Routing Redirection Protokoll - oder was?

Herbert_Leitner · 20. März 2006 um 17:48

Hallo!

Ich habe meine Firewall (= Router) zum Internet auf der IP - Adresse
192.168.0.1 / 24

Nun möchte ich auf der LAN Seite einen zweiten Router zum Netzwerk
192.168.1.0 / 24 einrichten, dieser hat die IP
192.168.0.2 (LAN) und 192.168.1.1 (WAN = mein zweites Netzerk)

Eigentlich sollte es reichen, daß ich der Firewall (192.168.0.1) die Route mitteile
route add 192.168.1.0 mask 255.255.255.0 192.168.0.2 (sprich die Rote zu 192.168.1.x geht über 192.168.0.2.)

Nun habe ich eine 3com Firewall, da funktioniert das blendend, und die Clients im Netzwerk
192.168.0.x erreichen ohne Probleme das Netzwerk (und damit die Hosts) unter
192.168.1.x

Die Clients lernen von der Firewall selbständig, über welchen Router (192.168.0.2) das Netzwerk 192.168.1.0 erreichbar ist. (Ich denke, das hieißt RRP = Routing Redirection Protocol), die Route wird redirectet.

Ich kann mir dort die Routing - Tabelle auf den Clients ansehen und es passt. Gleich nach dem Start ist der Eintrag nicht vorhanden, beim ersten zugriff auf 192.168.1.0 wird die Tabelle selbständig erweitert und die Clients haben das gelernt.

Nun habe ich die 3com Firewall ersetzt und eine Cisco Pix 501 hier her gestellt.
Nun wissen die Clients plötzlich nichts mehr von 192.168.1.x.
Ich frag mich warum. Es kann nur so sein, daß auf der Pix das RRP (wenns den sowas gibt) abgeschaltet ist.

Die Alternative - auf jedem Client die Route statisch zu hinterlegen - gefällt mir gar nicht!

Wer kann helfen?

tks!
Herbert

Seppi_db2011 · 21. März 2006 um 19:32

Hallo Herbert

Seit wann lernen Clients Routen?
Seit wann haben Clients eine Routing-Table?
Ein Client hat eine IP-Adresse, Subnet-Maske und ein Default-Gateway.
Dazu kommen ARP-Tabelle und DNS-Cache

Kannst Du mir mal erklären, was Du da machst oder was Du meinst?

Nun, RRP sagt mir gar nichts und auch das Internet schweigt sich darüber aus. Wieso es mit der 3Com-Firewall klappt weiss ich auch nicht … aber eine Firewall ist kein Router

Seppi

PS: Wenn 3Com mit RRP das schafft, dann „verbiegen“ sie so ziemlich jeden Standard.

Herbert_Leitner · 21. März 2006 um 20:19

Hallo!

DAnk Dir für die Antwort!
Leider bist Du mir keine große Stütze!
Ich habe das Problem bereits gelöst, ich gehe nur schnell auf die wichtigsten Sachen ein:

Seit wann lernen Clients Routen?

Mehrere Möglichkeiten: z.B: über ICPM Redirection oder RIP (hab ich beides bereits gemacht)!
Sie lernen die Route - also den weg zum nächsten HOB, der dem Ziel näher kommt.

Seit wann haben Clients eine Routing-Table?

DAs ist doch wohl nicht dein Ernst, oder?
Schnapp Dir ne Eingabeaufforderung und gibt ein:
route print
Da sihst du bereits (je nach Konfiguration) zwei hand voll Routen.
Mehr werden es z.B. durch mehrere Netzwerkkarten, RIP, ICMP Redirect, …

Ein Client hat eine IP-Adresse, Subnet-Maske und ein
Default-Gateway.

Sicher, und Speicher, und Prozessor, und Tastatur - und eine Routingtabelle!

Dazu kommen ARP-Tabelle und DNS-Cache

Na da würden mich noch ein paar Dinge einfallen, IRQ-Tabelle, …

Kannst Du mir mal erklären, was Du da machst oder was Du
meinst?

Ich habe ein LAN das drahtgebunden ist, und auf 192.168.0.0 läuft.
Dahinter lege ich mein WLAN das auf 192.168.1.0 läuft. DAzuwischen route ich.

Dank Dir!
Herbert

Seppi_db2011 · 21. März 2006 um 22:34

Hallo Herbert

Seit wann lernen Clients Routen?

