Hallo und ein gesundes neues Jahr 2017!
Ich habe da gleich einmal eine Frage.
Es gibt ja die Option im IP-Router "ICMP-Redirects senden". Laut dieser Doku macht der für den Client als Standard-Gateway gesetzte Router A dem Client weitere Router B für andere Zielnetze bekannt.
Was ich noch nicht verstehe, was muss ich am Router A konfigurieren, damit er das Zielnetz über Router B bekannt gibt, aber lokales Routing vermieden wird? Wenn ich in der Routing Tabelle des Router A das Zeilnetz über Router B angebe, macht er einfach lokales Routing. Ich merke nichts von ICMP-Redirects. Nach meiner Recherche kann die Windows-Welt mit ICMP-Redirects umgehen, z.B. Server 2008R2. Ich habe bisher noch nicht herausgefunden, wie ich mir soganannte "dynamic host routes" anzeigen lassen kann, ein "route print" zeigt mir jedenfalls keine (vielleicht auch weil es vom Router A aus noch gar nicht funktioniert). Mit einer statischen Router per route add ist mir alles klar, aber da fummel ich an jeder Kiste.
Kann mir das bitte jemand erklären?
Gruß Bernie
ICMP-Redirects
Moderator: Lancom-Systems Moderatoren
-
Bernie137
- Beiträge: 1700
- Registriert: 17 Apr 2013, 21:50
- Wohnort: zw. Chemnitz und Annaberg-Buchholz
ICMP-Redirects
Man lernt nie aus.
Re: ICMP-Redirects
Hallo Bernie,
danke, ebenfalls.
Im Normalfall sind ICMP-Redirects von Windows blockiert. Das musst Du in der Firewall explizit erlauben. Dazu musst Du eine eingehende Firewall-Regel erstellen, die das erlaubt. (Firewall -> Erweiterte Einstellungen -> Eingehende Regeln) -> Neue Regel -> Benutzerdefiniert -> Protokolle und Ports -> ICMPv4 -> ICMP-Einstellungen -> Anpassen -> glaube Umleiten (anschließend noch Namen für die Regel vergeben).
Viele Grüße,
Jirka
danke, ebenfalls.
Im Normalfall sind ICMP-Redirects von Windows blockiert. Das musst Du in der Firewall explizit erlauben. Dazu musst Du eine eingehende Firewall-Regel erstellen, die das erlaubt. (Firewall -> Erweiterte Einstellungen -> Eingehende Regeln) -> Neue Regel -> Benutzerdefiniert -> Protokolle und Ports -> ICMPv4 -> ICMP-Einstellungen -> Anpassen -> glaube Umleiten (anschließend noch Namen für die Regel vergeben).
Viele Grüße,
Jirka
-
Bernie137
- Beiträge: 1700
- Registriert: 17 Apr 2013, 21:50
- Wohnort: zw. Chemnitz und Annaberg-Buchholz
Re: ICMP-Redirects
Hallo Jirka,
danke für Deinen Hinweis, aber daran liegt es nicht bzw. funktioniert alles so wie es soll. Was heißt das jetzt genau...
Vielmehr habe ich eine ganz andere Erwartung gehabt, als was ICMP-Redirects macht/ist. Hier steht es ja eigentlich auch ganz konkret da:
Ich konnte mir das mit dem trace + ip-router gepaart mit Wireshark anschauen. Bei Bedarf kann ich das gerne hier posten. Also für meinen Geschmack ist diese Funktion (ICMP-Redirect) keine tolle Erfindung. Aber ich kann es drehen und wenden wie ich will, lokales Routing ist eher noch schlechter. In meinem Beispiel hatte ich simpel auf eine https Seite zugegriffen. Das waren gefühlt 50 Anfragen, die der Client an den Router schickt. Entweder schickt der Router ohne ICMP-Redirect die 50 Anfragen an den nächsten Router im LAN und begrenzt es durch seine eigene Routing Performance, oder im Fall von aktivierten ICMP-Redirects sendet er 50 Antworten an den Client, in denen er jedesmal für das eine Paket den zweiten Router im LAN mitteilt. Nun stelle man sich einmal 200 Clients vor...
