Server 2016 RRAS, hoe pingen naar ander netwerk

donderdag 28 maart 2019 19:39

Acties:

Topicstarter

Mijn vraag
Ik ben bezig met leren voor MCSA 2016 en nou is netwerken niet mijn favoriete deel. Ik heb het volgende netwerkje nagemaakt;

Afbeeldingslocatie: https://i.imgur.com/PPXJQvh.png

Afbeeldingslocatie: https://i.imgur.com/PPXJQvh.png

Ik heb RRAS geïnstalleerd op 'srv2-nug' met DHCP relay agent waardoor het mogelijk is dat 'client2-nug' een dhcp adres krijgt van 'DC-NUG' en ook het internet op kan d.m.v. NAT. DC-NUG heeft een static route van 10.0.0.0 dat verwijst naar Ethernet0 van SRV2-NUG.

Nu probeerde ik te pingen van DC-NUG naar Client2-NUG maar dit komt niet aan. Hoe kan dit en hoe krijg ik voor elkaar dat het wel kan. (heeft verder geen toegevoegde waarde, wil gewoon wat spelen ermee'

Relevante software en hardware die ik gebruik
VCenter 6.7
Server 2016
Windows 10 1803 ofzo.

Wat ik al gevonden of geprobeerd heb
Wanneer ik op SRV2-NUG bij NAT routing Ethernet0 instel op 'Private Interface connected to Private Network' dan kan ik vanaf DC-NUG wel pingen naar Client2-NUG. Maar client2-nug kan dan niet meer internetten. Beide wil ik mogelijk houden.
Alle firewalls staan uit op alle servers.
DC-NUG heeft de volgende static route

Afbeeldingslocatie: https://i.imgur.com/tD8D624.png

Afbeeldingslocatie: https://i.imgur.com/tD8D624.png

(Mijn IP adressen zijn uiteraard iets anders, 192.168.178.63 is de Ethernet0 van SRV2-NUG)

Dit betekent toch dat al het verkeer dat naar 10.0.0.0/24 gaat via Ethernet0 van SRV2-NUG gaat? En srv2-NUG kan weer bij het 10.0.0.0 netwerk. Waarom komt ping dan niet aan?

Client2-NUG kan wel pingen naar DC-NUG, SRV2 kan ook pingen naar beide netwerken.

donderdag 28 maart 2019 20:31

Acties:

Hero of Time

Moderator LNX

There is only one Legend

Installeer Wireshark op de RRAS machine en laat 't luisteren voor ICMP verkeer. Dan weet je of het door je RRAS komt en het antwoord ook terug komt.

Maar test ook eens of Client2-NUG in het 192.168.178.0/24 netwerk kan pingen. Dus ping de RRAS op de E0, ping de gateway op .1 en ping dan ook de DC.

Laat de DC eens pingen naar E0 van de RRAS machine en ping daarna naar E1. Waar krijg je antwoord van en waarvan niet?

[ Voor 8% gewijzigd door Hero of Time op 28-03-2019 20:32 ]

Commandline FTW | Tweakt met mate

donderdag 28 maart 2019 20:53

Acties:

Aschtra

Topicstarter

Hero of Time schreef op donderdag 28 maart 2019 @ 20:31:
Installeer Wireshark op de RRAS machine en laat 't luisteren voor ICMP verkeer. Dan weet je of het door je RRAS komt en het antwoord ook terug komt.

Maar test ook eens of Client2-NUG in het 192.168.178.0/24 netwerk kan pingen. Dus ping de RRAS op de E0, ping de gateway op .1 en ping dan ook de DC.

Laat de DC eens pingen naar E0 van de RRAS machine en ping daarna naar E1. Waar krijg je antwoord van en waarvan niet?

