Verständnisproblem Routing, Metrik

[lordg2009]

Hi,

Ich habe einen OpenVPN Server, der über ein Tap interface in das Netzwerk 192.168.5.0/24 einlädt. Dieser puscht die Route zum Gateway mit der Metrik 1.

Frage 1)
Wenn ich im ClientPC per route PRINT -4 nachschaue (siehe Bild), dann ist die Metrik dieser Route mit 30 höher, als die /0 Route auf den Route über den LAN Adapter, obwohl ich doch als Metrik 1 gepusht habe.

Frage 2)
Die Route auf den Router

Netzwerkziel    Netzwerkmaske          Gateway    Schnittstelle Metrik
     0.0.0.0          0.0.0.0      192.168.1.1     192.168.1.13     25

hat mit 25 die niedrigste Metrik. Müsste diese Route nicht allen anderen Routen bevorzugt werden? Da die Subnetzmaske 0.0.0.0 ist, müsste sie letztendlich auch alle möglichen IP Adressen abdecken. Somit würden andere Routen gar nicht benutzt werden. Was verstehe ich da falsch?

 

[TheCadillacMan]

hat mit 25 die niedrigste Metrik. Müsste diese Route nicht allen anderen Routen bevorzugt werden? Da die Subnetzmaske 0.0.0.0 ist, müsste sie letztendlich auch alle möglichen IP Adressen abdecken.

Es ist genau anders herum: Prinzipiell wird zuerst die Route genommen, die am meisten Übereinstimmungen (die meisten übereinstimmenden Bits) mit der Ziel-Adresse hat. Die Default-Route wird folglich als allerletztes verwendet.
Die Metrik ist nur der Tie-Breaker wenn du zwei Routen hast, die gleich spezifisch sind (z. B. zwei Default-Routen). Dann gewinnt die mit den niedrigeren Metrik.

Beispiel:

Netz/Maske            Next Hop        Metrik
0.0.0.0/0             192.168.1.1     25
192.168.2.0/24        192.168.1.25    10
192.168.2.0/24        192.168.1.30    15
192.168.2.128/25      192.168.1.254   120

Du bist in 192.168.1.0/24.
Willst du zu 192.168.2.200, wird Zeile 5 verwendet, weil diese am spezifischsten ist. 3 und 4 würden theoretisch auch gehen, sind aber um ein Bit weniger spezifisch.
Willst du zu 192.168.2.100, wird Zeile 3 verwendet, weil Zeile 4 zwar gleichgroße Übereinstimmung hat, aber bei 3 die Metrik niedriger ist.
Willst du zu 8.8.8.8, wird die Default-Route verwendet, weil sonst nichts besser passt.

 

[thebackfisch]

Frage 2 hat ja schon TheCadillacMan beantwortet.

Aus Frage 1 werde ich nicht ganz schlau. Du schreibst, die Route wird zum Gateway gepusht. Welches Gateway denn? meinst du deinen Router? Ich gehe mal davon aus, dass du den Router meinst: Der Server sagt dem Router: Hey, ich kenne den Weg zu 192.168.5.0/24 mit Metrik 1. Der Router erhält diese Informationen, addiert die Metrik für den Weg zum Server hinzu und gibt diese an die Clienten weiter. Der Client trägt dies dann in seine Tabelle ein, addiert aber natürlich noch die Kosten für den Weg zum Router hinzu. Daher sind die Kosten zum Router geringer als die Kosten ins 192.168.5.0/24 Netz über den Router (was ja auch logisch ist).

Nochmal kurz und knapp: Der Metrikwert auf dem Client setzt sich zusammen aus Metrik zum Router plus Metrik zum Server plus deine 1.

Bist du dir überhaupt sicher, dass du eine Route pushen musst? Die beiden 192.168.5.0 Einträge in der Routingtabelle ergeben nämlich keinen Sinn. (Wieso sollte er ein Paket mit Zieladresse 192.168.5.0/24 zuerst an 192.168.5.2 schicken, wenn er doch direkt mit diesem Netz verbunden ist?)

 

[Raijin]

Kleiner Tip am Rande:

Wenn du VPN nutzt, nimm keine Standardsubnetze. Sobald du im Hotel oder sonstwo online gehst und dort zB 192.168.1.0/24 verwendet wird - die Chancen dazu stehen sehr gut - läuft das VPN nicht mehr.

Nimm im Heimnetz zB 192.168.117.0 und für das VPN selbst zB 10.23.65.0. Je ungewöhnlicher desto besser.

Du hast freie Wahl in diesen Bereichen

192.168.0.0 - 192.168.255.255
172.16.0.0 - 172.31.255.255
10.0.0.0 - 10.255.255.255

Kein Grund also sich unnötig einzuengen und Konflikte zu riskieren.

 

[lordg2009]

Vielen Dank für eure Hilfe, ich glaube jetzt habe ich es verstanden.

Ich habe einen Fehler gemacht. Die Route wird nicht zum Gateway, sondern vom Gateway gepusht.
Mein Router hat die 192.168.5.1
Mein VPNServer die 192.168.5.2
DHCP für 192.168.5.10 bis 192.168.5.99
VPN Pool 192.168.5.100 bis 199 (über tap)

.5 habe ich verwendet um Konflikte zu vermeiden, wie beschrieben.

Direkt verbunden bin ich also mit dem Router, der Außerhalb steht. Bis jetzt sind mir nur 192.168.0 , .1 , oder .2 vorgekommen. Für meine VPN Verbindung mit 192.168.5.0/24 pusht der VPNServer genau diese Route mit der Metrik 1. Gepusht habe ich diese Route, da ich andernfalls meine Freunde beim Spielen über LAN nicht gesehen habe, jetzt aber schon.

Vielen Dank für eure Hilfe