Route nur publizieren wenn Dialer/BRI aktiv

[MP83 10]

Hallo zusammen,

 

ich habe folgendes Problem:

Ich möchte per OSPF eine Route die als GW einen Dialer hat nur dann publizieren wenn der Router auch eingewählt ist. Hat jemand eine Idee wie das klappen kann, das der Dialer ja ständig UP(spoofing) ist wird natürlich bei einem redistribute connected die router ständig publiziert.

[rob_67 10]

Hi,

 

 

mit eigrp geht das, sicher auch mit ospf. allerdings liegen auf dem dialer transitnetze und die werden propagiert, die route zeigt dann auf die gegenüberliegende transitnetzadresse. das transitnetz bekommt eine bessere distance, wenn es connected ist.

 

 

gruss

 

rob

[MP83 10]

Sorry :-) Aber hast du zufällig ne Beispiel Cfg. für mich ?!?!

 

Also nur vielleicht als hinweis die Konstellation ist wie im angehängten bild

 

http://michael-peter.online.de/Zeichnung1.gif

[rob_67 10]

Hi,

 

deine Firewall ist kein Router, sie kann doch kein Routing Protocol?!.

 

Ansonsten Routingprotocol aktivieren (Link State Protocol also kein RIP!) redistribute connected.

 

z.B.

router eigrp 1000

redistribute connected

passive-interface default

no passive-interface FastEthernet0/0

network 1.0.0.0

distribute-list 2 out

 

access-list 2 permit 1.1.1.1 0.0.0.0

 

dein router vor der Firewall kommt ebenfalls

 

ins eigrp1000

network 1.0.0.0

 

Der Router (nicht eingezeichnet) vor oder hinter der Firewall spricht das gleiche Routingprotocol wie der ISDN Router.

 

Kommt 1.1.1.1 via ISDN rein, ist dies connected und wird via dein Routingprotocol distributiert (Es wird eine Route zu der Adresse installiert, die via ipcp übertragen bzw. zugewiesen wird - debug ppp negotiation). Der Router vor der Firewall empfängt das update und routet Richtung ISDN Router. Arbeitest du ohne Transitnetze, werden keine Routen übertragen, sondern nur, wenn ein connect da ist. Achtung, dein ISDN Router installiert jede Route, die sich connected (d.h. eventuell auch unerwünschte Routen, kann man durch peer default ip address 1.1.1.1 auf dem dialer verhindern - falls möglich, zusätzlich kann man ausgehende updates im routingprotocol einschränken).

 

So sollte es gehen,

bei uns unterhalten sich ISDN Routerpaare via EIGRP, welche Transitnetze auf welchem Router connected sind, hatte ich mir mal vor 2 Jahren ausgedacht und dies läuft stabil und ist sehr schnell.

 

ich würde das ganze erstmal auf dem isdn router aktivieren und schauen, ob der dann routingupdates rausbläst, wenn das ok ist, kann man ja auf dem zweiten router die updates aktivieren... wenn du internetadressen hast, musst du diese dann mittels statischen routen verknüpfen, das machst es ein wenig komplizierter... da du ja nicht deine internetadresse via isdn router connecten kannst... dein router vor der firewall bekommt eine statische route zu dem internet range, z.b. 217.0.32.0 / 22 wird geroutet auf 1.1.1.1. Ist 1.1.1.1 nicht connected, ist sie wirkungslos und es zieht deine default route Richtung Internet.

 

 

wenn ich mirs richtig überlege, kannst du dir das alles sparen, der isdn router installiert eine route und trifft die routingentscheidung entweder via isdn oder via firewall, ist doch viel einfacher oder?

 

gruss

 

rob

[MP83 10]

Hallo Rob,

 

also die FW spricht OSPF, der Router im Standort der spricht kein Routingprotokoll. Ich verstehe zwar was du meinst bin aber der meinung das ich das so nicht anwenden kann... Der Router im Standort ist ein Lancom 1711, der in der lage ist bei einem down des IPSEC Tunnels auf eine ISDN Dial Verbindung zu routen. So ich wollte einfach wenn der Router im Standort sich per ISDN einwählt eine Route vom ISDN Router im RZ publizieren wenn der Lancom sich eingewählt hat. Durch eine geringere Distanz zum ISDN Router würde die FW dann auf den ISDN Router routen weil an der FW unsere Servernetzte hängen.