Client2-nug kan pingen naar
192.168.178.61 (dat is DC-NUG) bij mij
192.168.178.63 (ethernet0 van SRV2-NUG)
10.0.0.63 (Ethernet1 van SRV-NUG)

DC-NUG kan pingen naar
192.168.178.63 (Ethernet0 van SRV2-NUG)
Maar niet naar 10.0.0.63 (Ethernet1 van SRV2-NUG)
Maar niet naar 10.0.0.100

Wanneer ik NAT uitschaken dan kan DC-NUG wel pingen naar 10.0.0.63 en naar 10.0.0.100.
Wanneer ik NAT voor de helft inschakel (op SRV2-NUG Ethernet1 instellen als 'private interface connected to private network' dan kan DC-NUG wel pingen naar Client2-nug, maar client2-nug kan dan het internet niet op.

Wireshark result

Afbeeldingslocatie: https://i.imgur.com/ZfWcowN.png

Afbeeldingslocatie: https://i.imgur.com/ZfWcowN.png

donderdag 28 maart 2019 21:28

Acties:

Vorkie

Ik mis een interface op DC-NUG? Om specifiek te zijn, de 10.0.0.0 interface? Nu routeer je het via 192.168.178 netwerk?

In je routing tabel verwacht ik:
192.168.178.0 On-link
10.0.0.0 On-Link

Ah ja, laat maar, het is laat.

Moment...

Volgens mij:
Als internet stuk gaat als het werkt doet de SRV2-NUG geen NAT meer en stuurt dus met het adres 10.0.0.x het 192.168.178.x netwerk op. Door de static route op DC-NUG weet deze de weg wel terug, maar de internet router op het 192.168.178.x netwerk heeft geen idee wat hij moet doen met het 10.0.0.0 adres. (Als je daar een route kan toevoegen dat 10.0.0.0 te vinden is op 192.168.178.63 zou het wel moeten werken, maar dat gaat je idee voorbij met wat je wilt bereiken)

Door NAT aan te zetten op de SRV2-NUG zal verkeer vanaf 10.0.0.0 netwerk omgezet worden naar 192.168.178.63 en zo doende op het internet komen, je komt dan op DC-NUG aan met IP 192.168.178.63.

In theorie zou je dan nog een NAT rule moeten maken dat verkeer vanaf 192.168.178.x naar 10.0.0.0 ook geNAT moet worden, maar kan dit nu even niet testen.

[ Voor 74% gewijzigd door Vorkie op 28-03-2019 21:48 ]

donderdag 28 maart 2019 22:11

Acties:

Hero of Time

Moderator LNX

There is only one Legend

Wat hierboven staat. Omdat je NAT gebruikt, probeer je nu effectief je PC thuis te pingen vanaf een willekeurige PC die aan het internet hangt. Dat werkt natuurlijk niet. Het is dus volledig normaal gedrag wat je ziet als je NAT inschakelt zodat je 10.0.0.x reeks het internet op kan.

Als je bij je router voor internet een route toevoegt voor het interne netwerk waar het tweede netwerk te vinden is (dus 10.0.0.x via 192.168.178.63), kan je de statische route op de DC weg laten. Je kan dan ook NAT uitschakelen op de RRAS zonder internet connectiviteit te verliezen.

Je gedachtegang gaat de mist in, omdat je met privé reeksen werkt die niet via het internet te routeren zijn en zo ook denkt dat omdat het allemaal intern is, met elkaar moet kunnen communiceren. Maar je moet juist groter denken en de 192.168.x.y en 10.x.y.z reeksen niet zien als interne netwerken, maar aparte internet sites.

De RRAS server heeft dezelfde functie als je router. Je hebt 1 netwerk met twee verschillende uitgangen naar andere netwerken toe. Dit vereist toch wel een bepaald inzicht. Je zei al dat netwerken niet je favoriete deel is en dit bewijst het een beetje. Het grotere plaatje moet je wel in je hoofd kunnen maken en bedenken hoe verkeer loopt en hoe routering e.d. werkt. Het is een vaardigheid die je hebt of leert. Of het ligt je gewoon niet en dan zal het altijd een soort van magie blijven voor je. Ik denk dat je er wel uit gaat komen, maar echt dieper denken zoals een netwerkbeheerder dat kan zal je waarschijnlijk niet doen.

