Hallo Matthias, Am Samstag, 17. April 2004 11:49 schrieb Matthias Houdek:
Marcus Glöder, Samstag, 17. April 2004 01:29:
Oder bin ich jetzt schon auf dem falschen Dampfer?
Nein, ist schon richtig. Aber die Pakete werden doch zum Routen über ein Gateway verpackt: .______________________.
| Header mit Ziel-IP | | des Routers | Das intern verschickte Paket ist |----------------------| um den zusätzlichen Header größer |,--------------------,| als das Original-Paket. | || Header mit Ziel-IP || || des Internet-Hosts || Deshalb muss man z.B. den MTU-Wert ||--------------------|| bei DSL über interne Router ent- || Daten des Paketes || sprechend heruntersetzen. || .... ||
Damit ist das (verpackte) Paket primär an das Gateway zum Internet (hier der WLAN-Router) adressiert und die Router im lokalen Netz müssen dafür nur die Route zu diesem Ziel-Host kennen.
[...]
Dein Verständnis-Problem liegt vermutlich aus dem Source-Host. Dieser verpackt Pakete, die über ein Gateway laufen sollen, in einen neuen IP-Header, der direkt an das Gateway gerichtet ist. Damit kann dann auch jeder Router, der nur den Weg zu diesem Gateway kennt, das Paket exakt zustellen.
Du meinst also, wenn PC1 ein Paket zum Internet-Host 134.95.100.203 versenden will, dann packt er das IP-Paket mit der Zieladresse 134.95.100.203 in ein weiteres IP-Paket ein, das als Zieladresse die Adresse des Standard Gateways trägt, den Du auf PC1 angegeben hast, bei Dir wäre das dann 192.168.2.1 (der Wireless-LAN-Router). Der PC-Router "sieht" nur dieses zweite IP-Paket mit der Adresse 192.168.2.1 und leitet es dann eben an den Wireless-LAN Router weiter. Der Wireless-LAN-Router packt (Deiner Darstellung nach) das ursprüngliche IP-Paket mit der Zieladresse 134.95.100.203 wieder aus und jagt es durch sein WAN-Interface. OK, das wäre, so es denn stimmen würde, eine Erklärung für Deine Art der Konfiguration. Ich habe jetzt extra noch mal in meinem ICND-Buch [1] nachgesehen. Dort steht nichts von einem derartigen Header-Zauber. Meiner Meinung nach gibt es derartige "doppelte Verpackungen" bei ganz gewöhnlichem IP-Routing (davon sprechen wir ja) auch gar nicht. Die Defaultroute ist zunächst einmal nichts anderes als eine ganz gewöhnliche statische Route, nur mit dem Unterschied, dass als Zielnetzwerk ein Dummy angegeben wird (0.0.0.0 mit der Subnetzmaske 0.0.0.0), der einfach alle Netzwerke bezeichnen soll, für die das Pakete versendende oder weiterleitende Gerät keine spezifische Route besitzt. das Standard-Gateway ist dann einfach derjenige nächste Router, an den diese Pakete versendet werden, in der Hoffnung, dass dieser Router dann schon wissen wird, wohin der diese Pakete weiterleiten soll. Das Standard-Gateway wird also _nicht_ in einen zweiten Header eingetragen, sondern es ist das Gerät, zu dem Pakete, für die keine spezifische Route existiert, _zunächst einmal_ versendet werden. Zitat aus meinem ICND-Buch, von Seite 298 bis Seite 299: --- schnipp --- Eine Standardroute ist ein spezieller Typ statischer Route, die gebraucht wird, wenn die Route von einer Quelle zu einem Ziel nicht bekannt ist oder wenn die Routing-Tabelle nicht genügend Informationen über alle möglichen Routen speichern kann. Die Standardroute wird auch als "Letzter Ausweg" (gateway of last resort) bezeichnet. In Bild 8.5 würden Sie Router B so konfigurieren, dass er alle Frames, deren Zielnetzwerk nicht ausdrücklich in seiner Routing-Tabelle aufgelistet ist, zu Router A weiterleitet. Diese Route ermöglicht es dem Rumpf-Netzwerk, alle bekannten Netzwerke jenseits von Router A zu erreichen. Bild 8.5: Standardroute ser0 172.16.2.2 Netzwerk--[Router A]----------------------[Router B]--Rumpf-Netzwerk 10.0.0.0 172.16.2.1 | 172.16.1.0 ser0 | | <------------------- | | \|/ Router(config)#ip route 0.0.0.0 0.0.0.0 172.16.2.2 Um eine Standardroute zu konfigurieren, geben sie folgenden Befehl ein: Router(config)#ip route 0.0.0.0 0.0.0.0 172.16.2.2 Dabei gilt: - ip route kennzeichnet den Befehl für die statische Route. - 0.0.0.0 routet zu einem nicht existierenden Unternetz. (Mit einer speziellen Maske kennzeichnet es das Standardnetzwerk.) - 0.0.0.0 spezifiziert die spezielle Maske, indem es die Standardroute anzeigt. - 172.16.2.2 spezifiziert die IP-Adresse des nächsten Routers, der als Standard zum weiterleiten von Paketen benutzt wird. --- schnapp --- Da steht nichts von einer doppelten IP-Kapselung, sehr wohl aber etwas von einem "nächsten Router" als "letzter Ausweg". Wer jetzt aber recht hat, ließe sich letztlich nur entscheiden, wenn Andreas' Topologie (ohne den Laptop, der spielt für unsre Fragestellung keine Rolle) mit echten Geräten und Ethernet-Verkabelung statt Wireless-LAN nachgebaut würde. (Bitte nicht mit irgendwelchen Simulationsprogrammen. Da lässt sich die Internet-Anbindung schlecht nachstellen, d.h. in der Situation haben wir nur bekannte Netzwerke, weshalb die Konfiguration von Standardrouten hier auch völlig überflüssig ist.) Ein Problem bestünde vielleicht darin, SOHO-Router zu finden, bei denen RIP tatsächlich explizit abgestellt und gleichzeitig auch statisches Routing betrieben werden kann. Nur zum Testen sind die Cisco-Dinger ein bisschen teuer...
Ja. Wie man das konkret mit SuSE-Firewall macht - keine Ahnung?
Isch 'abe kein SuSi-Feuerwall ;-)
Isch auch nisch. Is sich aber ein anderes Thema... ;-) Viele Grüße, Marcus Anmerkungen: ------------ [1] Steve McQuerry (Hrsg.), 2000: Interconnecting Cisco Network Devices. München: Markt+Technik (in Lizenz für Cisco Press), Kapitel 8: Festlegen von IP-Routen