Frage zur default Route und Routing im Lab

[Chibi88]

Einen schönen guten Abend! Ich übe derzeit weiter das Netzwerken um ein besseres Gefühl für die Sache zu bekommen und um mein Verständnis zu erweitern.

Die aktuelle Konfiguration läuft soweit. Ich kann mit jedem Client in das jeweilige, andere VLAN pingen. Das Lab ist auch so aufgebaut, dass die 192.168.179.2 mit NAT über VmWare konfiguriert ist und so einen Internetzugriff ermöglicht.

Router 10 wurde mit einer default-route konfiguriert. Hintergrund: Alle Pakete, die das Internet erreichen sollen, sollen das Inteface fa0/0 verlassen und den next hop mit der 10.10.10.2 erreichen. Router 11 ist ebenfalls so konfiguriert, nur mit next hop 192.168.179.2.

Problem: ich kann vom Client im VLAN 30 nicht das Interface fa0/0 von Router 11 pingen. Wieso nicht? Benötige ich hier unbedingt eine statische Route "zurück"? Also 192.168.30.0 255.255.255.0 10.10.10.1? Wenn ich von Router 11 keine statische Route in das Vlan 30 Netz setze, bekomme ich vom Client keinen Zugriff auf das Internet. Kann mir das jemand erklären?

Wenn ich bei Router 11 also einen Internetzugriff von VLAN 10,20 und 40 erreichen möchte, muss ich eine statische "Rückroute" von Router 11 bauen, korrekt?

Also: Router 11 -> ip route 192.168.1.0 255.255.255.0 10.10.10.1 (VLAN10) und dies jeweils angepasst für 20 und 40. Das wäre ja extrem blöd, wenn man viele Netze hat. Dann muss man bei jedem Netz eine neue, statische Route konfigurieren. Lässt sich dies nur mit dynamischen Routing lösen?

Mein Ansatz war auch, dass ich eine default route baue, die zurückführt. Also: 0.0.0.0/0 10.10.10.1 um extra Konfiguration zu vermeiden. Leider funktioniert dies nicht. Ich vermute, weil es bereits eine default route mit next hop zu 192.168.179.2 gibt und der Router so nicht weiß, was er mit dem Paket machen soll?

 

[Stock86]

EDIT: Falsch gelesen

Ja dann muss der Router 11 das Netz 192.168.30.0 /24 kennen und wissen, dass er es "hinter" dem Router 10 findet. Ansonsten schickt er seine Antwort in Richtung seiner Defaultroute.

Demnach sind deine Annahmen soweit korrekt. Wenn du mit statischem Routing arbeiten möchtest, musst du die Routen leider einzeln pflegen.

Du könntest auch mit einem größeren Netz arbeiten. Also auf dem Router 11 z.B. die Route 192.168.0.0 /16 in Richtung 10.10.10.1. Die umfasst dann alle 4 Netze deiner VLANs.

 

[Kapsler]

Wenn ich bei Router 11 also einen Internetzugriff von VLAN 10,20 und 40 erreichen möchte, muss ich eine statische "Rückroute" von Router 11 bauen, korrekt?

Richtig. Gemäß dem Bild und deiner Beschreibung hat Router 11 genau drei Routen.

• Default Route mit Next-Hop 192.168.179.2
• Sowie die beiden Routen für die Netze der eigenen Interfaces

Router 11 hat aber keine Ahnung, was sich hinter 10.10.10.1 im Transfernetz befindet. Entsprechend werden Antwortpakete für die VLANs über die Default Route geschickt. Der Router dort kann damit aber natürlich auch nichts anfangen.

Eine zweite Default Route mit anderer Metrik ist zwar möglich, aber nicht sinnvoll (außer etwa in Szenarien mit Dual ISP und Fallback). Es kann stets nur eine Default Route aktiv genutzt werden und die sollte immer zum zentralen Gateway (Internet) zeigen. Anstelle von vier einzelnen Routen für die VLANs könntest du aber etwas in Richtung 192.168.0.0 /18 oder /17 bauen.

 

[Raijin]

Das Routing muss immer in beide Richtungen stimmen. Genau genommen stimmt diese Aussage:

Problem: ich kann vom Client im VLAN 30 nicht das Interface fa0/0 von Router 11 pingen.

nämlich nicht. Wenn du an Router 11 per packet capture nach ICMP filterst, wirst du mit vermutlich den eingehenden ICMP Echo Request vom Client sehen, aber Router 11 kann nicht mit ICMP Echo Reply antworten. So gesehen kann der Client Router 11 also anpingen, aber Router 11 kann nicht zurückpingen

Daher müssen die Routen in beide Richtungen vollständig sein - es sei denn man arbeitet mit SNAT an Router 10. Damit käme besagter Echo Request bei Router 11 mit der fa0/0 IP von Router 10 als Absender an und dahin ginge auch der Reply, welchen Router 10 anhand seiner NAT-Tabelle zum Client durchreihen würde.

Aber: SNAT ist keine "Lösung" für fehlerhaftes Routing, ich wollte damit nur die Möglichkeit aufzeigen. SNAT setzt man beispielsweise ein, wenn explizit Clients hinter einem Router versteckt werden sollen, u.a. weil ihr Subnetz gar nicht geroutet werden kann wie zB im www. Deswegen machen Internetrouter am WAN SNAT. Je nachdem wie dein Szenario aber gedacht ist, könnte Router 11 ja womöglich auch fremdgesteuert sein, beispielsweise in einem Hotel, o.ä. Da wäre SNAT in Router 10 sinnvoll, weil man auf Router 11 ja keinen Zugriff hätte.