Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss
Cisco-Router: fehlendes ICMP-redirect
26 views
Skip to first unread message
Rudolf E. Steiner
Sep 26, 2012, 8:42:27 AM9/26/12
to
Liebe Routing-Experten.
Ich habe folgendes Problem:
Im IP-Netz "A" stehen Server und ein VPN-Konzentrator. Aus dem IP-Netz "B" werden von dem VPN-Konzentrator IP-Adressen fuer die VPN-Benutzer vergeben.
Beide IP-Netze sind am Layer zwei im selben Netzwerksegment.
Ein Cisco-Router hat selbst ein Interface im IP-Netz "A".
Wenn nun ein VPN-Teilnehmer Daten in das IP-Netz "A" sendet, bekommt der VPN-Konzentrator vom Cisco-Router ein ICMP-redirect und kommuniziert somit "direkt" mit dem Host im IP-Netz "A".
Wenn nun ein System im IP-Netz "A" Daten in das IP-Netz "B" sendet, versendet der Cisco-Router _kein_ ICMP-redirect und die Daten laufen ueber den Cisco-Router.
Der Cisco-Router hat eine statische Route fuer das IP-Netz "B" eingetragen, dessen Ziel die IP-Adresse des VPN-Konzentrators ist.
Hat jemand eine Idee, warum der Cisco-Router im zweiten Fall kein ICMP-redirect versendet bzw. wie ich ihm das beibringen kann?
--
Rudolf E. Steiner
res-u...@communicate.at
Ich habe folgendes Problem:
Im IP-Netz "A" stehen Server und ein VPN-Konzentrator. Aus dem IP-Netz "B" werden von dem VPN-Konzentrator IP-Adressen fuer die VPN-Benutzer vergeben.
Beide IP-Netze sind am Layer zwei im selben Netzwerksegment.
Ein Cisco-Router hat selbst ein Interface im IP-Netz "A".
Wenn nun ein VPN-Teilnehmer Daten in das IP-Netz "A" sendet, bekommt der VPN-Konzentrator vom Cisco-Router ein ICMP-redirect und kommuniziert somit "direkt" mit dem Host im IP-Netz "A".
Wenn nun ein System im IP-Netz "A" Daten in das IP-Netz "B" sendet, versendet der Cisco-Router _kein_ ICMP-redirect und die Daten laufen ueber den Cisco-Router.
Der Cisco-Router hat eine statische Route fuer das IP-Netz "B" eingetragen, dessen Ziel die IP-Adresse des VPN-Konzentrators ist.
Hat jemand eine Idee, warum der Cisco-Router im zweiten Fall kein ICMP-redirect versendet bzw. wie ich ihm das beibringen kann?
--
Rudolf E. Steiner
res-u...@communicate.at
Juergen Ilse
Sep 26, 2012, 8:55:30 AM9/26/12
to
Hallo,
Rudolf E. Steiner <res-u...@communicate.at> wrote:
> Ich habe folgendes Problem:
> Im IP-Netz "A" stehen Server und ein VPN-Konzentrator. Aus dem IP-Netz "B"
> werden von dem VPN-Konzentrator IP-Adressen fuer die VPN-Benutzer vergeben.
Also ist "IP-Netz B" eigentlich nur ein VPN-Pool fuer dynamisch vergebene
Adressen an VPN-Clients, die sich mit dem VPN-Konzentrator verbinden?
> Beide IP-Netze sind am Layer zwei im selben Netzwerksegment.
???
> Ein Cisco-Router hat selbst ein Interface im IP-Netz "A".
Wo sonst noch? Ein Router mit nur einem Interface waere i.d.R. relativ
sinnlos, denn wo zwischen sollte er routen, wenn er nur ein Interface hat?
> Wenn nun ein VPN-Teilnehmer Daten in das IP-Netz "A" sendet, bekommt der
> VPN-Konzentrator vom Cisco-Router ein ICMP-redirect
Sicher? Wieso? Wenn der VPN-Konzentrator selbst ein Interface in Netz A
hat, benoetigt er kein "ICMP redirect" um die Pakete in das "directly
connected" Netz direkt an den Zielrechner zu senden (und nicht an irgend
ein Gateway).
> und kommuniziert somit "direkt" mit dem Host im IP-Netz "A".