Mehrere Möglichkeiten: z.B: über ICPM Redirection oder RIP
(hab ich beides bereits gemacht)!
Sie lernen die Route - also den weg zum nächsten HOB, der dem
Ziel näher kommt.

–> Netzwerktechnisch gesprochen ist ein Gerät, welches RIP spricht Standard-PC oder Unix-Server mit entsprechender Software.

Aber wenn RIP läuft ist klar, dass Du Routen hast … da hast Du allerdings recht. Leider hast Du in Deinem ersten Threat kein Wort von RIP geschrieben; die Funktion von RIP brauchst Du mir trotzdem nicht erklären.

ICMP Redirect hat übrigens nicht direkt mit Routing zu tun … ist an und für sich nur eine Optimierung im lokalen Netz.

Ein Client hat eine IP-Adresse, Subnet-Maske und ein
Default-Gateway.

Sicher, und Speicher, und Prozessor, und Tastatur - und eine
Routingtabelle!

–> Auch hier habe ich die Geschichte Netzwerktechnisch angesehen … gut in dem Punkt habe ich die NIC vergessen. Jedoch gilt auch hier: Wenn Du von einem Client sprichst, erwarte ich keine Router.

Jetzt noch für uns Blöden:
Wie hast Du denn nun Dein Problem gelöst?

Seppi

Seppi_db2011 · 21. März 2006 um 22:52

Uups da fehlt was

–> Netzwerktechnisch gesprochen ist ein Gerät, welches RIP
spricht Standard-PC oder Unix-Server mit entsprechender
Software.

–> Netzwerktechnisch gesprochen ist ein Gerät, welches RIP spricht ein Router … Egal ob spez. Hardware oder Standard-PC oder Unix-Server mit entsprechender Software

Herbert_Leitner · 22. März 2006 um 08:15

Jetzt noch für uns Blöden:
Wie hast Du denn nun Dein Problem gelöst?

Hallo!

Ich hatte erwähnt, ich habe eine Cisco PIX anstelle der alten 3com Firewall installiert. Ich hatte irgendwann eine Ausbildung von Cisco (CCNA = Cisco Certified Network Administrator) gemacht und von daher kenn ich das IOS von den Routern so ein bischen.

Nun hatte ich das Problem, daß plötzlich die Clients von Netzwerk 0 =
192.168.0.x
nicht mehr zum Netzwerk 1 =
192.168.1.0
finden.

Obwhl der ZUgriff auf das Internet ganz normmal funktioniert hat, von beiden Netzwerken aus. Muss ja, weil die Firewall ja die Route kennt
(route zum 192.168.1.0 geht über den Host 192.168.0.2)

Ich wußte, daß die Cisco Router ein ICMP Redirekt machen, und damit lernen die Clients vom Netzwerk 0, wie sie zum Netzwerk 1 (über 192.168.0.2) kommen. Das konnte ich auch in der Routing Tabelle der Clients sehen.

Nun plötzlich hatten die das nicht mehr gelernt und ich habe mnich gefragt warum.

Ich habe mich auf den Seiten von Cisco umgesehen und dort habe ich gefunden, daß keine Firewall von Cisco das ICMP Redirekt kann und macht. Nun hatte ich gefunden, was der Grund dafür war - aber keine Lösung!

Nun gabs es Möglichkeit, die Route im Netzwerk 0 zum Netzwerk 1 statisch einpflegen
route -p add 192.168.1.0 mask 255.255.255.0 192.168.0.2 1
Das geht aber nicht weil ich auch Printserver habe, wo ich keine Routen eintragen kann.

Die Lösung bestand aus mehreren Teilen:
1.) die meisten meiner Clients besorgen sich per DHCP eine IP - Adresse. Der Punkt 249 bietet die MÖglichkeit, Routen mit zu geben. Das geht aber erst seit Windows XP. Damit hatte ich fast alle meiner Clietns erreicht.
2.) Die restlichen Clients haben als Standard Gateway die IP - Adresse zum Netzwerk 1 mit der Nummer
192.168.0.2 gekriegt. Der Router macht ICMP Redirect und veranlaßt, daß sie Packete zur Firewall gesendet werden.

Ich wußte daß es ICMP Redirect gibt, kannte aber den Namen nicht mehr. Daher habe ich bei meiner ersten Frage das Ding als "Routing Redirection Protokoll = RRP) bezeichnet.

Gruß und Dank!

Herbert