gelöst Mikrotik - statische Route (distance, scope, target scope)

Mitglied: michi1983

michi1983 (Level 3) - Jetzt verbinden

20.11.2020 um 11:36 Uhr, 428 Aufrufe, 6 Kommentare

Hallo admins,

gegeben ist ein Netz mit 2 WAN Anschlüssen. Das ist eine Zahnarztpraxis wo der Sozialversicherungsträger einen eigenen WAN Zugang bereitstellt, weil das die verschlüsselte Schnittstelle zum Sozialversicherungsnetz ist.

Internes LAN:

10.10.10.0/24
GW: 10.10.10.254
Mask: 255.255.255.0

Firewall und Router ist ein hEX S von Mikrotik wo an Port1 das separate WAN angeschlossen ist und an Port2 (von der Bridge losgelöst) das LAN (mit oben genannter Konfiguration).

An Port2 des MT hängt dann ein Cisco SG200-26 Switch ohne VLANS, stupides flaches Netz.

An Port 20 des Cisco Switches hängt ein Cisco 887 von der Sozialversicherung. Auf diesen habe ich keinen Zugriff. Allerdings ist dort auf Port3 die so genannte Ginabox konfiguriert in einem eigenen VLAN, welche das Gateway darstellt zum Sozialversicherungs Rechenzentrum. Die Ports 0-2 sind in einem eigenen VLAN und da hängt eben unser Cisco Switch dran. Da ist ein Port fix mit der 10.10.10.200 konfiguriert.

Diese Ginabox hat eine private IP Adresse die die Sozialversicherung in ihrem Netz nutzt. 10.203.xxx.xxx

ordi_netzwerkplan_edit - Klicke auf das Bild, um es zu vergrößern

Die Arztsoftware die auf den Clients läuft, kommuniziert mit dieser Ginabox wenn Daten der Patienten abgefragt werden und geschickt werden.

Ich habe also eine statische Route auf dem Mikrotik eingerichtet.

Jeglicher Traffic, der an die 10.203.xxx.xxx gerichtet ist, soll über die 10.10.10.200 geschickt werden (dies ist der Port unseres Cisco Switches an dem der Cisco der Sozialversicherung hängt).

Aktuell ist das Problem, dass der Traffic extrem langsam ist wenn diese Daten abgefragt werden sollen. Es dauert ca. 2 min bis der erste Dialog aufgebaut wird, und nach Bestätigung nochmal 2 min ca. Aber es funktioniert schlussendlich.

Wenn ich allerdings einen Client hernehme und dem eine IP Adresse aus dem 10.10.10.0/24 Netz verpasse und als Gateway aber die .200 und nicht den MT mit .254, dann funktioniert der Datenaustausch so wie gewünscht. Dafür geht natürlich kein Internet und sonstiges (weil der Cisco der Sozialversicherung dafür nicht konfiguriert ist).
Das sagt mir doch, dass irgendetwas mit dem Gateway bzw. der statischen Route nicht "richtig" ist. Ganz falsch kann es nicht sein, denn es funktioniert ja, nur halt extrem langsam.

bildschirmfoto 2020-11-20 um 10.59.59 - Klicke auf das Bild, um es zu vergrößern

Habt ihr eine Idee woran das liegen kann oder ob ich etwas übersehen habe?

Falls ich noch Infos nachliefern soll, kann ich das gerne tun.

Danke und Gruß,
Michael
Mitglied: aqui
LÖSUNG 20.11.2020, aktualisiert um 12:04 Uhr
Jeglicher Traffic, der an die 10.203.xxx.xxx gerichtet ist, soll über die 10.10.10.200 geschickt werden (dies ist der Port unseres Cisco Switches an dem der Cisco der Sozialversicherung hängt).
Das ist natürlich völliger Quatsch, denn der Cisco SG-200 ist ein reiner Layer 2 Switch der gar nicht routen kann.
Das ist vermutlich ein freudscher Versprecher deinerseits und du meinst den Cisco 800er Router, richtig ??
Dann wäre es technisch richtig.
Aktuell ist das Problem, dass der Traffic extrem langsam ist wenn diese Daten abgefragt werden sollen.
Das liegt sehr wahrscheinlich daran das sowohl auf dem Mikrotik als auch auf dem Cisco Router ICMP Redirect deaktiviert ist. Das gesamte Fehlerbild spricht stark dafür.
Damit sind die Router nicht in der Lage einen Redirect an das Endgerät zu senden so das dieses den zur Route genutzten Router direkt ansprechen kann. Ohne Redirect landen alle Pakete auf dem Default Router und der routet dann weiter. Er funktiert also quasi als "Durchlauferhitzer" und verdoppelt damit den Paket Flow im Netz. Zudem behindert es seinen eigene Performance und macht das Netz entsprechend langsam. Einen lokalen Redirect, also den Reroute auf dem gleichen physischen Interface muss der Router immer in CPU also Software ausführen was ihn erheblich in der Performance einschränkt. Dein "Workaround" beweist diesen Umstand eindeutig.
Hättest du auch leicht selber gesehen wenn du dir diesen Traffic nur einmal mit einem Wireshark Trace angesehen hättest. Leider hast du das versäumt.
Bedenke auch das du an den Clients ebenso das ICMP Redirect freigeben musst. Ist es ein Winblows Rechner erfordert das eine entsprechende Freigabe in der lokalen Firewall da ICMP dort per default geblockt ist.

