inter subnet routing howto - Netwerken

zondag 15 maart 2015 21:00

Acties:

loves wheat smoothies

Topicstarter

edit 3: Het zat inderdaad in proxy arp.

Dit staat default uit (per vlan) op procurve en default aan op cisco, daarom kom je het ook niet tegen in de config.

Blijkt maar weer dat soms even alles op een rijtje zetten (uit typen / kladje) vaak al zelf zorgt voor de oplossing

Heb hieronder alles laten staan voor het geval er ooit iemand tegenaan loopt:

Als eerste, ik weet niet of de tt enigszins klopt maar in wezen is het wel wat ik zoek.

De setup hier onder betreft een cisco 3750, hier werkt het maar ik vraag me eigenlijk af waarom.

Ik heb in VLAN 10 een interface 10.100.1.1/16
Op dezelfde switch is ook een VLAN 20 met interface 10.111.1.1/16
De default gateway op de switch is 10.111.1.100 (firewall)
Er is een static route met 10.100.16/24 naar 10.111.1.100 (firewall).
Op dezelfde firewall is een VLAN 30 met 10.100.16.1/24 als interface.

Verkeer van/naar een pc in het 10.100/16 subnet bijv. 10.100.2.52 naar/van 10.100.16.2 (subnet 10.100.16/24) werkt gewoon.

code:

Tracing route to 10.100.16.2 over a maximum of 30 hops
  1    <1 ms    <1 ms    <1 ms  10.100.1.1
  2    <1 ms    <1 ms    <1 ms  10.111.1.100
  3    <1 ms    <1 ms    <1 ms  10.100.16.2

en omgekeerd

Tracing route to 10.100.2.52 over a maximum of 30 hops
  1    <1 ms    <1 ms    <1 ms  10.100.16.1
  2    <1 ms    <1 ms    <1 ms  10.111.1.1
  3    <1 ms    <1 ms    <1 ms  10.100.2.52

Nu wil ik deze cisco vervangen voor een hp procurve 5406zl. Hierop heb ik dezelfde static route aangemaakt en dezelfde ip-adressen maar verkeer wil van 10.100/16 wordt niet meer doorgestuurd naar 10.100.16/24.
Van 10.100.16/24 naar 10.100/16 gaat wel goed, althans het wordt door de gateway gestuurd en komt op de switch aan.

n.b. De switch zelf doet het goed:

code:

1 2	ping source 10.100.1.1 10.100.16.2 10.100.16.2 is alive, time = 1 ms

Ik ben mij ervan bewust dat submet 10.100.16/24 in het andere subnet valt maar eigenlijk ligt daar ook de hoofd vraag:

edit 1:

Ik heb de cisco ernaast gezet met ip 10.100.1.2/16, 10.111.1.2/16 zonder ook maar ergens een route toe te voegen op de hosts kunnen deze elkaar pingen.
Ik zou haast zeggen dat er iets van irdp plaats vind. In config vind ik daar echter niets over terug en staat het ook op alle interfaces en vlans disabled.

code:

Tracing route to 10.100.16.2 over a maximum of 30 hops
  1    <1 ms    <1 ms    <1 ms  10.100.1.2
  2    <1 ms    <1 ms    <1 ms  10.111.1.100
  3    <1 ms    <1 ms    <1 ms  10.100.16.2

Nog grappiger, als ik op de host een static route opneem 10.100.16/24 10.100.1.1 krijg ik de volgende trace:

code:

Tracing route to 10.100.16.2 over a maximum of 30 hops
  1    <1 ms    <1 ms    <1 ms  10.100.1.1
  2    <1 ms    <1 ms    <1 ms  10.100.1.2
  3    <1 ms    <1 ms    <1 ms  10.111.1.100
  4    <1 ms    <1 ms    <1 ms  10.100.16.2

n.b. 10.100.1.2 (cisco) is niet bekend als route op 10.100.1.1 (hp). Wat me weer terug brengt op een advertisement achtig iets.

tl;dr:

Hoe kan het dat verkeer binnen hetzelfde subnet naar/door een cisco 3750 switch/router wordt gezonden/opgepakt ?

Een daarop volgend, (hoe) krijg ik dat voor elkaar op een procurve 5400zl ?

edit 2: Denk dat ik het moet zoeken in proxy arp.. keep you posted.

[ Voor 34% gewijzigd door DukeBox op 15-03-2015 21:31 ]

Duct tape can't fix stupid, but it can muffle the sound.

zondag 15 maart 2015 22:00

Acties:

RedShift

Het is mij niet helemaal duidelijk wat de situatie nu is, maar het is niet de bedoeling dat je betrouwt op proxy arp. Wij zetten by default altijd uit en als je netwerk niet zonder werkt, dan is dat een probleem dat gefixed moet worden.

zondag 15 maart 2015 22:15

Acties:

DukeBox

loves wheat smoothies

Topicstarter

RedShift schreef op zondag 15 maart 2015 @ 22:00:
Het is mij niet helemaal duidelijk wat de situatie nu is

De situatie is dat het werkt

..en als je netwerk niet zonder werkt, dan is dat een probleem dat gefixed moet worden.

