Herbert Leitner 10 Geschrieben 20. März 2006 Melden Teilen Geschrieben 20. März 2006 Hallo! Ich habe meine Firewall (= Router) zum Internet auf der IP - Adresse 192.168.0.1 / 24 Nun möchte ich auf der LAN Seite einen zweiten Router zum Netzwerk 192.168.1.0 / 24 einrichten, dieser hat die IP 192.168.0.2 (LAN) und 192.168.1.1 (WAN = mein zweites Netzerk) Eigentlich sollte es reichen, daß ich der Firewall (192.168.0.1) die Route mitteile route add 192.168.1.0 mask 255.255.255.0 192.168.0.2 (sprich die Rote zu 192.168.1.x geht über 192.168.0.2.) Nun habe ich eine 3com Firewall, da funktioniert das blendend, und die Clients im Netzwerk 192.168.0.x erreichen ohne Probleme das Netzwerk (und damit die Hosts) unter 192.168.1.x Die Clients lernen von der Firewall selbständig, über welchen Router (192.168.0.2) das Netzwerk 192.168.1.0 erreichbar ist. (Ich denke, das hieißt RRP = Routing Redirection Protocol), die Route wird redirectet. Ich kann mir dort die Routing - Tabelle auf den Clients ansehen und es passt. Gleich nach dem Start ist der Eintrag nicht vorhanden, beim ersten zugriff auf 192.168.1.0 wird die Tabelle selbständig erweitert und die Clients haben das gelernt. Nun habe ich die 3com Firewall ersetzt und eine Cisco Pix 501 hier her gestellt. Nun wissen die Clients plötzlich nichts mehr von 192.168.1.x. Ich frag mich warum. Es kann nur so sein, daß auf der Pix das RRP (wenns den sowas gibt) abgeschaltet ist. Die Alternative - auf jedem Client die Route statisch zu hinterlegen - gefällt mir gar nicht! Wer kann helfen? tks! Herbert Zitieren Link zu diesem Kommentar
a.jakob 10 Geschrieben 20. März 2006 Melden Teilen Geschrieben 20. März 2006 Hallo.. bist Du sicher das die Clienst aus dem 192.168.0.x nicht ins 192.168.1.x kommen.. oder kommen die Clients aus dem 192.168.1.x Netz nicht inst 192.168.0.x Netz? Mach doch mal bitte aus beiden Netzen ein Tracert auf einen Client aus dem jewals anderen Netz und Poste diese. MFG a.jakob Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 20. März 2006 Melden Teilen Geschrieben 20. März 2006 Das ist kein spezielles Protokoll, das ist ein einfaches ICMP Redirect Paket, dass der Router an den Client sendet, um ihm mitzuteilen, dass es eine bessere Route ins Ziel gibt (nämlich direkt das andere Gatway ansprechen). Ich kenne mich mit der PIX nicht aus, dort ist ja standardmäßig alles ziemlich dicht, vielleicht muss man ICMP Redirect erst freischalten. grizzly999 Zitieren Link zu diesem Kommentar
Herbert Leitner 10 Geschrieben 21. März 2006 Autor Melden Teilen Geschrieben 21. März 2006 Hallo.. bist Du sicher das die Clienst aus dem 192.168.0.x nicht ins 192.168.1.x kommen.. oder kommen die Clients aus dem 192.168.1.x Netz nicht inst 192.168.0.x Netz? a.jakob Hallo Jakob! Das Default Gateway vom Netzwerk 192.168.1.0 / 24 ist 192.168.1.1 und damit ist von diesem Netzwerk aus jedes andere erreichbar. Leider nur als Ziel, die Packete finden dann nicht den Weg zurück - oder erst wenn ich auf den Clietns im Netzwrk 192.168.0.x die Route eintrage. Da die Antwort nicht zurück auf .1.x kommt, kann ich defakto nicht kommunizieren. Wenn ich im Netzerk 192.168.0.x bei einzelnen Clients die Route zu 192.168.1.x eintrage, dann sind genau diese Clients erreichbar, und die anderen nicht. Wie gesagt, ich habe die 3com ausgetauscht, und durch die Cisco Pix ersetzt. Bei der 3com müsste ich mich erst gar nicht darum kümmern. Wie grizzly99 mir weiter unten gesagt (,-) hat, heißt das ICMP Redirect. Das scheint vernünftig - er hat damit vermtlich recht. Aber auch wenn das Redirect nicht funktioniert müsste die Kommunikation möglich sein, weill die Firewall die Packete richtig routen müsste. Das tut sie aber nicht. Also die Situation ist die: Zwei Möglichkeiten müsten funktionieren, und beide gehen nicht: 1.) die Firewall müsste zum Netzwer 192.168.1.x routen 2.) die Firewall müsste in ICMP Redirekt an den Absenderclient senden, und diesen mitteilen, welche Route die Packete nehmen sollten. Gruß und Dank! Herbert Zitieren Link zu diesem Kommentar
