May 08, 2021, updated at 15:20:50 (UTC)

3900

Routing Verständnisfrage

Moin,
ich steh gerade etwas auf dem Schlauch.

Ich habe im Wesentlichen zwei Netze:
1.) 192.168.0.0 / 24
Das ist das Netz hinter meinem Internet Modem

2.) mein Lab Netz 192.168.1.0 / 24

Es gibt einen Router (Ubiquity Edgerouter)
Eth0 mit 192.168.1.1
Eth1 mit 192.168.0.251

Ich hab nun in meinem 192.168.0 Netz einen Host 192.168.0.110
Dort habe ich eine statische Route mit route add (parameter) -p eingetragen
route add 192.168.1.0 mask 255.255.255.0 192.168.0.251

in dem 192.168.1 Netz hab ich einen Host 192.168.1.3
route add 192.168.0.0 mask 255.255.255.0 192.168.1.1 -p

Der Router zeigt mir

nun mein Problem
ein Ping von 192.168.0.110 auf 192.168.1.3 geht

ein Ping von 192.168.1.3 auf 192.168.0.110 geht nicht (Firewalls auf beiden systemen offen)

Ein Ping von 192.168.1.3 auf das Interface im 0er Netz geht - Ping auf 192.168.0.251
aber nicht auf andere IP Addressen...

mach ich da was falsch? warum routet der Router nur von 0er Netz ins 1er Netz, aber nicht andersherum?
Bin über Ratschläge sehr dankbar

Please also mark the comments that contributed to the solution of the article

Content-Key: 666537

Url: https://administrator.de/contentid/666537

Printed on: April 19, 2024 at 17:04 o'clock

6 Comments

Latest comment

NAT auf dem Router abgeschaltet?

aber nicht auf andere IP Addressen...

Ist zu erwarten.... 😉
Sehr wahrscheinlich haben alle diese "anderen" IP Adressen den Standard Router 192.168.0.1, den du fälschlicherweise als "Internet Modem" bezeichnest, als Default Gateway eingetragen.
Wollen diese "anderen" IP Adressen nun auf den Absender Ping 192.168.1.3 antworten, schicken sie die Antwort deshalb an die .0.1 und der wiederum nimmt sein Default Gateway und schickt es weiter zum Provider ins ewige Nirwana für private RFC 1918 IP Adressen. Was soll er auch machen wenn ihm die spezifische Route ins 1.0er Netz fehlt. Da bleibt ihm nur das default Gateway als "gateway of last resort".

Mit anderen Worten:
Works as designed ! Bzw. du hast für die "anderen" vergessen auf dem "Internet Modem" eine feste statische Route ala:
Zielnetz: 192.168.1.0, Maske: 255.255.255.0, Gateway: 192.168.0.251
einzutragen.

Hätte dir übrigens dann auch die überflüssigen Einzelrouten auf den 0.0er Endgeräten von oben erspart. Routen soll der Router und nicht die Endgeräte... Alte goldene Netzwerker Weisheit.
Im Zweifel immer in die Routing_Grundlagen sehen hier. Da stehen die Lösungen zu unheimlichen Routing und NAT Phänomenen... 😉

ich erwähnte, daß die Systeme in dem 192.168.0.0/24 Netz einen Eintrag in der Routingtabelle für das 192.168.1.0/24 Netz hatten und diese per Ping ansprechbar sind. Acuh per RDP und Fileshare. DEshalb ist die Aussage mit dem Internetmodem falsch...

tracert 192.168.1.3 (von 192.168.0.110)

Routenverfolgung zu 16SRV2003R2 [192.168.1.3]
über maximal 30 Hops:

  1     5 ms     4 ms     4 ms  192.168.0.251
  2     4 ms     6 ms     6 ms  16SRV2003R2 [192.168.1.3]
Ablaufverfolgung beendet.

das würde nur bemüht werden wenn ich keine statischen Routen festgelegt hätte. ich hatte ausdrücklich beschrieben, daß die Routen mit dem route Befehl definiert wurden.

