Twee routers (beide om een specifieke subnets af te handelen

maandag 3 mei 2010 03:44

Acties:

0 Henk 'm!

Topicstarter

Misschien een gekke vraag, maar na uren googlen weet ik gewoon niet wat de oorzaak van onderstaand precies is.

Ik heb een netwerk met daarin een default-gateway (192.168.5.1). Op de def. gw staat ook een regel dat hij verkeer voor 192.168.1.0 moet sturen naar de 192.168.5.2 (een andere router die verkeer voor 192.168.1.0 af kan leveren).

Vanaf de 192.168.1.0 kant kom ik netjes op de machines in mijn 192.168.5.0 netwerkje, alleen andersom niet altijd (lees: traceroute lukt wel, maar tcp-connecties niet).

Het valt me op dat de machine in 192.168.5.0 waarbij ik WEL een machine in 192.168.1.0 kan overnemen (lees tcp-connecties kan opbouwen) een traceroute heeft die DIRECT via de 192.168.5.2 loopt; dus:

code:

Tracing route to test.systeem.lan1 [192.168.1.1]
over a maximum of 30 hops:

  1    <1 ms    <1 ms    <1 ms  gw-to-1.systeem.lan5 [192.168.5.2]
  2     7 ms     9 ms    10 ms  test.systeem.lan1 [192.168.1.1]

Trace complete.

De eerste keer dat ik een trace doe, zie ik hem overigens van 192.168.5.1 -> 192.168.1.1 gaan.
Een andere machine welke geen tcp-connecties wil opbouwen, blijkt dit te doen:

code:

Tracing route to test.systeem.lan1 [192.168.1.1]
over a maximum of 30 hops:

  1    <1 ms    <1 ms    <1 ms  gw.systeem.lan5 [192.168.5.1]
  2    <1 ms    <1 ms    <1 ms  gw-to-1.systeem.lan5 [192.168.5.2]
  3     7 ms     9 ms    10 ms  test.systeem.lan1 [192.168.1.1]

Trace complete.

Hoe kan het dat één machine zijn routing dynamisch lijkt aan te passen en de andere niet? Beide hebben niet speciaal iets als RIP ingesteld en beide hebben GEEN statische routes toegevoegd gekregen (dmv route add).

De routers die gebruikt worden zijn van Cisco.

Mijn ontgaat de logica in dit geval..

Duidelijk laat.. subject is niet echt helder zo.. Had moeten zijn: Twee routers (afhandelen verschillende subnets)

[ Voor 3% gewijzigd door Zoetjuh op 03-05-2010 03:49 ]

maandag 3 mei 2010 03:54

Acties:

0 Henk 'm!

CyBeR

💩

Wikipedia: ICMP Redirect Message

All my posts are provided as-is. They come with NO WARRANTY at all.

maandag 3 mei 2010 09:44

Acties:

0 Henk 'm!

Zoetjuh

Topicstarter

Die zocht ik inderdaad!

Ik heb naar aanleiding daarvan de volgende regkey gecontroleed:

HKLM\System\CurrentControlSet\Services\Tcp\Paramters
EnableICMPRedirect = 1 (aan)

Helaas stond dit ook goed, maar werkt het nog niet.

De firewall heb ik ook uit gezet om te voorkomen dat ik deze berichten niet zou ontvangen.
M'n volgende stap zal worden: packet sniffer.

maandag 3 mei 2010 09:47

Acties:

0 Henk 'm!

Midas.e

Is handig met dinges

Doe eens een print route op beide machines(die dus dynamisch een route krijgen en niet).

Hacktheplanet / PVOutput

maandag 3 mei 2010 14:42

Acties:

0 Henk 'm!

battler

Cisco

Zou jij een schematische weergave van je netwerk kunnen maken? Er zitten een paar curieuze zaken in je verhaal die misschien duidelijk worden bij een tekening.

Bijvoorbeeld: Op de def. gw staat ook een regel dat hij verkeer voor 192.168.1.0 moet sturen naar de 192.168.5.2. Het feit dat router 1 en 2 schijnbaar in het zelfde netwerk zitten impliceert dat ze back to back zitten. Dan vraag ik mij af waarom heb je static route aangemaakt voor directly coneccted routes?

Router 1 en 2 en netwerk 1 zitten allemaal in hetzelfde subnet. Volgens mij heb ik een totaal verkeerd beeld van het netwerk vandaar dat ik hem hieronder nog even teken.

Afbeeldingslocatie: http://img140.imageshack.us/img140/3136/gotdq.jpg

Afbeeldingslocatie: http://img140.imageshack.us/img140/3136/gotdq.jpg

Bovenste is hoe je het nu hebt naar mijn idee. Onderste is hoe je het zou moeten hebben?

[ Voor 31% gewijzigd door battler op 03-05-2010 15:09 ]

Lux.Architectuur | Van Dromen tot Wonen | www.Lux-a.nl

maandag 3 mei 2010 16:38

Acties:

0 Henk 'm!

CyBeR

💩

Prop die 192.168.5.0-wolk even tussen de twee routers in en zet er wat hosts bij, en je bent waar de TS nu is.