Das sollte auch voellig ohne einen weiteren Router in Netz A so sein.
Fuer die "Rueckrichtung" sollten die angesprochenen Rechner in Netz A
allerdings dann fuer Netz B eine Route auf den VPN-Konzentrator haben ...
> Wenn nun ein System im IP-Netz "A" Daten in das IP-Netz "B" sendet,
> versendet der Cisco-Router _kein_ ICMP-redirect und die Daten laufen
> ueber den Cisco-Router.
Wie ist das Interface vom Router in Netz A konfiguriert? Wie sieht dort
das routing aus?
> Der Cisco-Router hat eine statische Route fuer das IP-Netz "B" eingetragen,
> dessen Ziel die IP-Adresse des VPN-Konzentrators ist.
Fehlt noch die Interface-Konfiguration.
> Hat jemand eine Idee, warum der Cisco-Router im zweiten Fall kein
> ICMP-redirect versendet bzw. wie ich ihm das beibringen kann?
Wenn du uns mitteilst, wie denn das Interface konfiguriert ist (und evt.
noch IOS-Version, Router-Typ, ...) koennte man evt. etwas dazu sagen.
Tschuess,
Juergen Ilse (jue...@usenet-verwaltung.de)
--
Ein Domainname ist nur ein Name, nicht mehr und nicht weniger.
Wer mehr hineininterpretiert, hat das Domain-Name-System nicht
verstanden.
Rudolf E. Steiner <res-u...@communicate.at> wrote:
> Ich habe folgendes Problem:
> Im IP-Netz "A" stehen Server und ein VPN-Konzentrator. Aus dem IP-Netz "B"
> werden von dem VPN-Konzentrator IP-Adressen fuer die VPN-Benutzer vergeben.
Adressen an VPN-Clients, die sich mit dem VPN-Konzentrator verbinden?
> Beide IP-Netze sind am Layer zwei im selben Netzwerksegment.
> Ein Cisco-Router hat selbst ein Interface im IP-Netz "A".
sinnlos, denn wo zwischen sollte er routen, wenn er nur ein Interface hat?
> Wenn nun ein VPN-Teilnehmer Daten in das IP-Netz "A" sendet, bekommt der
> VPN-Konzentrator vom Cisco-Router ein ICMP-redirect
hat, benoetigt er kein "ICMP redirect" um die Pakete in das "directly
connected" Netz direkt an den Zielrechner zu senden (und nicht an irgend
ein Gateway).
> und kommuniziert somit "direkt" mit dem Host im IP-Netz "A".
Fuer die "Rueckrichtung" sollten die angesprochenen Rechner in Netz A
allerdings dann fuer Netz B eine Route auf den VPN-Konzentrator haben ...
> Wenn nun ein System im IP-Netz "A" Daten in das IP-Netz "B" sendet,
> versendet der Cisco-Router _kein_ ICMP-redirect und die Daten laufen
> ueber den Cisco-Router.
das routing aus?
> Der Cisco-Router hat eine statische Route fuer das IP-Netz "B" eingetragen,
> dessen Ziel die IP-Adresse des VPN-Konzentrators ist.
> Hat jemand eine Idee, warum der Cisco-Router im zweiten Fall kein
> ICMP-redirect versendet bzw. wie ich ihm das beibringen kann?
noch IOS-Version, Router-Typ, ...) koennte man evt. etwas dazu sagen.
Tschuess,
Juergen Ilse (jue...@usenet-verwaltung.de)
--
Ein Domainname ist nur ein Name, nicht mehr und nicht weniger.
Wer mehr hineininterpretiert, hat das Domain-Name-System nicht
verstanden.
Juergen Ilse
Sep 26, 2012, 8:57:54 AM9/26/12
to
[...]
Ach ja: Sind die IP-Netze wirklich disjunkt, oder ist B evt. ein Subnetz
von A? In letzterem Fall duerfte "Proxy-ARP" (bei Cisco-Routern i.d.R.
per Default aktiviert) eine Rolle spielen.
Ach ja: Sind die IP-Netze wirklich disjunkt, oder ist B evt. ein Subnetz
von A? In letzterem Fall duerfte "Proxy-ARP" (bei Cisco-Routern i.d.R.
per Default aktiviert) eine Rolle spielen.
