Traffic für das eigene Subnetz zum Router schicken?

[zahni 521]

Nun, den Tip mit der Rozte hatten wir gegeben (andere Metric). Und ich meinte, dass so ein Netzwerkabel immer 2 Enden hat. Oder arbeiten die User direkt in der Lampertz-Zelle ?

 

-Zahni

[zahni 521]

Update:

 

ich darf Dir mitteilen, dass ein

 

"route add 192.168.0.0 mask 255.255.255.0 192.168.0.1 metric 1"

IP-Adresse des PC's: 192.168.0.123/24

 

Erfolgreich ist.

 

Er schickt lt. tracert alle Pakete (auch die lokalen) direkt zum Router. Dummerweise schickt der Router die hier nicht ind loklae Subnet weiter.

 

Ich bekomme von irgendeinem Router im Netz die Meldung:

 

Antwort von xxx.xxx.xxx.xxx: Die Gültigkeitsdauer wurde bei der Übertragung überschritten.

 

Also schnell wieder route delete .

 

-Zahni

[Cybquest 36]

...

Es soll jetzt ausschließlich die Frage geklärt werden, ein WindowsPC der in einem ClassC Netz ist das mit pVLANs abgegrenzt ist, wie man diesen davon überzeugt die Rechner im gleichen Netz zu erreichen.

...

 

Nur mal so als Idee: Könnte man nicht ggf. den Router dazu bringen, alle Anfragen an PCs entspr. zu behandeln/weiterzuleiten? Also z.B. auf ARP-Requests grundsätzlich mit seiner MAC antworten.

Sind da nicht eh spezielle PVLAN-Router im Einsatz?

 

...wie gesagt, nur so ne Idee bzw. ein Gedanke. Ich persönlich hab mit PVLAN noch nichts gemacht!

[Poison Nuke 10]

Hallo,

 

thx. Das komische ist aber sogar, ich kann die Route zwar adden...also es kommt kein Fehler, nur bei route print ist das Subnetz dennoch über die IP des eigenen Rechners geroutet mit der metric 20. Selbst wenn ich routing und ras dennoch aktiviere und da die Route hinzufüge, taucht sie nicht in der Liste der aktiven Routen auf.

 

und ein route delete auf die vorhandenen Routen geht auch nicht.

 

 

 

achja, ich habe Packetyzer am laufen...aber das lustige hier ist, es tauchen da nichtmal ICMP Echos auf, lol...

[zahni 521]

Also hier geht es. Eventuell musst Du noch das korrekte Interface angeben.

 

Post doch mal ein Beispiel von Dir.

 

-Zahni

[Poison Nuke 10]

muss ich später machen, bin unterwegs. Aber wie soll das Beispiel aussehen? Einfach nur die Routingeinträge von route print oder was willst du alles sehen?

[zahni 521]

Ich denke, wenn die Routing-Einträge nicht geheim sind, sollte route print und ipconfig genügen.

 

-Zahni

[Franz2 10]

Was hast du für einen Switch ? Cisco?

 

lg Franz

[Franz2 10]

Zu deiner Anbtwort auf den 2ten Beitrag:

 

"Was soll man da groß erklären? Es soll lediglich verhindert werden das irgendeine Kommunikation auf Layer 2 Basis abläuft außer die Kommunikation zum Router. sämtliche andere Kommunikation muss über Layer 3 laufen. Eben genau das wozu private VLANs da sind. Verhindert MAC Spoofing und DHCP Snoofing und viele andere Sachen."

 

Das macht ein private Vlan! Warum willst du am Host noch was umstellen?

 

Falls es sich um einen Cisco handelt.

Eine kleine Hilfe zur konfiguration:

Configuring Isolated Private VLANs on Catalyst Switches - Cisco Systems

[Poison Nuke 10]

diese Seite kenn ich recht gut, trotzdem danke ;)

 

aber du verstehst wohl nicht ganz das Problem bei der Sache...sobald man pVLANs aktiviert hat, wird sämtliche (!) Kommunikation auf L2 Ebene verhindert. Der Host kann ausschließlich nur noch mit dem Interface am Router kommunizieren. Jetzt erklär mal wie auf diese Weise ein Rechner andere Rechner im gleichen Subnetz erreichen soll? Genau er muss seine Anfrage an den Router schicken und der schickt es dann zurück zu den einzelnen Hosts. Nur das wird dann ausschließlich über Routing abgewickelt. UNd genau dazu muss ich Windows dazu überreden, die Pakete zum eigenen Subnetz doch bitte an den Router zu schicken und nicht direkt gleich über sich selbst.

[Poison Nuke 10]

ich raffs nich...

 

ich habe es gerade eben nochmal probiert, exakt das gleiche wie an dem Tag wo ich den Thread eröffnet hatte

 

route add 87.118.122.0 mask 255.255.255.0 87.118.122.1 metric 1

 

 

nur vorher ist diese nie bei Route print aufgetaucht. Jetzt taucht sie bei Route print aufeinmal auf und jetzt geht es auch...HÄÄ?

 

und jetzt kommt der Spruch den ich als Admin eigentlich auch viel zu oft höre und nicht glaube, aber jetzt ist es wirklich so: ich hab doch nix gemacht :D

 

 

habs gerade bei einem zweiten Win Server probiert, jetzt ging es auch...irgendwie komm ich mir gerade vera*** vor. Wollten mich die beiden WinServer irgendwie ärgern oder so hab ich das Gefühl.

 

Vorallem das lustige ist ja, ich habe den Befehl einfach über die History in der Kommandozeile erneut aufgerufen, nichtmal neu eingetippt oder so. Ich raffs nicht.