IMO moet MS ook gewoon stoppen met het hele RRAS principe. Het is niet meer van deze tijd (nooit geweest ook eigenlijk), geen enkel zelf-respecterende beheerder zal een Windows server als router in gaan zetten.

Commandline FTW | Tweakt met mate

donderdag 28 maart 2019 22:55

Acties:

Aschtra

Topicstarter

Vorkie schreef op donderdag 28 maart 2019 @ 21:28:

Volgens mij:
Als internet stuk gaat als het werkt doet de SRV2-NUG geen NAT meer en stuurt dus met het adres 10.0.0.x het 192.168.178.x netwerk op. Door de static route op DC-NUG weet deze de weg wel terug, maar de internet router op het 192.168.178.x netwerk heeft geen idee wat hij moet doen met het 10.0.0.0 adres. (Als je daar een route kan toevoegen dat 10.0.0.0 te vinden is op 192.168.178.63 zou het wel moeten werken, maar dat gaat je idee voorbij met wat je wilt bereiken)

Dit dacht ik inderdaad al. Ik durf het bijna niet te zeggen maar thuis heb ik nog de standaard Ziggo router

Iets met nog thuiswonen en moeders die het allemaal maar gekloot vind

Hero of Time schreef op donderdag 28 maart 2019 @ 22:11:

Als je bij je router voor internet een route toevoegt voor het interne netwerk waar het tweede netwerk te vinden is (dus 10.0.0.x via 192.168.178.63), kan je de statische route op de DC weg laten. Je kan dan ook NAT uitschakelen op de RRAS zonder internet connectiviteit te verliezen.

Dat is exact wat een collega van de netwerk afdeling zei, maar ik heb helaas geen mogelijkheid (dat ik weet tenminste) om zo'n route toe te voegen aan de Ziggo router

Je gedachtegang gaat de mist in, omdat je met privé reeksen werkt die niet via het internet te routeren zijn en zo ook denkt dat omdat het allemaal intern is, met elkaar moet kunnen communiceren. Maar je moet juist groter denken en de 192.168.x.y en 10.x.y.z reeksen niet zien als interne netwerken, maar aparte internet sites.

De RRAS server heeft dezelfde functie als je router. Je hebt 1 netwerk met twee verschillende uitgangen naar andere netwerken toe. Dit vereist toch wel een bepaald inzicht. Je zei al dat netwerken niet je favoriete deel is en dit bewijst het een beetje. Het grotere plaatje moet je wel in je hoofd kunnen maken en bedenken hoe verkeer loopt en hoe routering e.d. werkt. Het is een vaardigheid die je hebt of leert. Of het ligt je gewoon niet en dan zal het altijd een soort van magie blijven voor je. Ik denk dat je er wel uit gaat komen, maar echt dieper denken zoals een netwerkbeheerder dat kan zal je waarschijnlijk niet doen.

IMO moet MS ook gewoon stoppen met het hele RRAS principe. Het is niet meer van deze tijd (nooit geweest ook eigenlijk), geen enkel zelf-respecterende beheerder zal een Windows server als router in gaan zetten.

Uiteraard hoop ik dat niemand een Windows Server als echte router gaat gebruiken. Het was echter onderdeel van de CBTNuggets Cursus om DHCP relay agent in te stellen op een netwerk zoals in het plaatje. Ook weer iets dat niemand gebruikt in de realiteit maargoed.
Hier op werk hebben we een eigen netwerk afdeling apart van het IAAS beheer team waarin ik zit. Dus in de praktijk doe ik ook weinig met netwerken. Heb ook moeite om een netwerktekening om te zetten naar het 'echt' daarom juist geprobeerd dit na te maken in VCenter

Wanneer klanten problemen hebben met netwerkverbinding kijk ik in onze splunk monitoring of er denies optreden. Zo ja, dan kan ik dat eventueel open zetten met weer andere tooling.
Wordt ons allemaal heel gemakkelijk gemaakt tegenwoordig.

Vraag

Alle reacties