Routing über mehrere Gateways funktioniert nicht

[nils50122]

Hallo zusammen,

habe nun schon einige Stunden damit verbracht meinen LANCOM so zu konfigurieren, dass ich drei andere (VPN-) Gateways davor als Zugang zu anderen Netzen nutzen kann - bislang leider ohne Erfolg.

Kurz zur Erklärung:
- es gibt einen Internetzugang über IPoE (hinter Fritzbox 192.168.2.1, der LANCOM hat die 192.168.2.2)

- es gibt drei VPN-GWs (GW1 hat die IPv4: 192.168.6.1, GW2 hat die IPv4: 10.1.1.1, GW3 hat die IPv4: 10.1.2.1)
- hinter den VPN-GWs sind verschiedene Client-Netze erreichbar, bsp. hinter GW2 findet sich das Netz 192.168.42.0/24

Um VLAN-Probleme auszuschließen, wurde nun für den Anfang der LAN des GW2 (10.1.1.1) mit ETH3 des LANCOM verbunden.
Anschließend haben wir ETH3 -> LAN3 zugeordnet.

Danach eine neue DSL-Gegenstelle angelegt mit dem Namen "GW2", Haltezeit 9.999Sek, Layername: INTERNET, MAC-Adress-Typ:lokal.

Danach unter Protokolle -> IP-Parametern, die Gegenstelle "GW2" ausgewählt, IPv4 10.1.1.2 eingetragen, Netzmaske: 255.255.255.252, GW + DNS: 10.1.1.1.

Vorletzter Schritt, unter IP-Netzwerke, ein neues Netzwerk des Typs Intranet hinzugefügt (IP-Adresse: 10.1.1.2, Netzmaske 255.255.255.0, Schnittstellen-Zuordnung LAN-3, Adressprüfung: Flexibel, Schnittstellen-Tag: 102.

Letzter Schritt, das Client-Netz (192.168.42.0/24) hinter GW2 in der IPv4-Routing-Tabelle eingetragen:
IP-Adresse: 192.168.42.0, Netzmaske: 255.255.255.0, Routing-Tag: 102, Schaltzustand: Route ist aktiviert und wird immer via RIP propagiert (sticky), bei outer die Gegenstelle "GW2" ausgewählt, RIP-Distanz: 0, IP-Maskierung: Intranet und DMS maskieren (Standard), Administrative Distanz: 0

Nun kann ich zwar von einem Client hinter LAN1 des LANCOM (192.168.178.0/24) das GW2 auf LAN3 des LANCOM mit der 10.1.1.1 anpiggen, allerdings wird der Traffic (traceroute 192.168.42.0 auf dem Client) weiterhin über die Gegenstelle "INTERNET" auf WAN1 geroutet.

Habe auch schon versucht eine ALLOW-ALL Regel in der FW zu erstellen, die FW komplett zu deaktivieren, alles ohne Erfolg.

[PappaBaer]

Moin,

IP-Adresse: 192.168.42.0, Netzmaske: 255.255.255.0, Routing-Tag: 102

Hier dürfte Dein Problem liegen. Mit dem Routing-Tag in der Routing-Tabelle sagst Du, dass nur Clients aus Netzen, die ebenfalls das Routing-Tag 102 haben, diese Route benutzen dürfen. Dein 192.168.178.0/24 Netz hinterm Lancom hat aber vermutlich ein anderes Tag. Somit greift diese Route nicht. Also entweder in der Routing-Tabelle dieses Tag auf "0" setzen (Route darf von allen Netzen benutzt werden) oder entsprechend mit einem Firewall-Eintrag umtaggen.

VG,
Torsten

[Hagen2000]

hinter GW1 findet sich das Netz 192.168.42.0/24

Dritter Spiegelstrich in deinem Eingangs-Post: Muss es hier nicht "GW2" heißen?

Ich habe eine ähnliche Konstellation in Betrieb. Bei der neuen DSL-Gegenstelle habe ich als Layername jedoch IPOE verwendet, was m. E. hier richtig ist (Layername INTERNET gibt es bei mir gar nicht, aber das kann natürlich in deiner Konfiguration abweichen). Man sollte hier wohl auch die erste freie Gegenstelle (vermutlich DSL-1) verwenden und keine Gegenstelle überspringen.

Das falsche Routing-Tag hat PappaBaer schon angesprochen. Abgehend kommen die Pakete ja erst einmal aus deinem Intranet und der Routing-Eintrag muss für das Intranet gültig sein. Eingehend hingegen werden die Pakete bei mir auch mit einem Schnittstellen-Tag versehen.

[nils50122]

hinter GW1 findet sich das Netz 192.168.42.0/24

Dritter Spiegelstrich in deinem Eingangs-Post: Muss es hier nicht "GW2" heißen?