[fu123 10]

Hi, warum soll der ISDN Router den etwas uebergeben. Kann die FW das nicht?

 

Du machst zwei Default Routes mit unterschiedlichen metriken. Sobald die erst down ist, nimmt er das ISDN Gateway.

 

Wenn das nicht geht, dann kannst du auch fuer die Route auf der FW eine andere administrativ distance setzen. Dann wird normalerweise auch die ueber DSL benutzt.

 

Das waeren schon mal zwei Moeglichkeiten.

 

Ich verstehe nicht den Grund, warum der ISDN Router da etwas bekannt machen sollte. Bitte Erklaerung sonst.

 

Fu

[MP83 10]

Hi das geht nicht, die firewall kennt keine zustände beim tunnel. wenn ich 2 routen statisch eintrage geht immer alles in den tunnel! das einigste ist wenn der isdn router eine router publiziert, weil ich auf der fw sagen kann das der weg der per ospf kommt immer der bessere ist

[rob_67 10]

wenn die firewall routing kann, dann ist es ok, dann mach es wie oben beschrieben, der isdn router auf fw seite muss dann ein cisco sein

[MP83 10]

Hey Rob,

 

jep das sehe ich auch so, das einzigste ist das ich noch nicht verstehe wie du das mit den transit netzen zwischen den isdn routern (lancom und cisco) meinst.

[rob_67 10]

Hallo,

 

 

brauchst du nicht unbedingt, der Router wird die via IPCP installierte Route als connected Route in jedes Routingprotocol distributieren, wenn es noch Fragen gibt, müsstest du eine konkrete config vom ISDN Router posten, kannst es auch als pm machen. Das mit den Transitnetzen macht die Geschichte nur unnötig kompliziert. Du musst bloß beachten, daß der

LANcom sich nicht mit der Internetadresse connected. Das heißt, der ISDN Router sendet die connected Route via Routingprotocol zu der Firewall, die hat zusätzlich eine Statische Route mit Gateway IP Adresse LANcom Router, die Route bleibt inaktiv, solange der ISDN Router nicht connected ist (zumindest verhalten sich cisco router so), sobald aber der Gateway aktiv wird, sprich der LANCOM eingewählt ist, wird die statische Route auf der Firewall aktiv und das Routing läuft via ISDN und nicht mehr via Firewall, unabhängig davon, ob dein DSL Link oben ist oder nicht. Beim ISDN Router solltest du den interesting Traffic sehr genau definieren, damit das nicht zur Standleitung wird und dein DSL gar nicht mehr benutzt wird... Du könntest sogar eine Routingpolicy aufsetzen und nur bestimmte Protokolle überhaupt via ISDN routen. Hast du wechselnde IP Adressen im Internet, musst du alle Netze, die in Frage kommen Richtung Lancom routen, solange dieser nicht connected ist, sind die Routen nicht in der Routingtable sondern nur in der config. Das ganze funktioniert so nur einseitig, dein LANCOM steuert das Routing mit seiner Einwahl, fliegt dein DSL weg, wird ISDN nicht aufgebaut (zumindest nicht von der Firewallseite), es sei denn du baust noch etwas in der Art ein (eine Art DSL Link Überwachung), was fu vorgeschlagen hat.

 

Gruss

 

rob

[#9370 10]

Hallo,

 

ich habe mir jetzt nicht den gesamten Thread durchgelesen, sondern nur die anfängliche Frage und die Antworten überflogen. Sollte ich was verpasst haben, bitte nicht böse sein.

 

das am Anfang gesuchte Feature für OSPF nennt sich OSPF Demand Circuit.

OSPF Demand Circuit Feature  [iP Routing] - Cisco Systems

 

/#9370

[MP83 10]

Hallo zusammen,

 

also soweit klappt das, leider wird die route zum lancom aber nur als hostroute (/32) per ipcp publiziert. Jemand ne idee wie ich daran was ändern kann ?

[rob_67 10]

Hi, du kannst z.B. Autosummary einschalten oder eine größere statische route auf den host legen.

 

 

gruß

 

rob