Sobald alle Clients/Server über 2 Router im LAN verschiedene Netze erreichen sollen und man nur über die Router selbst das Vorhaben löst, dann verdoppelt sich der Traffic im LAN. Klar ist ein ICMP-Redirect Paket viel kleiner als das eigentliche Datenpaket, aber in Summe belastet das Router und LAN trotzdem?
Hab ich einen Denkfehler? Löst man es eleganter?
Ich denke gerade an lokale Hostrouten:
- Script per GPO
- Registry-Eintrag per GPO
- statische Routen per DHCP ausrollen
Gruß Bernie
danke für Deinen Hinweis, aber daran liegt es nicht bzw. funktioniert alles so wie es soll. Was heißt das jetzt genau...
Vielmehr habe ich eine ganz andere Erwartung gehabt, als was ICMP-Redirects macht/ist. Hier steht es ja eigentlich auch ganz konkret da:
Die Betonung liegt hier auf JEDES empfangene PAKET ... wird beantwortet D.h. es wird nicht eine Art Route auf dem Host gesetzt oder irgendwie auch nur ansatzweise für eine kurze Zeit die Route behalten, sondern jedes einzelne besch... Paket wird mit einem ICMP-Redirect beantwortet. Das ist jetzt kein Schimpfen auf Lancom, die haben es ja nicht erfunden. Ich hatte die Erwartung, dass ähnlich wie ARP ein Cache auf dem Client genutzt wird.ICMP-Redirects senden:
Jedes empfangene Paket, für das eine lokale Route existiert, wird mit einem ICMP-Redirect beantwortet, wenn sich die Quelle des Pakets im lokalen Netz befindet.
Ich konnte mir das mit dem trace + ip-router gepaart mit Wireshark anschauen. Bei Bedarf kann ich das gerne hier posten. Also für meinen Geschmack ist diese Funktion (ICMP-Redirect) keine tolle Erfindung. Aber ich kann es drehen und wenden wie ich will, lokales Routing ist eher noch schlechter. In meinem Beispiel hatte ich simpel auf eine https Seite zugegriffen. Das waren gefühlt 50 Anfragen, die der Client an den Router schickt. Entweder schickt der Router ohne ICMP-Redirect die 50 Anfragen an den nächsten Router im LAN und begrenzt es durch seine eigene Routing Performance, oder im Fall von aktivierten ICMP-Redirects sendet er 50 Antworten an den Client, in denen er jedesmal für das eine Paket den zweiten Router im LAN mitteilt. Nun stelle man sich einmal 200 Clients vor...
Sobald alle Clients/Server über 2 Router im LAN verschiedene Netze erreichen sollen und man nur über die Router selbst das Vorhaben löst, dann verdoppelt sich der Traffic im LAN. Klar ist ein ICMP-Redirect Paket viel kleiner als das eigentliche Datenpaket, aber in Summe belastet das Router und LAN trotzdem?
Hab ich einen Denkfehler? Löst man es eleganter?
Ich denke gerade an lokale Hostrouten:
- Script per GPO
- Registry-Eintrag per GPO
- statische Routen per DHCP ausrollen
Gruß Bernie
Man lernt nie aus.
Re: ICMP-Redirects
Hallo Bernie,
ja, ich bin der Meinung, Du hast da einen Denkfehler.
Wenn der usprüngliche Absender des Paketes einen ICMP-Redirect bekommt und diesen entsprechend auswertet, dann sendet er das nächste Paket gleich an den richtigen (= dafür zuständigen) Router im lokalen LAN. Damit kommen auf dem Default-Gateway die Pakete gar nicht mehr an und es werden auch keine ICMP-Redirects mehr verschickt. Thema erledigt.
Wertet ein Client die ICMP-Redirects nicht aus (und Du hast eingestellt, dass der LANCOM die schicken soll), dann hast Du natürlich das von Dir beschriebene Verhalten.
Aber was ist Dein eigentliches Problem? Man kann auch Routen in den Clients erfassen. Sofern es sich um immer die gleichen Clients handelt, wäre das kein Thema.
Viele Grüße,
Jirka
ja, ich bin der Meinung, Du hast da einen Denkfehler.
