguriert, oder ist das ok, da das
Routing-Tag 1 in der Firewall zuerst ausgewertet wird?

Wenn dem so ist, wie wird die Routingtabelle fuer das Netz 120 denn
zusammengesucht? Firewall-Routing + Schnittstellentag-Routing +
Default-Routing - dann muesste es ja so aussehen:

RoutingTabelle fuer Netz 120 ?

Code: Alles auswählen

|-----------------+---------------+-------------+---------------+---------+------------+-------|
|      IP-Adresse |     Netzmaske | Routing-Tag | Router        | Distanz | Maskierung | Aktiv |
|-----------------+---------------+-------------+---------------+---------+------------+-------|
| 255.255.255.255 |       0.0.0.0 |           1 | 1und1         |       0 | An         | Ja    |
|      90.90.90.0 | 255.255.255.0 |         100 | CISCO-1-IPSEC |       0 | Aus        | Ja    |
|       10.10.0.0 | 255.255.255.0 |           0 | CISCO-2-IPSEC |       0 | Aus        | Ja    |
| 255.255.255.255 |       0.0.0.0 |           0 | Telekom       |       0 | An         | Ja    |
|-----------------+---------------+-------------+---------------+---------+------------+-------|

Dann gaebe es ja zweimal eine Default Route mit gleiher Distanz ????

2) 130 muesste doch alles was ins Netz 90.90.90.0 geht ueber die Telekom
routen?

3) 100, 110 und 120 muesste doch alles was ins Netz 90.90.90.0 geht ueber
CISCO-1-IPSEC routen ?

Die Frage 2 und 3 muesste mMn mit einem einfachen "ja" zu beantworten
sein. Aber bei Frage(n) 1 steh ich echt aufm Schlauch.

Viele Gruesse

5624 · Beitrag von **5624** » 29 Mai 2016, 13:11

Über die Firewall wird das Tag geändert, also sobald du über die Firewall eine Markierung vornimmst, gilt diese, alles andere wird ignoriert. Wenn du das Netz mit 1 markierst, gilt die Default-Route über 1und1. Da du keine anderen Routen hast, die das Routingtag 1 haben, wird nichts weiter in die virtuelle Routingtabelle für das 120er Netz aufgenommen. Leider hast du die Firewallregeln vergessen. Da die einzige passende Route eine Defaultroute ist und keine spezifischen Routen existieren, wird auch nichts weiter ausgewertet, auch nicht die Defaultroute mit der 0 zur Telekom.

Je nachdem, wie die Firewall aussieht, gibt es zwei Möglichkeiten, wie deine Routingtabelle aussehen könnte

Nr. 1, wenn du dafür sorgst, dass der Traffic zu 90.90.90.0/24 nicht ummarkiert wird:

Code: Alles auswählen

|-----------------+---------------+-------------+---------------+---------+------------+-------|
|      IP-Adresse |     Netzmaske | Routing-Tag | Router        | Distanz | Maskierung | Aktiv |
|-----------------+---------------+-------------+---------------+---------+------------+-------|
|       10.10.0.0 | 255.255.255.0 |           0 | CISCO-2-IPSEC |       0 | Aus        | Ja    |
|      90.90.90.0 | 255.255.255.0 |         100 | CISCO-1-IPSEC |       0 | Aus        | Ja    |
| 255.255.255.255 |       0.0.0.0 |           1 | 1und1         |       0 | An         | Ja    |
|-----------------+---------------+-------------+---------------+---------+------------+-------|

Nr. 2, wenn du pauschal alles aus dem 120er Netz auf 1 taggst:

Code: Alles auswählen

|-----------------+---------------+-------------+---------------+---------+------------+-------|
|      IP-Adresse |     Netzmaske | Routing-Tag | Router        | Distanz | Maskierung | Aktiv |
|-----------------+---------------+-------------+---------------+---------+------------+-------|
|       10.10.0.0 | 255.255.255.0 |           0 | CISCO-2-IPSEC |       0 | Aus        | Ja    |
| 255.255.255.255 |       0.0.0.0 |           1 | 1und1         |       0 | An         | Ja    |
|-----------------+---------------+-------------+---------------+---------+------------+-------|

Die Reihenfolge ist so, dass erst die Schnittstellentags greifen, die Firewall kann aber überschreiben. Erst anschließend wird die Routingtabelle abgearbeitet. Beginnend mit der am meisten spezifischen Route. Ist eine getaggte Route da und das Tag passt zu einem Schnittstellentag oder einer Firewallmarkierung, wird diese genommen ansonsten gelten ungetaggte Routen.

chroiss · Beitrag von **chroiss** » 29 Mai 2016, 14:02

Perfekt! Da sind wirklich alle Antworten drin, die ich brauchte. Vielen Dank fuer die ausfuehrliche Darstellung.
Mir war tatsaechlich nicht so klar, dass ich mit der Firewall ein Schnittstellentag und die damit verbundenen Routen, komplett ueberschrieben bzw. aus der virtuellen Routingtabelle des entsprechenden Netzes "austragen" kann.

