Discussion:
Cisco-Router: fehlendes ICMP-redirect
(zu alt für eine Antwort)
Rudolf E. Steiner
2012-09-26 12:42:27 UTC
Permalink
Liebe Routing-Experten.

Ich habe folgendes Problem:

Im IP-Netz "A" stehen Server und ein VPN-Konzentrator. Aus dem IP-Netz "B" werden von dem VPN-Konzentrator IP-Adressen fuer die VPN-Benutzer vergeben.

Beide IP-Netze sind am Layer zwei im selben Netzwerksegment.

Ein Cisco-Router hat selbst ein Interface im IP-Netz "A".

Wenn nun ein VPN-Teilnehmer Daten in das IP-Netz "A" sendet, bekommt der VPN-Konzentrator vom Cisco-Router ein ICMP-redirect und kommuniziert somit "direkt" mit dem Host im IP-Netz "A".

Wenn nun ein System im IP-Netz "A" Daten in das IP-Netz "B" sendet, versendet der Cisco-Router _kein_ ICMP-redirect und die Daten laufen ueber den Cisco-Router.

Der Cisco-Router hat eine statische Route fuer das IP-Netz "B" eingetragen, dessen Ziel die IP-Adresse des VPN-Konzentrators ist.

Hat jemand eine Idee, warum der Cisco-Router im zweiten Fall kein ICMP-redirect versendet bzw. wie ich ihm das beibringen kann?
--
Rudolf E. Steiner
res-***@communicate.at
Juergen Ilse
2012-09-26 12:55:30 UTC
Permalink
Hallo,
Post by Rudolf E. Steiner
Im IP-Netz "A" stehen Server und ein VPN-Konzentrator. Aus dem IP-Netz "B"
werden von dem VPN-Konzentrator IP-Adressen fuer die VPN-Benutzer vergeben.
Also ist "IP-Netz B" eigentlich nur ein VPN-Pool fuer dynamisch vergebene
Adressen an VPN-Clients, die sich mit dem VPN-Konzentrator verbinden?
Post by Rudolf E. Steiner
Beide IP-Netze sind am Layer zwei im selben Netzwerksegment.
???
Post by Rudolf E. Steiner
Ein Cisco-Router hat selbst ein Interface im IP-Netz "A".
Wo sonst noch? Ein Router mit nur einem Interface waere i.d.R. relativ
sinnlos, denn wo zwischen sollte er routen, wenn er nur ein Interface hat?
Post by Rudolf E. Steiner
Wenn nun ein VPN-Teilnehmer Daten in das IP-Netz "A" sendet, bekommt der
VPN-Konzentrator vom Cisco-Router ein ICMP-redirect
Sicher? Wieso? Wenn der VPN-Konzentrator selbst ein Interface in Netz A
hat, benoetigt er kein "ICMP redirect" um die Pakete in das "directly
connected" Netz direkt an den Zielrechner zu senden (und nicht an irgend
ein Gateway).
Post by Rudolf E. Steiner
und kommuniziert somit "direkt" mit dem Host im IP-Netz "A".
Das sollte auch voellig ohne einen weiteren Router in Netz A so sein.
Fuer die "Rueckrichtung" sollten die angesprochenen Rechner in Netz A
allerdings dann fuer Netz B eine Route auf den VPN-Konzentrator haben ...
Post by Rudolf E. Steiner
Wenn nun ein System im IP-Netz "A" Daten in das IP-Netz "B" sendet,
versendet der Cisco-Router _kein_ ICMP-redirect und die Daten laufen
ueber den Cisco-Router.
Wie ist das Interface vom Router in Netz A konfiguriert? Wie sieht dort
das routing aus?
Post by Rudolf E. Steiner
Der Cisco-Router hat eine statische Route fuer das IP-Netz "B" eingetragen,
dessen Ziel die IP-Adresse des VPN-Konzentrators ist.
Fehlt noch die Interface-Konfiguration.
Post by Rudolf E. Steiner
Hat jemand eine Idee, warum der Cisco-Router im zweiten Fall kein
ICMP-redirect versendet bzw. wie ich ihm das beibringen kann?
Wenn du uns mitteilst, wie denn das Interface konfiguriert ist (und evt.
noch IOS-Version, Router-Typ, ...) koennte man evt. etwas dazu sagen.