All my posts are provided as-is. They come with NO WARRANTY at all.

maandag 3 mei 2010 19:44

Acties:

0 Henk 'm!

Zoetjuh

Topicstarter

Ik maak morgen ochtend even een duidelijk tekening, even met de correcte (deels gemaskeerde IPs).
Het viel me vandaag (dank zij Wireshark) overigens wel op dat ik op een server waar ik wel icmp redirects binnen kreeg, deze volledig in de wind werden geslagen door die machine (ondanks dat de RegKey niet zo staat ingesteld).

dinsdag 4 mei 2010 16:50

Acties:

0 Henk 'm!

Zoetjuh

Topicstarter

Nog even terugkomend op mijn probleem, hierbij even de omgeving waar het om gaat.

Afbeeldingslocatie: http://www.ppros.nl/medewerkers/peter/ICMP-omgeving.jpg

Afbeeldingslocatie: http://www.ppros.nl/medewerkers/peter/ICMP-omgeving.jpg

Hierbij merk ik dat sommige servers de volgende route maken:
Hop 1: a.b.c.97
Hop 2: a.b.c.110
Hop 3: 192.168.1.1

Een enkele server doet 't wel "goed", waarbij ik zie
Hop 1: a.b.v.110
Hop 2: 192.168.1.1

Momenteel wordt de next-hop voor 192.168.x.x op de a.b.c.97 aangepast door middel van Policy Based Routing (de ip policy is ingesteld op de VLAN-interface).

Uiteraard is een vraag; zou ik er verstandig aan doen om bijvoorbeeld RIP te gaan gebruiken. Probleem is alleen wel dat er op de router/switch (C3750) meerde omgevingen zijn aangesloten. Ik vraag me ook af of ICMP-redirect misschien niet lekker werkt omdat ik Policy Based Routing gebruik; waardoor ik me afvraag, zou gebruik van VRF misschien helpen?

Mijn gevoel over ICMP-redirects na wat inlezen en deze praktijk ervaring: Niet betrouwbaar en inefficient (immers de redir bevat alleen info om die specifieke host te redirecten; en niet een compleet subnet. Dit kan dus leiden tot een groot aantal redir berichten en tijdelijke routes)

Anyways, hierbij ook de routing tables op een server waarbij het NIET werkt:

code:

C:\Users\ADministrator.COLO>tracert 192.168.1.1

Tracing route to 192.168.1.1
over a maximum of 30 hops:

  1     1 ms     1 ms     1 ms  a.b.c.97
  2    <1 ms    <1 ms    <1 ms  a.b.c.110
  3     9 ms     8 ms     9 ms  192.168.1.1

Trace complete.

C:\Users\ADministrator.COLO>route print
===========================================================================
Interface List
 22 ...00 15 17 d7 6c f1 ...... New Virtual Network - iSCSI Path 1
 19 ...00 15 17 d7 6c f0 ...... Intel(R) PRO/1000 PT Dual Port Server Adapter
 16 ...00 23 7d da 2f ae ...... Hyper-V Server Adapter - Heartbeat Virtual Netwo
rk
 14 ...00 23 7d da 2f b0 ...... Hyper-V Server Adapter - LAN/WAN Virtual Network

  1 ........................... Software Loopback Interface 1
 15 ...00 00 00 00 00 00 00 e0  isatap.{6D1E4495-EA76-4B6C-B0F0-6E21201A4D62}
 18 ...00 00 00 00 00 00 00 e0  isatap.{D307A500-CE9C-4776-B880-ECB6322C0F7E}
 17 ...00 00 00 00 00 00 00 e0  6TO4 Adapter
 21 ...00 00 00 00 00 00 00 e0  isatap.{C6E2290B-25E6-434A-A1B7-F15ED4781C84}
 23 ...00 00 00 00 00 00 00 e0  isatap.{2784074F-3765-49A1-B02A-4F796A794EA7}
===========================================================================

IPv4 Route Table
===========================================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0         a.b.c.97        a.b.c.107    261
         a.b.c.96  255.255.255.240         On-link         a.b.c.107    261
        a.b.c.107  255.255.255.255         On-link         a.b.c.107    261
        a.b.c.111  255.255.255.255         On-link         a.b.c.107    261
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
      169.254.0.0      255.255.0.0         On-link   169.254.107.206    261
  169.254.107.206  255.255.255.255         On-link   169.254.107.206    261
  169.254.255.255  255.255.255.255         On-link   169.254.107.206    261
      192.168.0.0    255.255.255.0         On-link       192.168.0.1    261
      192.168.0.1  255.255.255.255         On-link       192.168.0.1    261
    192.168.0.255  255.255.255.255         On-link       192.168.0.1    261
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link         a.b.c.107    261
        224.0.0.0        240.0.0.0         On-link       192.168.0.1    261
        224.0.0.0        240.0.0.0         On-link   169.254.107.206    261
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link         a.b.c.107    261
  255.255.255.255  255.255.255.255         On-link       192.168.0.1    261
  255.255.255.255  255.255.255.255         On-link   169.254.107.206    261
===========================================================================
Persistent Routes:
  Network Address          Netmask  Gateway Address  Metric
          0.0.0.0          0.0.0.0      a.b.c.97     256
          0.0.0.0          0.0.0.0      a.b.c.97  Default
===========================================================================