Das Grundübel im ansonsten richtigen Setup ist aber dein Routing Design mit dem separaten Router im gleichen Client Netz der damit immer ein Redirecting erforderlich macht, will man nicht immer mit doppeltem Traffic arbeiten.
Viel sinnvoller wäre es gewesen den Cisco 887 mit einem Bein direkt an den zentralen Mikrotik in ein separates Subnetz z.B. 10.10.11.0 /24 zu hängen. Das hätte dann einen Redirect Zwang an Router und Clients überflüssig gemacht. Es gibt ja dann nur einen zentralen Router.
Erfordert dann aber seitens des 887 Betreibers 2 kleine Änderungen in der Router Konfig:
  • IP Adress Änderung am LAN Interface auf 10.10.11.200 /24
  • Eintrag einer statischen Route: ip route 10.10.10.0 255.255.255.0 10.10.11.1 (IP Adresse MT im neuen Subnetz)

Letztlich wäre es also besser du würdest das etwas umbauen, denn das erspart dir die Rekonfiguration beider Router und das Anpassen des ICMP Filters in der lokalen Firewall aller Endgeräte !
Bitte warten ..
Mitglied: michi1983
20.11.2020, aktualisiert um 12:09 Uhr
Hi aqui,

danke für deine Antwort.
Ich sagte ja, dass ich diese statische Route auf dem Mikrotik eingerichtet habe. Und zwar auf den Port 10.10.10.200 (diese IP hat der Cisco 800) der an Port 20 meines Cisco SG200 hängt. So passt es nun oder?

Okay, du hast sicherlich Recht damit, dass der Cisco 800 besser direkt am MT aufgehoben ist.
Der Cisco 800 ist allerdings vom Sozialversicherungsträger konfiguriert, darauf hab ich keinen Einfluss.
Da der jetzt aber das selbe IP Netzt nutzt wie mein internes LAN, habe ich ein Problem, richtig?

Kann ich dem Port3 meines MT einfach eine statische IP geben, z.B. 192.168.0.1 und die Kollegen von der Sozialversicherung müssten den Cisco800 an dem Port an dem er an den MT angeschlossen ist einfach dahingehend anpassen?

Danke und Gruß,
Michael

Edit: sorry aqui, hab deine Vorschlag völlig überlesen mit der Adressierung. Vergiss meinen Vorschlag bitte.
Bitte warten ..
Mitglied: aqui
20.11.2020, aktualisiert um 12:15 Uhr
darauf hab ich keinen Einfluss.
Das stimmt ja nicht, denn man kann den Administratoren dort schon Vorgaben machen für lokale LAN Verhältnisse die diese dann umsetzen.
Du kannst das Pferd auch anders aufzäumen indem du das Netzwerk als Koppelnetz belässt aber ein neues IP Netz für deinen lokalen Clients aufsetzt.
Das erspart dann die lokale IP Adressänderung auf dem 887 aber die zusätzliche statische Route ist weiterhin erforderlich !
In der Regel setzen die Administratoren sowas auch problemlos um, denn du bist bei weitem nicht der Einzige der solche externen Dienstleister aus guten Gründen (Sicherheit, DSGVO usw.) in ein separates Segment legt. Das ist gängige und auch gute Praxis. Frag den Kollegen @keine-ahnung hier im Forum !
Kann ich dem Port3 meines MT einfach eine statische IP geben, z.B. 192.168.0.1
Ja, das ist die o.a. angesprochene Option das Clientnetz zu ändern. Besser aber keine dümmliche Allerwelts 192.168.0er IP die die Gefahr einer Überschneidung vorzeichnet. Es gibt sinnvolleres im RFC 1918er Bereich wie du als IT Admin ja auch selber weisst !
Du brauchst aber die statische Route im 887er in das netz sonst scheitert die Rückroute von Traffic ins Clientnetz.
Wie gesagt: Das lösen diese Administratoren immer problemlos sofern man das mit denen abstimmt.
Bitte warten ..
Mitglied: michi1983
20.11.2020 um 13:08 Uhr
Damit meinte ich natürlich keinen - direkten - Einfluss. Natürlich kann ich die Vorgaben machen, was ich auch soeben gemacht habe. Danke für den Hinweis auf jeden Fall!

Meine statische Route im MT muss ich aber dennoch auch umdefinieren, richtig?
Denn es soll ja weiterhin der Traffic der an diese Ginabox geht, dann über das eth3 (in meinem Fall) des MT raus gehen.