Rudolf E. Steiner
Sep 28, 2012, 3:56:42 AM9/28/12
to
Am Mittwoch, 26. September 2012 14:55:31 schrieb Juergen Ilse:
>> Im IP-Netz "A" stehen Server und ein VPN-Konzentrator. Aus dem IP-Netz "B"
>> werden von dem VPN-Konzentrator IP-Adressen fuer die VPN-Benutzer vergeben.
> Also ist "IP-Netz B" eigentlich nur ein VPN-Pool fuer dynamisch vergebene
> Adressen an VPN-Clients, die sich mit dem VPN-Konzentrator verbinden?
Es handelt sich zwar um statische Adressen, aber ja, genau.
>> Im IP-Netz "A" stehen Server und ein VPN-Konzentrator. Aus dem IP-Netz "B"
>> werden von dem VPN-Konzentrator IP-Adressen fuer die VPN-Benutzer vergeben.
> Also ist "IP-Netz B" eigentlich nur ein VPN-Pool fuer dynamisch vergebene
> Adressen an VPN-Clients, die sich mit dem VPN-Konzentrator verbinden?
>> Beide IP-Netze sind am Layer zwei im selben Netzwerksegment.
> ???
>> Ein Cisco-Router hat selbst ein Interface im IP-Netz "A".
> Wo sonst noch? Ein Router mit nur einem Interface waere i.d.R. relativ
> sinnlos, denn wo zwischen sollte er routen, wenn er nur ein Interface hat?
>> Wenn nun ein VPN-Teilnehmer Daten in das IP-Netz "A" sendet, bekommt der
>> VPN-Konzentrator vom Cisco-Router ein ICMP-redirect
> Sicher? Wieso? Wenn der VPN-Konzentrator selbst ein Interface in Netz A
> hat, benoetigt er kein "ICMP redirect" um die Pakete in das "directly
> connected" Netz direkt an den Zielrechner zu senden (und nicht an irgend
> ein Gateway).
>> und kommuniziert somit "direkt" mit dem Host im IP-Netz "A".
> Das sollte auch voellig ohne einen weiteren Router in Netz A so sein.
> Fuer die "Rueckrichtung" sollten die angesprochenen Rechner in Netz A
> allerdings dann fuer Netz B eine Route auf den VPN-Konzentrator haben ...
>> Wenn nun ein System im IP-Netz "A" Daten in das IP-Netz "B" sendet,
>> versendet der Cisco-Router _kein_ ICMP-redirect und die Daten laufen
>> ueber den Cisco-Router.
> Wie ist das Interface vom Router in Netz A konfiguriert? Wie sieht dort
> das routing aus?
Interfacekonfiguration:
interface FastEthernet0/1.1
encapsulation dot1Q 100
ip address 83.137.41.254 255.255.255.0
no cdp enable
Routingkonfiguration fuer das Netz "B":
ip route 83.137.44.0 255.255.255.0 83.137.41.39
>> Hat jemand eine Idee, warum der Cisco-Router im zweiten Fall kein
>> ICMP-redirect versendet bzw. wie ich ihm das beibringen kann?
> Wenn du uns mitteilst, wie denn das Interface konfiguriert ist (und evt.
> noch IOS-Version, Router-Typ, ...) koennte man evt. etwas dazu sagen.
c2800nm-advipservicesk9-mz.124-18
Rudolf E. Steiner
Sep 28, 2012, 8:52:42 AM9/28/12
to
Am Mittwoch, 26. September 2012 14:57:55 schrieb Juergen Ilse:
> Ach ja: Sind die IP-Netze wirklich disjunkt, oder ist B evt. ein Subnetz
> von A? In letzterem Fall duerfte "Proxy-ARP" (bei Cisco-Routern i.d.R.
> per Default aktiviert) eine Rolle spielen.
Es handelt sich um tatsaechlich verschiedene IP-Netze.
> Ach ja: Sind die IP-Netze wirklich disjunkt, oder ist B evt. ein Subnetz
> von A? In letzterem Fall duerfte "Proxy-ARP" (bei Cisco-Routern i.d.R.
> per Default aktiviert) eine Rolle spielen.
Message has been deleted
0 new messages