IPv6 Route Table
===========================================================================
Active Routes:
 If Metric Network Destination      Gateway
 17   1105 ::/0                     2002:c058:6301::c058:6301
  1    306 ::1/128                  On-link
 17   1005 2002::/16                On-link
 17    261 2002:5992:56b::5992:56b/128
                                    On-link
 14    261 fe80::/64                On-link
 16    261 fe80::/64                On-link
 22    261 fe80::/64                On-link
 14    261 fe80::214b:b055:7d62:37b3/128
                                    On-link
 22    261 fe80::8856:8bb5:cdb8:6bce/128
                                    On-link
 16    261 fe80::a14e:c66c:4b27:25cf/128
                                    On-link
  1    306 ff00::/8                 On-link
 14    261 ff00::/8                 On-link
 16    261 ff00::/8                 On-link
 22    261 ff00::/8                 On-link
===========================================================================
Persistent Routes:
  None

Dan een waar die WEL werkt.

code:

1	Even weggeknipt. Ik had als tijdelijke work-around op deze machine de defgw aangepast naar de .110 aangezien deze verder niet met Internet hoefde te verbinden

Overigens, ook op machines waar de 192.168.0.x niet in de routing tabel voor komt, werkt het ook niet.
Op een Win2K3 server welke alleen IPv4 doet, werkt het ook niet.

Een andere machine, waar het gisteren wel liep (ook een server met Hyper-V; net zoals het voorbeeld van hierboven dan ook niet werkt) lijkt het nu niet te doen.

Nogmaals, Wireshark geeft wel aan dat de machines die het niet doen WEL gewoon een ICMP Redirect bericht binnen krijgen.

[ Voor 44% gewijzigd door Zoetjuh op 04-05-2010 18:30 ]

dinsdag 4 mei 2010 16:53

Acties:

0 Henk 'm!

analog_

Onderzoek van waar die ICMP pakketen komen. Je kan vaak op routers deze optie disablen zodat ze niet meer verstuurd worden of je kan ze eruit filteren met je fw. (blokkade op icmp redirect). Probleem bij de bron oplossen is netter.

[ Voor 10% gewijzigd door analog_ op 04-05-2010 16:53 ]

dinsdag 4 mei 2010 16:55

Acties:

0 Henk 'm!

CyBeR

💩

Wat je nog niet uitgelegd hebt, is waarom je deze setup zo hebt. Waarom is .110 of .97 niet gewoon de gateway voor dat vlan, en zit de ander niet gewoon niet in dat vlan?

All my posts are provided as-is. They come with NO WARRANTY at all.

dinsdag 4 mei 2010 17:17

Acties:

0 Henk 'm!

Zoetjuh

Topicstarter

Dank voor de reacties sowieso.

@Mr.SIS: Ik ga dat vanavond nog wel even cheken. Als ik nu even goed check, zie ik op een server die het bijv. niet doet wel ICMP Redirs voor andere machines langs komen, maar zo snel niet voor deze machine zelf.. mogelijk inderdaad een probleem

@CyBeR: Het is niet zo, maar voor het gemak, zeg even dat er in de IPVPN/MPLS geen verbinding naar het internet is; enkel naar "de locaties"

dinsdag 4 mei 2010 17:31

Acties:

0 Henk 'm!

CyBeR

💩

Zoetjuh schreef op dinsdag 04 mei 2010 @ 17:17:
@CyBeR: Het is niet zo, maar voor het gemak, zeg even dat er in de IPVPN/MPLS geen verbinding naar het internet is; enkel naar "de locaties"

Ja dat snap ik. Dat is ook vrij logisch. Maar de vraag is dus waarom de router die je internet doet en de router die naar je andere locaties routeert twee verschillende apparaten zijn. Of als dat om de een of andere reden technisch nodig is, waarom ze allebei in hetzelfde subnet zitten als je hosts.

[ Voor 11% gewijzigd door CyBeR op 04-05-2010 17:31 ]

All my posts are provided as-is. They come with NO WARRANTY at all.

dinsdag 4 mei 2010 17:44

Acties:

0 Henk 'm!

Zoetjuh

Topicstarter

Onze switch/router hangt in Amsterdam. Via onze eigen router hebben we een eigen internet verbinding (via een BGP-link naar onze ISP - hiervoor wordt de a.b.c.97 gebruikt). Via een trunk verbinden we daarnaast de diverse IPVPNs richting ons netwerk; waaronder het IPVPN zoals is getekend.

Op de link tussen het IPVPN en ons geldt dat we de interface bij de ISP kunnen voorzien van één IP (a.b.c.110 in dit geval) en deze over deze link alleen verkeer routeerd dat in dat netwerk zit (ofwel; als ik a.b.c.110/28 heb; dan kan ik binnen het IPVPN vanuit de locaties alleen servers uit dat netwerk (a.b.c.96/29) benaderen). Ik kan helaas geen extra routingen over die interface laten aanleggen.. was het maar zo