Herbert Leitner 10 Geschrieben 21. März 2006 Autor Melden Teilen Geschrieben 21. März 2006 Das ist kein spezielles Protokoll, das ist ein einfaches ICMP Redirect Paket, dass der Router an den Client sendet, um ihm mitzuteilen, dass es eine bessere Route ins Ziel gibt (nämlich direkt das andere Gatway ansprechen). grizzly999 Hallo Grizzly999! Dank Dir, vermutlich hast Du Recht. Ich habe nachgelesen, vermutlich kann die PIX 501 kein ICMP Redirect, das gibts erst bei größeren Firewalls - und die Router mit IOS Version 12.0 aufwärts können das und dort kann man das einstellen. Eigentlich verstehe ich folgendes nicht: Die Frewall kriegt das Packet Absender = Client im Netzwerk 0, Ziel im Netzwerk 1 Die Firewall sollte doch das Packet nehmen und über das interne Interface und den Router auf Adresse 192.168.0.2 weiter leiten. Die Firewall kennt ja die Route zum Ziel. Damit müsste der Weg zum Ziel funktionieren. Und zurück ist auch kein Problem weil hier kein NAT / NPAT läuft und das Packet auf Layer 2 im Netzer (0) zugestellt wird. Allerdings kann ich das NICHT der PIX ankreiden, das konnte auch die 3com nicht! Die 3com hatte allerdings das ICMP redirekt gemacht und es tut mir weh, ,wenn ich das durch den Austausch der Firewall verliere! PS: an Grizzly: Du hast mir schon mehrmals gehofen, wie kann ich mich revanchieren? Ich würd das machen, ich versprechs! Dank und Gruß! Herbert Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 21. März 2006 Melden Teilen Geschrieben 21. März 2006 Habe mal eben bei CISCO nachgeschaut und folgendes gefunden (was auch erklärt, warum die Pix das nicht selber routet): Q. I recently added an inside router to connect a second inside network to my Cisco Secure PIX Firewall. Users between the Cisco Secure PIX Firewall and inside router can successfully get to the Internet, but they cannot talk to this new, inside network. Users on the new network are unable to get past the inside router. What is wrong? A. You must enter a specific route inside statement into the PIX for this new network through the new router. You can also enter a specific route inside statement for the major network through this router, which allows for future growth. For example, if your existing network is 192.168.1.0/24 and your new network is 192.168.2.0/24, the Ethernet port of your internal router is 192.168.1.2. The route configuration of the PIX appears similar to this: route inside 192.168.2.0 255.255.255.0 192.168.1.2 1or (the major network): route inside 192.168.0.0 255.255.0.0 192.168.1.2 1Work stations between the Cisco Secure PIX Firewall and router should have their gateway point to the router, not the PIX. Even though they are directly connected, they have problems accessing the new internal network if their gateway does not point to the router. The router should have a default gateway that directs all unknown traffic to the inside interface of the Cisco Secure PIX Firewall. The installation of a route for this new network in the PIX does not work either. The PIX does not route or redirect off the interface it received the packet. Unlike a router, the PIX cannot route packets back through the same interface where the packet was initially received. Also, make sure your nat statement includes the new network or the major net you are adding. Quelle:http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/products_qanda_item09186a0080094874.shtml Also bieten sich mehrere Möglichkeiten: - Einsatz eines internen Routers, der den Verkehr korrekt an die anderen Router/PIX routet - Den Router in das andere LAN als Defaultgateway angeben und der leitet ggf. an die PIX weiter, was er nicht routen kann. - Routingtabellen auf den Clients pflegen, wobei bei XP und DHCP kann man Routen verteilen lassen - Einsatz einer anderen Firewall, die ICMP redirect beherrscht. grizzly999 PS: an Grizzly:Du hast mir schon mehrmals gehofen, wie kann ich mich revanchieren? Ich würd das machen, ich versprechs! Wenn ich mal ein Grande Problem habe, dann melde ich mich bei dir ;) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.