Gruß,
Michael
Bitte warten ..
Mitglied: aqui
20.11.2020, aktualisiert um 13:18 Uhr
Meine statische Route im MT muss ich aber dennoch auch umdefinieren, richtig?
Kommt drauf an... ?!
Wenn du das IP Netz des Cisco 887 beibehälst und nur dein lokales Client Netz änderst dann natürlich nicht. Da ändert sich dann doch nix !
Wenn du die erste Variante genommen hast mit der Änderung des Koppelnetzes zum 887, dann musst du es natürlich ändern auf die neue next Hop IP.
Traceroute (tracert) ist hier wie immer dein bester Freund die Route zu verifizieren !
Bitte warten ..
Mitglied: michi1983
26.11.2020 um 19:51 Uhr
So, mittlerweile wurde das Netz dahingehend umgestellt, dass der Cisco 887 der SV an ein zweites Bein meines MTs gesteckt wurde.
Auf dem neuen Interface des MT hab ich ein neues Subnetz definiert - welches von den SV Admins auf dem 887 angepasst werden hat müssen.
Des weiteren habe ich die statische Route in meinem Netz angepasst auf das neue Gateway zu eben diesem 887 Cisco.

Jetzt läuft wieder alles einwandfrei wie es soll.

Danke nochmal aqui!
Bitte warten ..
Heiß diskutierte Inhalte
Off Topic
Wie geht ihr mit grantigen "Kunden" um?
AbstrackterSystemimperatorErfahrungsberichtOff Topic24 Kommentare

Moin Kollegen, mal eine Offtopic Frage in die Runde gestellt. Wie geht ihr mit grantigen "Kunden" (interne IT) / ...

Windows Server
Druckserver Domäne GPO
arik12FrageWindows Server22 Kommentare

Hallo zusammen, Ich möchte einen Druckserver einrichten und Drucker auf dem Druckserver installieren. Die Drucker sollen dann per GPO ...

Netzwerke
Sicherheitsbetrachtung virtualisierte Umgebung
gelöst Philipp711FrageNetzwerke22 Kommentare

Hallo liebe Community, ich habe eine kleine Frage bzgl. der Netzwerksicherheit in virtualisierten Umgebungen. Beispiel: Ich habe einen Hypervisor ...

Outlook & Mail
Nach Update von Office 2013 auf 2016 funktioniert das Autodiscover nicht mehr
gelöst StefanKittelFrageOutlook & Mail14 Kommentare

Hallo, ich habe hier einen PC mit Win10 Prof (20H2). Darauf installiert war Office 2013 Home and Business. Dieses ...

Server-Hardware
Hp Proliant ml350 g5 kommt nicht zum POST
jetstream3000FrageServer-Hardware12 Kommentare

Hallo Forum So hab mir einen Hp Server zum herumprobieren gekauft hat auch alles funktioniert hat zwei Intel Xeon ...

Exchange Server
Exchg2016: ECP-Anzeigefehler oder echtes Problem?
winackerFrageExchange Server12 Kommentare

Hallo, mein Exchg16 (auf SRV16) hat ein Phäomen was bislang keiner aufklären kann - und ich weiß nicht ob ...

Ähnliche Inhalte
Networks
Statisch routen Vlan Switch
solved decehakanQuestionNetworks7 Comments

Hallo Zusammen, zur Lernzwecken beschäftigte ich mich mit statisches Routen und hab dazu eine einfach Frage. Ich hab hier ...

Routers & Routing
Routing Frage, statisch?
solved DerInteressierteQuestionRouters & Routing12 Comments

Ich bin was dieses Problem angeht blutiger Laie und bitte alle Profis um Antwort und Lösung. Ich verwende 2 ...

Windows Server
Disconnect iscsi target
solved HeinrichMQuestionWindows Server8 Comments

Hallo zusammen, ich bin gerade dabei über iscsi einen Sicherungs- Job mit wbadmin einzurichten. Wo ich nicht weiter komme ...

Networks

Statisch - Dynamisches Netzwerk für Internetzugriff

seirex1234QuestionNetworks5 Comments

Hallo, mein Problem ist etwas schwieriger zu erklären. Es geht um ein Lokales Netzwerk. Anhand einer Skizze habe ich ...

SAN, NAS, DAS

QNAP - Sync von iSCSI-Target

HenereQuestionSAN, NAS, DAS12 Comments

Servus zusammen, die nächste Baustelle Ich stehe vor dem Problem, den Inhalt von einem NAS aus auf ein zweites ...

Apache Server

Apache certbot Invalid host in redirect target

Stibe88QuestionApache Server9 Comments

Hallo zusammen Ich wollte soeben einen Reverseproxy installieren. Dies funktioniert auch, bis auf den certbot. Ich konnte diesen installieren, ...

Neue Fragen
Neue Beiträge
Neue Jobangebote