Routing, Anfängerfragen

backslash · Beitrag von **backslash** » 15 Jan 2007, 14:05

Hi paulinus

dann bekomme ich von der Gateway Adresse meines Routers (der [bla].173.146.121) die Meldung "Destination net is unreachable" zurückgemeldet

Hast du die Maskierungsoption der Default-Route auch auf "nur Intranet maskieren" umgestellt? (ACHTUNG: wenn mehrere Routen auf die gleiche Gegenstelle zeigen, dann gilt die Option des ersten Auftretens der Gegenstelle).
Hast du auch - wie bereits vom Provider empfohlen - die WAN-Verbindung kurzzeitig getrennt?

Der einzige Grund, warum ich einzelne IPs für die verschiedenen Domains wollte ist der, dass Google Unterschiede macht, wenn ähnliche Inhalte über gleiche oder unterschiedliche IPs zu erreichen sind. Das bedeutet, von aussen haben die Domains unterschiedliche IPs, intern kann es gerne eine einzige sein, das habe ich im Griff.

Wenn es extern verschiedene Adressen sind, dann muß der Server "intern" genauso viele Adressen besitzen. Ein einkommendes Mapping von N auf eine Adresse ist nicht möglich.

Sollte jemand der Meinung sein, daß NAT nicht geeignet ist, die Sicherheit eines LANs zu erhöhen, kann ich gerne versuchen, den Kontakt zu entsprechenden Redakteuren der c't herzustellen, die selbiges öffentlich behauptet haben.

das gilt aber nur so lange, so lange du keine Dienste hinter dem NAT (also in deinem LAN) per Portforwarding anbietest. Wenn du Dienste im LAN anbietest, dann solltest du dies tunlichst in einer DMZ machen. Das werden dir deine c't Redakteure auch bestätigen - falls nicht, dann sollten sie sich einen anderen Job suchen...

Gruß
Backslash

paulinus · Beitrag von **paulinus** » 15 Jan 2007, 18:50

Hi Backslash,

ich wehre mich ja nicht gegen eine DMZ, ich habe es nur nicht für notwendig erachtet. Letztlich geht es mir darum, das Problem technisch zu lösen, ob mit oder ohne DMZ ist mir dabei nicht so wichtig.

Hast du die Maskierungsoption der Default-Route auch auf "nur Intranet maskieren" umgestellt?

Ja

Hast du auch - wie bereits vom Provider empfohlen - die WAN-Verbindung kurzzeitig getrennt?

Ja.
Ich habe auch alle anderen Hinweise penibel genau befolgt.

Wenn es extern verschiedene Adressen sind, dann muß der Server "intern" genauso viele Adressen besitzen. Ein einkommendes Mapping von N auf eine Adresse ist nicht möglich.

Das ist aber ganz schlecht. Soweit ich weiß, kann ich an minem Server nur eine einzige IP Adresse an jede Netzwerkarte binden, was bedeuten würde, ich müßte für fünf Domains vier weitere Netzwerkkarten einbauen. Bist Du wirklich sicher, daß der Router das nicht kann? In die andere Richtung macht er es ja schon standardmäßig (NAT ist ja nichts anderes, als mehrere IP Adressen auf eine zu mappen).

Grüße,
Paul

backslash · Beitrag von **backslash** » 15 Jan 2007, 19:48

Hi paulinus

Soweit ich weiß, kann ich an minem Server nur eine einzige IP Adresse an jede Netzwerkarte binden, was bedeuten würde, ich müßte für fünf Domains vier weitere Netzwerkkarten einbauen

selbst ein Windows kann mehr als eine IP-Adresse pro Netzwerkkarte. Die weist du über die erweiterten TCP/IP-Einstellungen zu. Da kannst du beliebig viele hinzufügen.

Bist Du wirklich sicher, daß der Router das nicht kann?

100%ig

In die andere Richtung macht er es ja schon standardmäßig (NAT ist ja nichts anderes, als mehrere IP Adressen auf eine zu mappen).

Dabei wird aber die Absenderadresse gemappt und nicht die Zieladresse...

Zum Thema, daß du einen "ICMP network unreachable" bekommst: Was sagt denn ein IP-Router-Trace, wenn du den Zugriff versuchst?

Gruß
Backslash

paulinus · Beitrag von **paulinus** » 16 Jan 2007, 18:55

Hallo Backslash,

also einen Ping auf die .96 und die .97 bekomme ich beantwortet. Traceroute findet auch eine Route dahin. Ab .98 bringt der icmp Ping die Meldung, daß das Zielnetz nicht erreichbar ist und icmp Traceroute meldet eine Route zu der Gatewayadresse (.146.121).

Was mich bislang wundert, ist, daß ich keinen Routing Eintrag vornehmen sollte. Per DHCP erhält der Router doch lediglich die Gatewayadresse für das WAN Interface, die DNS-Einträge etc. oder? RIP ist per default auch abgeschaltet.