 

Egal, es geht...juhu :D

 

 

mal schauen ob die Routen nach dem nächsten Neustart (mit -p Parameter) dann auch noch funktionieren.

[zahni 521]

Ich habe die Seite mal kurz quer gelesen:

 

Ich glaube, Du begehst hier einen Denkfehler: Das Feature ist dafür gemacht, damit PC in einem Subnet eben nicht (!) miteinander kommunizieren können.

 

Also Geräte, die bestimmten Sicherheits- oder Unsicherheitsfaktoren unterlegen sind. Z.B. könnte man so bestimmten PC's Vollzugriff aufs Internet ohne Proxy geben, sie aber sonst im Netz mit niemanden reden lassen (wegen der Sicherheit).

Kommunikation im selben Subnet ist nur mit Geräten möglich, die an einem Promiscous-Port hängen. Das kann, wie im Beispiel, z.B. ein Backup Server sein oder ein Router für andere (!) Subnetze. Deine Idee ist dort ganz klar nicht beschrieben. Und würde auch die Sicherheit nicht verbessern und den Router nur unnötig belasten.

 

-Zahni

[Poison Nuke 10]

kennst du denn das genaue Umfeld in dem das stattfinden soll? ;)

 

glaub mir, es ist _exakt_ das was wir benötigen. Ich beschäftige mich nicht erst seit gestern mit dem Thema. Nur will ich den gesamten Hintergrund hier nicht darlegen, weil das auch ein wenig was mit Geschäft zu tun hat.

 

Und den Router würde es nebenbei eh nicht jucken, 99,9% der Kommunikation läuft schon über den ab weil switchintern fast nie etwas passiert, aber es soll halt 100% werden aus Sicherheitsgründen und noch einigen anderen Gründen.

 

 

 

Ich bin euch zwar dankbar das ihr versucht Alternativen zu finden und so sollte es in einem Forum auch sein, aber in dem Fall hier habe ich mich mit der Materie schon eingehend beschäftigt und kenne auch die Möglichkeiten und es ging mir gezielt nur um diese eine Frage.

 

Da sich das ganze jetzt geklärt hat bedanke ich mich auch für die Antworten, bin zwar selbst halt noch verwundert, warum es jetzt aufeinmal geht aber ok, das ist wohl eben Windows.

Daher kann dieses Thema abgeschlossen werden, wenn nicht einer noch einen ganz heißen Tipp hat warum das am Anfang bei Windows nicht funktioniert hat :)

Weil das tät mich schon interessieren, nicht das ich dann bei allen weiteren Servern ebenfalls "auf gut Glück" arbeiten muss, weil die Hälfte die Routen irgendwie nicht so recht auf Anhieb schlucken mag.

[zahni 521]

Na, dann wünsche ich Dir viel Erfolg. Aber wundere Dich hinterher nicht...

 

-Zahni

[Poison Nuke 10]

Ich krame diesen Thread nochmal raus.

 

In der Praxis ergeben sich mit Windows einige Probleme. Es laufen einige Linuxserver nun schon seit ungefähr meiner letzten Antwort im gleichen Subnetz mit private VLAN. Sie müssen also immer über den Router um sich gegenseitig zu erreichen. Auf den Servern laufen unter anderem MySQL REplikationen, welche sehr anfällig für Übertragungsfehler sind. Aber die Replikationen usw laufen nun schon seit bald einem Jahr ohne ein Problem, auch ein Dauerping einwandfrei. Linux kommt also privateVLANs sehr gut zurecht wie es scheint.

 

 

Nur Windows macht Probleme. Man kann leider nicht die Routingtabelle löschen wie bei Linux, man kann lediglich für das lokale Subnetz eine statische Route mit einer geringeren Metric als die Defaultroute anlegen.

Wenn man jetzt z.B. einen Dauerping auf einen anderen Windows Recher im gleichen Subnetz laufen lässt dann kommt es geschätzt alle 100-200 Pakete dazu, dass einige Pakete entweder verloren gehen oder die Laufzeiten sehr hoch werden. Das dauer ungefähr so 10sek wo die Pakete kaum durchkommen und dann läuft es wieder eine ganze Zeit mit <1ms weiter.

Wenn man parallel von Rechnern in anderen Subnetzen einen Dauerping laufen lässt gibt es kein einziges Problem, nicht einmal mehr als 1ms Ping.

 

 

Es scheint so als würde also alle paar Minuten Windows über die zwei verschiedenen Routen zum lokalen Subnetz "grübeln" und den Traffic ins lokale Subnetz damit zeitweise stark einbremsen.

 

 

An den Servern selbst liegt es nicht. Deaktiviert man PVLAN und löscht die statische Route raus, läuft es einwandfrei. Auch wenn PVLAN deaktiviert bleibt man aber die statische Route einträgt gibt es wieder diese Probleme. Es liegt also ziemlich sicher am Routing von Windows. Nur was genau und wie kann man das lösen?

 

 

mit dem Befehl "route -f" kann man kurzzeitig sämtliche Routen löschen, kann aber keine Route mehr anlegen dann und das ganze ist auch nicht statisch, nach 5min oder so sind wieder alle drin. Wenn man in der Zeit über die Netzwerkumgebung den Standardgateway einträgt hat man übergangsweise wirklich nur eine einzige Route bei "route PRINT" drin und man kann auch alles anpingen trotz PVLAN. Nur lustigerweise geht kein Internetexplorer mehr (obwohl DNS selbst geht) und wie gesagt nach einiger Zeit sind wieder alle Routen drin.

 

 

bin irgendwie ratlos :(