Wenn der usprüngliche Absender des Paketes einen ICMP-Redirect bekommt und diesen entsprechend auswertet, dann sendet er das nächste Paket gleich an den richtigen (= dafür zuständigen) Router im lokalen LAN. Damit kommen auf dem Default-Gateway die Pakete gar nicht mehr an und es werden auch keine ICMP-Redirects mehr verschickt. Thema erledigt.
Wertet ein Client die ICMP-Redirects nicht aus (und Du hast eingestellt, dass der LANCOM die schicken soll), dann hast Du natürlich das von Dir beschriebene Verhalten.
Na ja, wenn Du dafür sorgst, dass der Großteil der Clients diesen auswertet, dann ist das schon ok.Bernie137 hat geschrieben:Also für meinen Geschmack ist diese Funktion (ICMP-Redirect) keine tolle Erfindung.
Aber was ist Dein eigentliches Problem? Man kann auch Routen in den Clients erfassen. Sofern es sich um immer die gleichen Clients handelt, wäre das kein Thema.
Viele Grüße,
Jirka
-
Bernie137
- Beiträge: 1700
- Registriert: 17 Apr 2013, 21:50
- Wohnort: zw. Chemnitz und Annaberg-Buchholz
Re: ICMP-Redirects
Hallo Jirka,
danke Dir für Deine Antwort. Was soll ich sagen, Du hast Recht!
Ich habe mich vom Trace in die Irre leiten lassen:
Durch Redirect to 10.10.0.4 habe ich es für reine Redirect Antworten gehalten und das darunter stehende Route: 10.10.0.4 nicht beachtet. Dieses Tracepaket bedeutet aber, dass er sowohl ein Redirect sendet, es aber auch routet. Da ich aber ganz viele von diesen Paketen beim Aufruf der https Seite sehe, liegst Du mit Deiner ersten Aussage zur Windows-Firewall goldrichtig. Mach ich diese aus, erscheinen nur 2 Redirects anstatt 50 oder mehr. Dann ist diese Geschichte schon wesentlich sinnvoller. Damit könnte ich die ICMP-Redirects der Firewall per GPO freischalten.
Gruß Bernie
danke Dir für Deine Antwort. Was soll ich sagen, Du hast Recht!
Ich habe mich vom Trace in die Irre leiten lassen:
Code: Alles auswählen
[IP-Router] 2017/01/05 11:05:58,343 Devicetime: 2017/01/05 11:05:58,246
IP-Router Rx (LAN-1, INTRANET, RtgTag: 0):
DstIP: 10.1.1.2, SrcIP: 10.10.20.99, Len: 40, DSCP/TOS: 0x00
Prot.: TCP (6), DstPort: 443, SrcPort: 63878, Flags: A
Seq: 1017203271, Ack: 573862102, Win: 16520, Len: 0
Redirect to 10.10.0.4, LAN-1 Tx (INTRANET)):
Route: 10.10.0.4, LAN-1 Tx (INTRANET):
Richtig, nur möchte ich das nicht von Hand. Ich hatte es ja in meiner vorherigen Antwort zum Schluss angedeutet (lokale Hostrouten) und werde auch das weiter verfolgen.Aber was ist Dein eigentliches Problem? Man kann auch Routen in den Clients erfassen.
Wie meinst Du das?Sofern es sich um immer die gleichen Clients handelt, wäre das kein Thema.
Gruß Bernie
Man lernt nie aus.
Re: ICMP-Redirects
Hi,
na ja, wie soll ich das meinen? Ist doch klar. Du kannst eine Route anlegen (dauerhaft). Aber das nützt Dir gar nichts, wenn da morgen ein anderer PC an der Stelle genutzt wird, der die Route dann nicht konfiguriert hat. Verstehst?
Viele Grüße,
Jirka
na ja, wie soll ich das meinen? Ist doch klar. Du kannst eine Route anlegen (dauerhaft). Aber das nützt Dir gar nichts, wenn da morgen ein anderer PC an der Stelle genutzt wird, der die Route dann nicht konfiguriert hat. Verstehst?
Viele Grüße,
Jirka