Tschuess,
Juergen Ilse (***@usenet-verwaltung.de)
--
Ein Domainname ist nur ein Name, nicht mehr und nicht weniger.
Wer mehr hineininterpretiert, hat das Domain-Name-System nicht
verstanden.
Rudolf E. Steiner
2012-09-28 07:56:42 UTC
Permalink
Post by Juergen Ilse
Post by Rudolf E. Steiner
Im IP-Netz "A" stehen Server und ein VPN-Konzentrator. Aus dem IP-Netz "B"
werden von dem VPN-Konzentrator IP-Adressen fuer die VPN-Benutzer vergeben.
Also ist "IP-Netz B" eigentlich nur ein VPN-Pool fuer dynamisch vergebene
Adressen an VPN-Clients, die sich mit dem VPN-Konzentrator verbinden?
Es handelt sich zwar um statische Adressen, aber ja, genau.
Post by Juergen Ilse
Post by Rudolf E. Steiner
Beide IP-Netze sind am Layer zwei im selben Netzwerksegment.
???
Ich versuchte damit nur auszudruecken, dass der VPN-Konzentrator im selben Netz steht und die VPN-IP-Adressen somit auch ohne dem Cisco-Router erreichbar waeren.
Post by Juergen Ilse
Post by Rudolf E. Steiner
Ein Cisco-Router hat selbst ein Interface im IP-Netz "A".
Wo sonst noch? Ein Router mit nur einem Interface waere i.d.R. relativ
sinnlos, denn wo zwischen sollte er routen, wenn er nur ein Interface hat?
Er hat noch viele Andere, aber das sollte in diesem Zusammenhang keine Rolle spielen.
Post by Juergen Ilse
Post by Rudolf E. Steiner
Wenn nun ein VPN-Teilnehmer Daten in das IP-Netz "A" sendet, bekommt der
VPN-Konzentrator vom Cisco-Router ein ICMP-redirect
Sicher? Wieso? Wenn der VPN-Konzentrator selbst ein Interface in Netz A
hat, benoetigt er kein "ICMP redirect" um die Pakete in das "directly
connected" Netz direkt an den Zielrechner zu senden (und nicht an irgend
ein Gateway).
Oh. Ja. Stimmt. Da hatte ich einen Knopf im Kopf. Natuerlich braucht es in diesem Fall kein ICMP-redirect, die Auslieferung erfolgt natuerlich direkt.
Post by Juergen Ilse
Post by Rudolf E. Steiner
und kommuniziert somit "direkt" mit dem Host im IP-Netz "A".
Das sollte auch voellig ohne einen weiteren Router in Netz A so sein.
Genau.
Post by Juergen Ilse
Fuer die "Rueckrichtung" sollten die angesprochenen Rechner in Netz A
allerdings dann fuer Netz B eine Route auf den VPN-Konzentrator haben ...
Ja, genau das gilt es aber mit dem ICMP-redirect zu vemeiden. Ich will vermeiden, auf jedem Host im Netz "A" statisch routen zu muessen.
Post by Juergen Ilse
Post by Rudolf E. Steiner
Wenn nun ein System im IP-Netz "A" Daten in das IP-Netz "B" sendet,
versendet der Cisco-Router _kein_ ICMP-redirect und die Daten laufen
ueber den Cisco-Router.
Wie ist das Interface vom Router in Netz A konfiguriert? Wie sieht dort
das routing aus?
Sehr einfach:

Interfacekonfiguration:

interface FastEthernet0/1.1
encapsulation dot1Q 100
ip address 83.137.41.254 255.255.255.0
no cdp enable

Routingkonfiguration fuer das Netz "B":

ip route 83.137.44.0 255.255.255.0 83.137.41.39
Post by Juergen Ilse
Post by Rudolf E. Steiner
Hat jemand eine Idee, warum der Cisco-Router im zweiten Fall kein
ICMP-redirect versendet bzw. wie ich ihm das beibringen kann?
Wenn du uns mitteilst, wie denn das Interface konfiguriert ist (und evt.
noch IOS-Version, Router-Typ, ...) koennte man evt. etwas dazu sagen.
Folgende Software wird auf dem Router verwendet:

c2800nm-advipservicesk9-mz.124-18
--
Rudolf E. Steiner
res-***@communicate.at
Rudolf E. Steiner
2012-10-05 19:35:01 UTC
Permalink
Post by Rudolf E. Steiner
Ja, genau das gilt es aber mit dem ICMP-redirect zu vemeiden. Ich will
vermeiden, auf jedem Host im Netz "A" statisch routen zu muessen.
Keine Idee dazu? Sollte man sich wegen so etwas evtl. direkt an Cisco wenden?
--
Rudolf E. Steiner
res-***@communicate.at
Juergen Ilse
2012-09-26 12:57:54 UTC
Permalink
Hallo,
[...]

Ach ja: Sind die IP-Netze wirklich disjunkt, oder ist B evt. ein Subnetz
von A? In letzterem Fall duerfte "Proxy-ARP" (bei Cisco-Routern i.d.R.
per Default aktiviert) eine Rolle spielen.

Tschuess,
Juergen Ilse (***@usenet-verwaltung.de)
--
Ein Domainname ist nur ein Name, nicht mehr und nicht weniger.
Wer mehr hineininterpretiert, hat das Domain-Name-System nicht
verstanden.
Rudolf E. Steiner
2012-09-28 12:52:42 UTC
Permalink
Post by Juergen Ilse
Ach ja: Sind die IP-Netze wirklich disjunkt, oder ist B evt. ein Subnetz
von A? In letzterem Fall duerfte "Proxy-ARP" (bei Cisco-Routern i.d.R.
per Default aktiviert) eine Rolle spielen.
Es handelt sich um tatsaechlich verschiedene IP-Netze.
--
Rudolf E. Steiner
res-***@communicate.at
Loading...