In dit geval niet, indien je overlappende subnetten (zie voorbeeld host a + b) hebt is er geen andere optie.
Heel ongebruikelijk is het blijkbaar ook niet volgens cisco
Afbeeldingslocatie: http://www.cisco.com/c/dam/en/us/support/docs/ip/dynamic-address-allocation-resolution/13718-5-01.gif

Afbeeldingslocatie: http://www.cisco.com/c/dam/en/us/support/docs/ip/dynamic-address-allocation-resolution/13718-5-01.gif

Mijn keuze is het ook niet geweest maar het is een nogal bij elkaar geraapt zooitje qua organisaties (letterlijk). Ik probeer juist de boel in kaart te brengen, hardware in support te krijgen en dan vervolgens de boel opnieuw inrichten.
Was er eigenlijk nog nooit tegenaan gelopen..

Geluk bij dit ongeluk is dat de ip's in de overlappende ranges gelukkig nergens gebruikt worden.

Duct tape can't fix stupid, but it can muffle the sound.

zondag 15 maart 2015 22:25

Acties:

3DDude

I void warranty's

Wat dacht je van een show run, van die cisco?

Anders even sh ip int bri voor de interfaces
en een sh ip route
En gooi dat even in [code ]

[ Voor 54% gewijzigd door 3DDude op 15-03-2015 22:26 ]

Be nice, You Assholes :)

zondag 15 maart 2015 22:27

Acties:

DukeBox

loves wheat smoothies

Topicstarter

3DDude schreef op zondag 15 maart 2015 @ 22:25:
Wat dacht je van een show run, van die cisco?

Anders even sh ip int bri voor de interfaces
en een sh ip route

Zoals ik al aangeef heeft dat totaal geen nut aangezien de default waarde anders is en dus niet in de running config naar voren komt.

Duct tape can't fix stupid, but it can muffle the sound.

zondag 15 maart 2015 22:31

Acties:

3DDude

I void warranty's

DukeBox schreef op zondag 15 maart 2015 @ 22:27:
[...]

Zoals ik al aangeef heeft dat totaal geen nut aangezien de default waarde anders is en dus niet in de running config naar voren komt.

Dan is mij totaal niet duidelijk wat je nu precies wilt / wat er niet werkt.
Behalve dan dat je zegt " de huidige situatie werkt" en de nieuwe niet...

Om je eerste vraag te beantwoorden:
" Hoe kan het dat verkeer binnen hetzelfde subnet naar/door een cisco 3750 switch/router wordt gezonden/opgepakt ? "

Verkeer binnen het zelfde subnet zit in hetzelfde broadcast domain, dus ze kunnen elkaar zien en daarmee verkeer opzetten. Wil je naar een ander netwerk zul je routering moeten configureren.

Na alles 3 keer lezen gaat en je 2e post zie ik dat het gaat om netwerk overlap.

TLDR:
Je hele TS is onduidelijk, van alles staat door elkaar.
Buiten dat snap ik niet helemaal waarom er geen VLSM wordt gebruikt.
Maargoed wat jij leuk vind?

Ah wat die hieronder zegt ook

[ Voor 58% gewijzigd door 3DDude op 15-03-2015 22:43 ]

Be nice, You Assholes :)

zondag 15 maart 2015 22:41

Acties:

pablo_p

De status van proxy-arp is altijd makkelijk uit te lezen met een "show ip interface vlan xxx | include rox".

Het default aan/uit kan verschillen per software versie en platform (router/multilayer switch + serie). Bij de standaard security-configuratie templates wordt het meestal hard uitgezet, om gewenst gedrag af te dwingen.

In dit geval moet je gewoon de subnet configuratie gelijktrekken op alle hosts in een werkende situatie. Als alles gelijk getrokken is en alle hosts de benodigde routering hebben, kan je gecontroleerd proxy-arp uitzetten (lekker 's ochtends om 07:00 uitzetten en dan connecties en gebruikers monitoren). In geval van issues weer aanzetten, oorzaak achterhalen, oplossen en een nieuwe poging doen.

Verschillende overlappende subnet-groottes binnen 1 broadcast is echt iets dat je zsm moet oplossen.

zondag 15 maart 2015 22:50

Acties:

DukeBox

loves wheat smoothies

Topicstarter

3DDude schreef op zondag 15 maart 2015 @ 22:31:
Na alles 3 keer lezen gaat en je 2e post zie ik dat het gaat om netwerk overlap.

Ah.. denk dat we elkaar zijn misgelopen.

Dan heb je denk ik de eerste regel gemist. Het is opgelost maar heb de rest ter info laten staan. Hoe dan ook dank voor je reacties.