IPv4-Routentabelle
===========================================================================
Aktive Routen:
     Netzwerkziel    Netzwerkmaske          Gateway    Schnittstelle Metrik
          0.0.0.0          0.0.0.0      192.168.0.1    192.168.0.104     30
        127.0.0.0        255.0.0.0   Auf Verbindung         127.0.0.1    331
        127.0.0.1  255.255.255.255   Auf Verbindung         127.0.0.1    331
  127.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    331
      192.168.0.0    255.255.255.0   Auf Verbindung     192.168.0.104    286
    192.168.0.104  255.255.255.255   Auf Verbindung     192.168.0.104    286
    192.168.0.255  255.255.255.255   Auf Verbindung     192.168.0.104    286
      192.168.1.0    255.255.255.0    192.168.0.251    192.168.0.104     31
        224.0.0.0        240.0.0.0   Auf Verbindung         127.0.0.1    331
        224.0.0.0        240.0.0.0   Auf Verbindung     192.168.0.104    286
  255.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    331
  255.255.255.255  255.255.255.255   Auf Verbindung     192.168.0.104    286
===========================================================================
Ständige Routen:
  Netzwerkadresse          Netzmaske  Gatewayadresse  Metrik
      192.168.1.0    255.255.255.0    192.168.0.251       1

ich glaube daß tikayevent den Finger näher am Puls hatte... es ist aber kein NAT aktiv, keine Firewall, rein garnichts... das Verhalten ändert sich auch nicht wenn ich die IP Addressen auf andere Ports lege... werde den Router morgen aber mal resetten und das Setup neu machen. Wenn ich das Interface des Routers im 192.168.0.0/24 Netz aus dem 192.168.1.0/24 Netz anpingen kann aber andere Addressen nicht, dann verlassen die IGMP Echo Pakete den Router nicht

ICMP, nicht IGMP, wir fangen erstmal klein an, Multicast kommt später.

Ich hatte NAT in Verdacht, weil häufig eine Grundkonfiguration vorhanden ist, die einen sofortigen Internetzugang ermöglichen soll und dafür NAT benötigt.
Ich hoffe mal, dass du die Windows-Firewalls vorher umkonfiguriert oder deaktiviert hast.

Wenn ich das Interface des Routers im 192.168.0.0/24 Netz aus dem 192.168.1.0/24 Netz anpingen

Heißt erstmal nichts, Router können die lustigsten Verhaltensweisen an den Tag legen. Wenn es zu keinem schnellen Erfolg kommt, könnte man per Wireshark schauen, ob es überhaupt rausgeht, aber vorher würde ich erstmal ins Debug-Logging schauen.

DEshalb ist die Aussage mit dem Internetmodem falsch...

Sorry wenn das missverständlich war. Es war so gemeint das ein Modem eben ein Modem ist und kein Router. Modem und Router sind 2 technisch verschiedene Dinge...aber egal hat mit dem Thema auch nur am Rand zu tun !!

ich hatte ausdrücklich beschrieben, daß die Routen mit dem route Befehl definiert wurden.

Das war klar ! Der Einwand oben bezog sich auch lediglich nur auf die anderen Geräte im Netzwerk die versucht wurde anzupingen und die eben NICHT diese zusätzliche statische Route haben. Die kann man dann ohne Route natürlich aus dem oben beschriebenen Gründen nicht anpingen.