Viele Dank nocheinmal.

chroiss · Beitrag von **chroiss** » 30 Mai 2016, 10:08

Hmm, laut deiner Erklaerung duerfte das folgende Verhalten aber nicht auftreten:

Wenn ich aus dem Netz 192.168.120.0/24 (mit SchnittstellenTag 100) eine Verbindung zu einem Rechner aus 90.90.90.0/24 aufbaue und dabei folgende FirewallRegel und damit auch Ummarkierung des Routing-Tags aktiv ist,

Bild

sollten die Pakete doch ueber TELEKOM Geroutet werden, (Nur mal zur Ergaenzung: die 1und1 Route ist lediglich fuer SIP und damit Telefonie exclusiv fuer 192.168.120.0)
anstatt ueber CISCO-1-IPSEC, da das Routing- bzw, Schnittstellentags des Netzes 192.168.120.0 von 100 auf 0 umgeschrieben wird. Jedenfalls nachdem wie ich dich verstanden habe.

Code: Alles auswählen

|-----------------+---------------+-------------+---------------+---------+------------+-------|
|      IP-Adresse |     Netzmaske | Routing-Tag | Router        | Distanz | Maskierung | Aktiv |
|-----------------+---------------+-------------+---------------+---------+------------+-------|
|       10.10.0.0 | 255.255.255.0 |           0 | CISCO-2-IPSEC |       0 | Aus        | Ja    |
|      90.90.90.0 | 255.255.255.0 |         100 | CISCO-1-IPSEC |       0 | Aus        | Ja    |
| 255.255.255.255 |       0.0.0.0 |           1 | 1und1         |       0 | An         | Ja    |
| 255.255.255.255 |       0.0.0.0 |           0 | Telekom       |       0 | An         | Ja    |
|-----------------+---------------+-------------+---------------+---------+------------+-------|

Das passiert aber nicht, wenn ich mir die connection-list ansehe:

Code: Alles auswählen

|-----------------+--------------+-------+----------+----------+---------+---------+----------+-------------------------+-----------+---------------|
|     Src-Address |  Dst-Address | Prot. | Src-Port | Dst-Port | Rtg-tag | Timeout |    Flags | Filter-Rule             | Src-Route | Dest-Route    |
|-----------------+--------------+-------+----------+----------+---------+---------+----------+-------------------------+-----------+---------------|
| 192.168.120.157 | 90.90.90.xxx |     1 |     2048 |     3600 |     100 |      10 | 80048008 | FW-IPSEC-LAN-TO-CISCO-1 |           | CISCO-1-IPSEC |

Viele Gruesse

chroiss · Beitrag von **chroiss** » 30 Mai 2016, 12:28

Ich zitiere mich mal selber und verweise auf die Doku

da das Routing- bzw, Schnittstellentags des Netzes 192.168.120.0 von 100 auf 0 umgeschrieben wird

Um eine Ummarkierung auf 0 durchzufuehren muesste man 65535 eintragen. Seteht tatsaechlich so in der PDF-Doku:

"Das Routing-Tag 0 bedeutet hier 'nicht markieren'. Wenn das Gerät Datenpakete in ein mit 0 getaggtes Netz
leiten soll, tragen Sie hier bitte 65535 ein."

Viele Gruesse

Jirka · Beitrag von **Jirka** » 30 Mai 2016, 12:34

Hi,

das Routing-Tag 0 hat die Bedeutung nichts zu ändern, wenn Du wirklich mit dem Routing-Tag 0 markieren willst, musst Du es mit 65535 tun.

Viele Grüße,
Jirka

LANCOM-Forum.de

[ERL.] Auswertung: Routing-Tag, Schnittstellen-Tag, Firewall

[ERL.] Auswertung: Routing-Tag, Schnittstellen-Tag, Firewall

Re: Auswertung: Routing-Tag, Schnittstellen-Tag, Firewall

Re: Auswertung: Routing-Tag, Schnittstellen-Tag, Firewall

Re: [Erl.]Auswertung: Routing-Tag, Schnittstellen-Tag, Firew

Re: Auswertung: Routing-Tag, Schnittstellen-Tag, Firewall

Re: [ERL.] Auswertung: Routing-Tag, Schnittstellen-Tag, Fire