R3000 extended routing

Dieses Thema im Forum "Bintec" wurde erstellt von banjo, 28. September 2010.

  1. banjo

    banjo Fachmann

    Registriert seit:
    9. November 2008
    Beiträge:
    191
    Punkte für Erfolge:
    0
    Hallo zusammen,

    ich habe einen R3000 mit 2 Internetleitungen, einmal über das integrierte DSL-Modem (Leitung 1) und einmal über ein externen Modem (Leitung 2). Desweiteren bestehen 4 IPSec VPNs, die momentan alle über Leitung 1 verbunden sind.
    Ich möchte ein Routing für einen einzelnen Client konfigurieren, das den gesamten Traffic über Leitung 2 schickt, Traffic über Port 80 jedoch über Leitung 1. Ich habe im extended routing hierfür eine default route Typ LAN auf Leitung 2 für diesen Client erzeugt und bei Protoll "don't verify" angegeben mit Metric 2, zusätzlich ein weiteres extended routing (default route Typ "WAN without transit network") auf den WAN-Partner Leitung 1 für denselben Client und diesmal den TCP Port 80 angegeben, Metric 1.

    Resultat: Extended Routing greift nicht, alles geht über Leitung 2, auch Port 80.
    Was mache ich falsch?
     
  2. mvmmgda

    mvmmgda Kenner

    Registriert seit:
    16. Februar 2010
    Beiträge:
    99
    Punkte für Erfolge:
    0
    Hallo banjo,

    wieso bei Leitung 2 Typ "LAN"? Auch das externe Modem wird doch über PPPoE angesprochen, oder?
    Im Moment greift, glaube ich, keine der Extended Routen und Leitung 2 hat lediglich von der normalen Default Route den ersten Tabelleneintrag in der MIB oder die bessere Metrik.
    Fährst Du eigentlich Loadbalancing mit den beiden WAN-Partnern?
    Bitte mal die ipExtRtTable und die Ausgabe von netstat -re posten (Aufruf jeweils von der SNMP-Shell, erreichbar nach Login über telnet/ssh/seriell), das bringt denke ich am schnellsten Licht in die Sache.

    Gruesse

    MvmmgdA

    PS: Bitte offizielle IPs ändern oder maskieren, hatte erst kürzlich im Bekanntenkreis nach einem Forumspost Angriffe.
     
  3. banjo

    banjo Fachmann

    Registriert seit:
    9. November 2008
    Beiträge:
    191
    Punkte für Erfolge:
    0
    Hallo MvmmgdA,
    vielen Dank für Deine Hilfe.
    Der Provider von Leitung 2 stellt mir ein fertig konfigurierten Router mit Modem (fälschlicherweise in meinem Posting nur als Modem bezeichnet) als Endpoint zur Verfügung mit festen IPs. Dies ist en1-4 verbunden. Deshalb Typ LAN ohne Authentifizierung. Läuft auch soweit. Das Netzwerk befindet sich in einer Übergangsphase. Leitung 1 (momentan die aktuelle Leitung, über die alles geht), wird später als reine Backupleitung fungieren. Momentan habe ich Leitung 2 im Test und mchte diese ein Zeit lang nur von einem Client aus verwenden, während der rest der 50 PCs auf Leitung 1 bleiben soll. Es ist kein Loadbalancing.

    Die Ausgabe mit Erläuderung habe ich maskariert angehängt.

    Grüße Dirk
     

    Anhänge:

    • R3000.png
      R3000.png
      Dateigröße:
      76,2 KB
      Aufrufe:
      103
  4. mvmmgda

    mvmmgda Kenner

    Registriert seit:
    16. Februar 2010
    Beiträge:
    99
    Punkte für Erfolge:
    0
    Hab den Fehler denke ich entdeckt. Setze mal den Sourceport der http-Route auf any. Windows und Konsorten (Betriebssysteme halt) benutzen aufsteigende Ports aus dem Private Port Bereich (1024-65535) als Sourceport, so dass der Filter nicht matchen konnte.

    Viel Erfolg

    wünscht

    MvmmgdA
     
  5. banjo

    banjo Fachmann

    Registriert seit:
    9. November 2008
    Beiträge:
    191
    Punkte für Erfolge:
    0
    Super, genau das wars! Ich war mir sicher, das auch schon im Laufe des Tages probiert zu haben, aber jetzt gehts. Danke!

    Und wie das so ist mit dem kleinen Finger und der ganzen Hand:
    Ich habe 4 IPsec VPNs über Leitung 1 sowie eine Fernwartungssoftware auf Port 8888. Ebenso möchte ich Telnet auf diese 4 VPNs routen (dort stehen auch Funkwerk Router).
    Mit der aktuellen Einstellung der extended route wird versucht, Port 8888 bzw. 23 über Leitung 2 zu erreichen, was natürlich fehlschlägt, da die VPNs über Leitung 1 stehen. Wie kann ich Portgruppen im extended routing so definieren, dass diese Ports "gleichzeitig" auf die 4 VPNs geroutet werden? Tricky dabei ist, dass Port 8888 bzw. 23 in Abhängigkeit der ZielIP mal über VPN1, mal über VPN2, mal über VPN3 etc. gehen muss.
    Wäre super, wenn Du dazu noch einen Tipp hättest.

    Viele Grüße
    Dirk
     
  6. mvmmgda

    mvmmgda Kenner

    Registriert seit:
    16. Februar 2010
    Beiträge:
    99
    Punkte für Erfolge:
    0
    Hallo banjo,

    da das ja, wie von Dir geschildert, nur für einen Client gelten soll, bleibt Dir nur die Konfigurationsarbeit fuer jeden VPN Tunnel eine Extended Network Route mit besserer Metrik als die Extended Default Route zu erstellen. Hier würde ich auch gar nicht auf die Ports losgehen, da sonst grundsaetzlich die VPNs für diesen Rechner nicht erreichbar sind. Gleiches gilt uebrigens auch fuer alle Netze, die von diesem Client noch erreicht werden muessen. Eine Extended Route (Policy Based Route) kommt nun mal vor allen anderen Routen ...
    Also, nochmal (mindestens) 4 ERs, Abhaengigkeit nur Ziel- und Quell-IP, bessere Metrik als Default ER.

    Viel Erfolg

    wünscht

    MvmmgdA
     
  7. banjo

    banjo Fachmann

    Registriert seit:
    9. November 2008
    Beiträge:
    191
    Punkte für Erfolge:
    0
    Prima, danke Dir, so funktionierts.

    Viele Grüße
    Dirk