Jump to content
Sign in to follow this  
Poison Nuke

Source Routing bei zwei NICs, wie geht das?

Recommended Posts

Hallo,

 

ein Kunde von uns möchte unbedingt zwei NICs haben, die beide jeweils eine öffentliche IP haben und beide am öffentlichen Netz angeschlossen sein sollen.

 

Problem, in der Standardkonfiguration ist es nun so, dass eingehende Datenpakete auf die erste IP, wo auch das Standardgateway konfiguriert ist, normal zurückgehen. Aber wenn Pakete auf die zweite IP kommen, dann schickt sie das System trotzdem über die erste NIC wieder raus, weil da der Standardgateway für den Bereich konfiguriert ist.

Aus irgendeinem Grund werden die aber als Broadcast rausgehauen...wodurch wir lustige 50-80MBit sinnlosen Traffic im Netz haben.

 

 

Man müsste nun Windows (sämtliche 2003er Versionen) sagen, dass eingehende Pakete über die zweite NIC auch wieder über diese zurückgesendet werden.

 

 

Wie könnte man das realisieren?

Da sämtliche IPs von der Welt auf beide IPs senden können, kann man nicht einfach normale Routen definieren.

 

 

Und der Sinn ist einfach...der Kunde möchte mehr Bandbreite haben, ohne gleich ein GBit Interface nehmen zu müssen...

Share this post


Link to post

Das ist normales Verhalten der Routenermittlung, dass über das Default Gateway (wahrscheinlich die einzig mögliche Route) gesendet wird.

Die Pakete werden als Broadcast rausgehauen ? :suspect: Die werden einfach nur zurück zum Default Gateway geschickt und als Broadcast würden sie da kleben bleiben.

Naja, wie auch immer, mir ist kein Weg bekannt, so etwas zu lösen ...

Share this post


Link to post

Ich weiß nur, dass von den Servern ultra viel Broadcasts unser Netz belasten. Warum die genau entstehen, weiß ich leider auch nicht, es liegt aber an der 2. NIC, weil die gleichen Server wo nur eine NIC aktiv ist, aber die gleichen Anwendungen laufen, produzieren kaum Broadcasts.

 

Problem ist halt, dass es unser Netz ganz schön belastet und da wir derzeit nur zwei mickrige 10GBit Leitungen zu internen Vernetzung haben, wird die dadurch auch nicht gerade schneller, da sie so schon gut ausgelastet ist.

 

muss am Montag nochmal genauer schauen, was die Server da genau für Traffic erzeugen, zumindest meinte mein Kollege, dass er unter Linux Source Routing aktiviert, um den Broadcast Traffic der Maschinen gering zu halten.

Share this post


Link to post

Hast Du schon mal gesnifft, was der versucht zu erreichen ? Source Routing gibt es bei Windows auch, ich bezweifel allerdings, dass es den von Dir gewünschten Zweck erfüllt (weiss den Regkey im Moment nicht, schaue nachher nochmal nach) ...

Share this post


Link to post

pro Sekunde huschen da 6 Mio Pakete durch das Netz....da geht die Übersicht etwas verloren, mit Packetyzer kann man es zumindest vergessen, da verreckt mir vorher der Rechner, eh ich die Pakete von den betreffenden Servern gefunden habe.

ok, war doch einfacher als gedacht, den zu finden, weil diese Server den großteil vom Broadcast ausmachen, die Liste in Packetyzer ist voll von denen...sind haufenweise TCP Handshakes (ACK, TCP Window Updates, TCP Dup ACK.

Portnummer 39190 auf 5550 meistens

 

scheint mir einer der lustigen Filesharing Server zu sein. Ziel und Quell MAC sind auch definiert. Dennoch empfang ich die als Broadcast (sonst würde ich sie ja nicht aufzeichnen können)...

Share this post


Link to post

nein...meinte schon die MACs...ein Broadcast wird ja an keine bestimmte MAC gesendet. Nur wundert mich, warum Packetyzer die Pakete empfangen hat.

 

besten dank für den Link.

Aber wenn ich das so richtig sehe, dann ist Source Routing eh aktiviert? Weil der Key existiert in Windows nicht und wenn er schon extra "Disable..." heißt, nehm ich an, dass es normalerweise eh aktiv ist.