Dass man mehrere IP Adressen an die Netzwerkkarte binden kann war mir tatsächlich neu. Ich hatte das allerdings auch noch nie vorher gebraucht. Danke für den Hinweis.

Viele Grüße,
Paul

backslash · Beitrag von **backslash** » 16 Jan 2007, 19:31

Hi paulinus

also einen Ping auf die .96 und die .97 bekomme ich beantwortet. Traceroute findet auch eine Route dahin. Ab .98 bringt der icmp Ping die Meldung, daß das Zielnetz nicht erreichbar ist und icmp Traceroute meldet eine Route zu der Gatewayadresse (.146.121).

ich meinte nicht traceroute sondern den Router-trace des LANCOMs (im Telnet trace + ip-router eingeben)

Was mich bislang wundert, ist, daß ich keinen Routing Eintrag vornehmen sollte

Seinen LAN-Interfaces kennt das LANCOM implizit, weshalb keine Routing-Einträge nötig sind - im Gegenteil: wenn du willst, daß ein Interface nicht erreicht werden soll, dann mußt du es esplizit über die Firewall verbieten.

Per DHCP erhält der Router doch lediglich die Gatewayadresse für das WAN Interface, die DNS-Einträge etc. oder?

du willst ja auf's LAN routen, daher ist es völlig egal, was das LANCOM auf der WAN-Seite sieht.

Trotzdem stelle ich hier mal die Frage: was meinst du mit Gateway-Adresse? Ist das die Adresse, die das LANCOM auf der WAN-Seite hat, oder die Adresse des Routers vor dem LANCOM? Im letzten Fall mußt du natürlich im Router vor dem LANCOM eine Route eintragen, die dein DMZ-Netz auf das LANCOM weiterleitet (aber das sollte ja der Provider gemacht haben)

Gruß
Backslash

paulinus · Beitrag von **paulinus** » 16 Jan 2007, 19:53

Hallo Backslash,

letzte Frage zuerst, mit Gateway Adresse meine ich die WAN Adresse des Routers.

ich meinte nicht traceroute sondern den Router-trace des LANCOMs (im Telnet trace + ip-router eingeben)

Hab ich mal gemacht. Und gleichzeitig von extern einen Ping auf die Adresse, die er nach innen routen sollte. Das Ergebnis von drei Sekunden würde hier den Rahmen sprengen (wird wohl gerade heftig aufs Internet zugegriffen). Allerdings finde ich in der Trace Ausgabe die Adresse, an die ich den Ping abgesetzt habe nicht (noch immer die .100).

Gruß,
Paul

backslash · Beitrag von **backslash** » 17 Jan 2007, 15:56

Hi paulinus

Das Ergebnis von drei Sekunden würde hier den Rahmen sprengen (wird wohl gerade heftig aufs Internet zugegriffen)

du kannst den Trace auch einschränken:

trace + ip-router @ x.x.x.100

(die x mußt du natürlich passend setzen).

Gleichzeitig wäre auch ein Firewall-Trace hilfreich (ggf. auch auf die angepingte IP-Adresse eingeschränkt)

trace + firewall @ x.x.x.100

Gruß
Backslash

paulinus · Beitrag von **paulinus** » 17 Jan 2007, 20:07

Hallo backslash,

also der router-trace sagt folgendes:

[IP-Router] 2007/01/17 19:54:54,600
IP-Router Rx (TITAN-DSL):
DstIP: x.140.72.100, SrcIP: 85.214.24.209, Len: 92, TOS: ----
Prot.: ICMP (1), echo request, id: 0x052c, seq: 0x0001
Route: LAN Tx

Das ganze viermal, wobei seq inkrementiert wird.

der firewall-trace sagt gar nichts.

Grüße,
Paul

backslash · Beitrag von **backslash** » 17 Jan 2007, 20:32

Hi paulinus

also der router-trace sagt folgendes:

[IP-Router] 2007/01/17 19:54:54,600
IP-Router Rx (TITAN-DSL):
DstIP: x.140.72.100, SrcIP: 85.214.24.209, Len: 92, TOS: ----
Prot.: ICMP (1), echo request, id: 0x052c, seq: 0x0001
Route: LAN Tx

Das heist doch, daß das Paket ankommt, zum Laptop gesendet wird und von dort nicht mehr zuückkommt - jedenfalls steht da nicht von "Zielnetz nicht erreichbar"...

Stell auf dem Laptop mal die korrekte Adresse für das Default-Gateway ein (DMZ-Adresse des LANCOMs) und schon wird es funktionieren...

Gruß
Backslash

paulinus · Beitrag von **paulinus** » 17 Jan 2007, 20:46

Hallo Backslash,

das war die Information, die mir gefehlt hat. Ich hatte als Gatewayadresse die Routeradresse des Providers eingetragen. Ich hatte mich schon gewundert, warum bei einigen Konfigurationen gar nichts zurückkommt.

Ich habe nun einiges dazugelernt, vielen Dank für die Hilfe. Mal sehen, ob ich den Rest jetzt hinbekomme

Viele Grüße,

Paul