Ich habe eine ähnliche Konstellation in Betrieb. Bei der neuen DSL-Gegenstelle habe ich als Layername jedoch IPOE verwendet, was m. E. hier richtig ist (Layername INTERNET gibt es bei mir gar nicht, aber das kann natürlich in deiner Konfiguration abweichen). Man sollte hier wohl auch die erste freie Gegenstelle (vermutlich DSL-1) verwenden und keine Gegenstelle überspringen.

Das falsche Routing-Tag hat PappaBaer schon angesprochen. Abgehend kommen die Pakete ja erst einmal aus deinem Intranet und der Routing-Eintrag muss für das Intranet gültig sein. Eingehend hingegen werden die Pakete bei mir auch mit einem Schnittstellen-Tag versehen.

War tatsächlich ein Tippfehler, 192.168.42.0 findet sich hinter GW2 wieder - ist bearbeitet. Habe ebenfalls bei den VPN-GW-Gegenstellen auf IPoE umgestellt, auch wenn die Settings in den Layern sich nicht unterscheiden.

[nils50122]

Moin,

IP-Adresse: 192.168.42.0, Netzmaske: 255.255.255.0, Routing-Tag: 102

Hier dürfte Dein Problem liegen. Mit dem Routing-Tag in der Routing-Tabelle sagst Du, dass nur Clients aus Netzen, die ebenfalls das Routing-Tag 102 haben, diese Route benutzen dürfen. Dein 192.168.178.0/24 Netz hinterm Lancom hat aber vermutlich ein anderes Tag. Somit greift diese Route nicht. Also entweder in der Routing-Tabelle dieses Tag auf "0" setzen (Route darf von allen Netzen benutzt werden) oder entsprechend mit einem Firewall-Eintrag umtaggen.

VG,
Torsten

Habe zwei Dinge ausprobiert:

- wenn ich die Route zu 192.168.42.0/24 mit Angabe des Routers "GW2" angebe, egal ob Routing-Tag 0 oder 102 -> ist GW2 (10.1.1.1) nicht mehr erreichbar. Auch eine Allow-All-Regel mit höchster Prio hilft hier nicht.

- wenn die Route zu 192.168.42.0/24 mit Angabe Routing-Tag 102 drin ist und zusätzlich eine FW-Rule mit Quell-Tag "0" und Routing-Tag "102" zeigt mir ein Tracert aus dem Netz 192.168.178.0/24 hinter dem LANCOM trotzdem die Route über WAN1 (Internet).

[Hagen2000]

Um das Gateway selbst zu erreichen musst Du doch auch eine entsprechende Route anlegen, also 10.1.1.0 255.255.255.252 an GW2.
Ruf mal - über Konsole oder Web-Interface - den Befehl show ipv4-route auf, dann siehst Du deine effektive Routing-Tabelle.

Nachdem Pakete an 192.168.42.0 an die Gegenstelle INTERNET geleitet werden, fehlen bei Dir außerdem vermutlich die üblichen Sperr-Routen für die privaten Netze, also:

Code: Alles auswählen

IP-Adresse  Netzmaske    Router
192.168.0.0 255.255.0.0  0.0.0.0
172.16.0.0  255.240.0.0  0.0.0.0
10.0.0.0    255.0.0.0    0.0.0.0

Siehe auch LCOS-Reference-Manual am Ende Kap. 6.2.5.1 für Beispiele.

[PappaBaer]

Moin,

da sind anscheinend noch ein paar Knoten drin.

1.

Vorletzter Schritt, unter IP-Netzwerke, ein neues Netzwerk des Typs Intranet hinzugefügt (IP-Adresse: 10.1.1.2, Netzmaske 255.255.255.0, Schnittstellen-Zuordnung LAN-3, Adressprüfung: Flexibel, Schnittstellen-Tag: 102

Wenn Du dem Lancom die 10.1.1.2 auf einer IPoE-Gegenstelle an ETH3 gibst, solltest Du nicht ihm diese Adresse nicht auch noch als LAN-Netz verpassen. -> Lösche dieses LAN-Netz wieder.

2.

...wenn die Route zu 192.168.42.0/24 mit Angabe Routing-Tag 102 drin ist und zusätzlich eine FW-Rule mit Quell-Tag "0" und Routing-Tag "102"...

Wenn Du bei der Route 192.168.42.0/24 über GW2 das Tag 102 drin lässt und per Firewall-Regel umtaggen möchtest, dann musst Du in der Regel als Quelltag die 65535 nehmen, falls Dein Intranet das Tag 0 hat.

VG,
Torsten

[Hagen2000]

Wenn Du dem Lancom die 10.1.1.2 auf einer IPoE-Gegenstelle an ETH3 gibst, solltest Du nicht ihm diese Adresse nicht auch noch als LAN-Netz verpassen. -> Lösche dieses LAN-Netz wieder.

Würde ich zustimmen, so ein Netzwerk existiert bei mir jedenfalls nicht.

[PappaBaer]

Ich bin die Konfig direkt mit Nils zusammen über Teamviewer durchgegangen. Läuft nun wie gewünscht.