 

 

Und noch eine Frage:

wenn ich bei der zweiten NIC einen weiteren Standardgateway eintrage und ich die Fehlermeldung wegklicke...was macht Windows dann? Werden dann beide NICs verwendet zum Senden verwendet?

 

 

Zum Source Spoofing:

inwiefern wird es dadurch unterstützt? Wenn die Absenderadresse erfolgreich gesetzt wurde, dann ist doch egal, ob es aktiviert ist oder nicht? Weil im IP Paket wird doch nicht die gesamte Route gespeichert.

Share this post


Link to post

Mit 2 Standardgateways wirst Du nicht weiter kommen, da nur eins benutzt wird. Das zweite würde erst dann zum Tragen kommen, wenn das erste ausfällt und auch nur unter bestimmten Umständen. Welches das erste ist, hängt von der (automatischen) Metrik und der Bindungsreihenfolge ab. Die Route wird also über das "höchste" Default Gateway errechnet ...

Zitat aus dem oben genannten Artikel:

"If the attacker simply spoofs one of the permitted source addresses, the attacker may never get a response. However, if the attacker both spoofs an address and sets the loose-source-routing option to force the response to return to the attacker's network, the attack can succeed."

Welcher Art sind denn die Broadcasts, sind das z.B. ARPs oder Namensauflösungs-Broadcasts ?

Share this post


Link to post

hm...

 

aber der Standardwert in Windows ist dann trotzdem Disable, wenn der Key nicht existiert? Ist schon etwas verwirrend. Ist ja halt normalerweise so, wenn man einen Key erst erzeugen muss, dann hat er normalerweise auch die Eigenschaft, wie im Namen steht...in dem Fall also Disable.

 

 

 

Welche Option würde es geben, um einfach die doppelte Bandbreite zu bekommen, ohne die ganzen Probleme? Unsere Switche können zwar Trunking, aber Windows wird das wohl nicht hinbekommen mit zwei verschiedenen Netzwerkkarten, oder? Zudem unsere Mangamentsoftware nicht für Trunking ausgelegt wurd, wir müssten also jeden Switch einzeln konfigurieren...bleibt wohl nur höhere Kosten für den Kunden, oder keine zweite NIC...oder was meint ihr?

Share this post


Link to post

Mit verschiedenen Karten wird das wahrscheinlich nichts und es sprechen ja offensichtlich auch noch andere Dinge dagegen. Ich denke, dass die beste Option einfach eine schnellere Netzwerkkarte ist, die ja so teuer nun wirklich nicht mehr sind ...

Share this post


Link to post

er möchte unbedingt mehrere Geschwindigkeiten bieten...100, 200, 1000 und 2000 Mbit....

Problem ist für uns ja auch die extrem hohe Portdichte, die benötigt wird, weil ne KVM soll ja auch jeder Server von ihm haben.

 

Mir fällt irgendwie keine sinnvolle Lösung mehr ein, außer halt radikal sagen, dass es nur eine NIC gibt und punkt.

Share this post


Link to post

Hi

 

In dem man der Nic2 auch ein default gateway gibt.

Denn ohne kennt die nic2 nur das lokale Netzwerk und läst deshalb

nic1 antworten.

 

have a nice day

Share this post


Link to post
Hi

 

In dem man der Nic2 auch ein default gateway gibt.

Denn ohne kennt die nic2 nur das lokale Netzwerk und läst deshalb

nic1 antworten.

 

have a nice day

 

Der Rechner kennt eine Route (über eine Karte), nicht die Karte. Das wird leider nicht funktionieren ...

Share this post


Link to post

korrekt, wenn man Routing und RAS konfiguriert wird man da auch die schöne Defaultroute sehen mit 0.0.0.0/0

Und bei der kann man nur eine Netzwerkkarte mit einem Gateway einstellen.

 

Man könnte natürlich jetzt eins machen und Routing und RAS aktivieren, die Defaultroute löschen und dafür eine 0.0.0.0/1 über die erste NIC und dann eine 128.0.0.0/1 über die zweite NIC :D

Zumindest würden dann Empfänger in der ersten Hälfte des IP Bereiches immer über die erste und Empfänger im zweiten Bereich immer über die zweite NIC die Pakete bekommen.

 

Ob es wirklich was bringt...hm :X

Obwohl theoretisch sollte man im Optimum, wenn die hälfte der Anfragen wirklich nur aus der ersten Hälfte kommt, sogar einen höheren Durchsatz schaffen können.

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...