Duct tape can't fix stupid, but it can muffle the sound.

zondag 15 maart 2015 22:55

Acties:

DukeBox

loves wheat smoothies

Topicstarter

pablo_p schreef op zondag 15 maart 2015 @ 22:41:
In dit geval moet je gewoon de subnet configuratie gelijktrekken op alle hosts in een werkende situatie. Als alles gelijk getrokken is en alle hosts de benodigde routering hebben, kan je gecontroleerd proxy-arp uitzetten (lekker 's ochtends om 07:00 uitzetten en dan connecties en gebruikers monitoren). In geval van issues weer aanzetten, oorzaak achterhalen, oplossen en een nieuwe poging doen.

Nee, dat moest/kan dus niet. Er zit met reden een firewall tussen. Het probleem is ooit ontstaan door dat er een deel van de range afgeschermt moest worden maar wel bereikbaar moest zijn over bestaande vpn tunnels die niet gemakkelijk aangepast konden worden.

Verschillende overlappende subnet-groottes binnen 1 broadcast is echt iets dat je zsm moet oplossen.

Het is dus niet binnen 1 broadcast.

Duct tape can't fix stupid, but it can muffle the sound.

zondag 15 maart 2015 23:39

Acties:

3DDude

I void warranty's

DukeBox schreef op zondag 15 maart 2015 @ 22:55:
[...]

Nee, dat moest/kan dus niet. Er zit met reden een firewall tussen. Het probleem is ooit ontstaan door dat er een deel van de range afgeschermt moest worden maar wel bereikbaar moest zijn over bestaande vpn tunnels die niet gemakkelijk aangepast konden worden.

[...]

Het is dus niet binnen 1 broadcast.

Als VPN stel je toch een apart netwerk in

Een site-to-site VPN op van netwerk A naar B. Hij krijgt dan omdat hij via een VPN de boel benaderd een apart VPN-netwerk.
Vervolgens geef je vanuit dat VPN-Netwerk weer toegang tot netwerk - X of Y. (dat regel je in met FW rules.)

Dat is denk wat ik zou doen

[ Voor 4% gewijzigd door 3DDude op 15-03-2015 23:44 ]

Be nice, You Assholes :)

maandag 16 maart 2015 08:52

Acties:

DukeBox

loves wheat smoothies

Topicstarter

3DDude schreef op zondag 15 maart 2015 @ 23:39:
Als VPN stel je toch een apart netwerk in

Als je die keuze hebt wel.. ik zit hier met een bestaande omgeving welke in de loop der jaren aan elkaar geknoopt is.

Een site-to-site VPN op van netwerk A naar B. Hij krijgt dan omdat hij via een VPN de boel benaderd een apart VPN-netwerk.

Vervolgens geef je vanuit dat VPN-Netwerk weer toegang tot netwerk - X of Y. (dat regel je in met FW rules.)

Ik begrijp echt wel hoe VPN werkt.. maar dat is hier helemaal niet van toepassing. Ik heb het alleen genoemd omdat het mij op dit moment ervan weerhoudt om de overlappende ranges (niet in vpn) aan te passen. Daar hebben we 'gelukkig' nat2nat voor

Overigens heb ik het voorbeeld sterk vereenvoudigd, het gaat er niet om 1 maar om in totaal 3 opverlappende sub ranges met 293 VPN tunnels. De /16 netwerken zijn wel erg overkill maar met een /22 ga ik het zeker niet redden.

Eerst maar eens inventariseren of ik de /16 kan opdelen in kleinere blokken.. er zal wel weer een hoop meuk op het netwerk hangen waar niemand de login van weet..

Duct tape can't fix stupid, but it can muffle the sound.

dinsdag 17 maart 2015 09:04

Acties:

DukeBox

loves wheat smoothies

Topicstarter

DukeBox schreef op maandag 16 maart 2015 @ 08:52:
Overigens heb ik het voorbeeld sterk vereenvoudigd, het gaat er niet om 1 maar om in totaal 3 opverlappende sub ranges met 293 VPN tunnels. De /16 netwerken zijn wel erg overkill maar met een /22 ga ik het zeker niet redden.

Gister avond ff bezig geweest.. de 10.100/16 is nu een 10.100.0/20 geworden en daardoor viel 10.100.16/24 er precies buiten. Een andere range die er binnen viel kon ik vrij eenvoudig omnummeren aangezien dat DHCP was met maar 3 hosts.
Op de VLAN's arp-proxy uitgezet en alles werkt zoals verwacht

Duct tape can't fix stupid, but it can muffle the sound.

woensdag 25 maart 2015 23:25

Acties:

Dafjedavid

Om de gehele config te zien op een Cisco werkt (meestal) het commando "show run all". Dan krijg je ook de defaults te zien die je met een "show run" niet te zien krijgt.

Who Needs Windows...

Pagina: 1

Reageer