Das es bei den beteiligten Systemen die diese statische Route haben nur einseitig klappt kann nur 2 Gründe haben:

ICMP (nicht IGMP, das ist Multicast !) wird irgendwo geblockt
Der Router macht auf einem Interface NAT

Wenn du wirklich die lokale Firewall (und auch die Firewall am Router !) sicher ausschliessen kannst, dann kann es nur NAT sein.
Das Einfachste ist immer mal einen Wireshark zu bemühen und zu sehen WAS genau an den Endgeräten ankommt, bzw. WO die Antwort dann hingeht !
Siehst du im Wireshark dort keine eingehenden ICMP Echo Request Pakete dann ist es doch ganz sicher das der Router irgendwas filtert ! Sei es NAT oder ein Firewall Regelwerk was aktiv ist.
Sieht man sie, gehen aber an ein falsches Gateway stimmt was mit dem Routing nicht. Wireshark ist also immer der "best friend" hier.

Wenn ich das Interface des Routers im 192.168.0.0/24 Netz aus dem 192.168.1.0/24 Netz anpingen kann aber andere Addressen nicht, dann verlassen die IGMP Echo Pakete den Router nicht

ICMP meinst du sicher, oder ?
Nein, das ist falsch bzw. gilt nur für die 2 Teilnehmer die die o.a. statischen Routen definiert haben. Die Geräte die diese Route nicht haben schicken ihre Echo Reply Antwort an den Internet Router der ja ihr einziges Gateway ist und der schickt das ICMP Echo Reply dann in den RFC 1918 Datenmülleimer des Providers.
Sprich der Router sendet schon aber die Antwort geht den falschen Weg ! Ein Bild sagt mehr als 1000 Worte....

Es wäre netzwerktechnisch wie immer sinnvoller die statischen Routen NICHT auf den Endgeräten zu definieren sondern immer auf den beteiligten Routern in den jeweiligen Netzen. Es sei denn man will das Routing nur auf diese Hosts limitieren oder hängt von anderen Restriktionen in den Netzen ab.

Es war die Defaultgateway Handhabung unter Windows 10, die hat einen Bug bei der Antwort auf einen Ping.

Direktzugriffe auf Systeme in dem 192.168.0.0 Netz gehen... RDP, HTTP wenn das angesprochene System eine statische Route zum Router hat an dem das Herkunftsnetz hängt.

Trotz auflösbarer Route zum Zielnetz wurde für die Ping Antwort der Defaultgateway genommen und nicht die statische Route .... höchstwahrscheinlich... um es zu verifizieren müßte ich auf der Vodaphone Dingsbumsbox einen Paketsniffer aktivieren, sowas gibts da aber nicht.

In dieser Konstellation aus Route und Metric ist der "Rückweg" versperrt, die Metric des Default gateways ist kleiner wie die zum Zielnetz. Die Konfiguration war per DHCP geladen worden, und Windows hat die Metric des Deafult Gateways auf 30 gesetzt, die meines Zielnetzes auf 31

Von Problemen mit 2 Interfaces im selben IP Range kannte ich die Bedeutung der Metric, daß sie aber SO angewendet auch einen Sinn beim Routing hat... bin kein Guru in dem Bereich.

0.0.0.0          0.0.0.0      192.168.0.1    192.168.0.104     30
192.168.1.0    255.255.255.0    192.168.0.251    192.168.0.104     31

aber mit dieser Variante funktioniert es (in Windows von DHCP auf manuell umgeschaltet, Default gateway und Route nach 192.168.1.0/24 manuell definiert

0.0.0.0          0.0.0.0      192.168.0.1    192.168.0.104     55
192.168.1.0    255.255.255.0    192.168.0.251    192.168.0.104     26

Das Zauberwort heißt also...
route add 0.0.0.0 mask 0.0.0.0 192.168.0.110 -p metric 255

Damit die Pingantwort den korrekten Weg geht.

German solved Question Routers, Routing Networks

Hotly discussed

Check of ZFW Firewallgleixnerd - 3 Comments

How to set up and configure a Linux GRE tunnelAlexWisha - 3 Comments

WIREGUARD VPN ON UDM PRO BEHIND FRITZBOX - HANDSHAKE DID NOT COMPLETEjstricker - 3 Comments

End of Support dates for Office 2016, 2019 Apps und Productivity ServersDani - 1 Comment