International Forums > German - Deutsch

Weiteres Netz ohne Routing, autonomous System

(1/1)

RalfG:
Hallo zusammen,

ich habe hier zwei WAN IP Ranges:
Range A: 90.90.90.0/30, Gateway Provider 90.90.90.1, eigene 90.90.90.2

Range B: 99.99.99.0/24 (eigenes Class C vom RIPE=AS)

Da ich kein BGP fahren will (und auch nicht brauche, da nur ein Carrier) aber gerne ausschliesslich Adressen aus der Range B verwende weiss ich nicht, wie ich das an der OPNSense konfigurieren soll.

Der Carrier wirft alle Pakete für die Range B am Interface des Routers der Range A (90.90.90.1) ab. Die 90.90.90.2 steht der OPNSense zur Verfügung.

An der bisherigen Firewall habe ich das mit 1:1 NAT auf dem  Interface der Range A gelöst und alles auf ein zweites Interface der Range B geleitet. Gibt‘s hier ne bessere Lösung?

Da ich demnächst auch IPv6 (ebenso AS) entsprechend geroutet bekomme, hätte ich gerne eine elegantere Lösung. Zur Not muss ich doch BGP einsetzen.

Gruß Ralf. 

JeGr:
> Da ich kein BGP fahren will (und auch nicht brauche, da nur ein Carrier) aber gerne ausschliesslich Adressen aus der Range B verwende weiss ich nicht, wie ich das an der OPNSense konfigurieren soll.

Wenn du selbst kein BGP fährst, muss dir ein LIR das Netz normalerweise zurouten. Also potentiell der Provider, von dem du das /30er hast, muss dann - sofern er selbst LIR ist - dein Netz dir auf die .2 routen. Macht unser DC Provider für uns auch, da sich BGP nicht lohnt wenn eh nur ein Upstream Provider zur Verfügung steht.

> Der Carrier wirft alle Pakete für die Range B am Interface des Routers der Range A (90.90.90.1) ab. Die 90.90.90.2 steht der OPNSense zur Verfügung.

Warum tut er das? Wenn er dir doch das /30er stellt, kennt er doch deine Gegenstelle und weiß dass die auf der .2 ist. Warum sollte er DEIN Netz dann auf die .1 routen? Wenn dann ist das potentiell ein Fehler, dann würde ich beim Carrier/ISP nachfragen.

> An der bisherigen Firewall habe ich das mit 1:1 NAT auf dem  Interface der Range A gelöst und alles auf ein zweites Interface der Range B geleitet. Gibt‘s hier ne bessere Lösung?

Wozu? Was willst du mit dem /24 machen? Klar kannst du BiNAT nutzen, aber du kannst ein ordentlich geroutetes Netz auch selbst nutzen oder in Teilen selbst auflegen. Das ist das tolle bei sauberem Routing, dass man damit alles anstellen kann :)

> Da ich demnächst auch IPv6 (ebenso AS) entsprechend geroutet bekomme, hätte ich gerne eine elegantere Lösung.

Wie gesagt, mit dem Carrier reden, den IP4 Range /24 auf deine .2 routen lassen.
Bei IPv6 auf ein Transfernetz bestehen, das simultan zum /30er auf deinem WAN konfigurieren und das neue IPv6 Netz (/32 oder /29?) dann auf die Transfer IP6 routen lassen. Bei IPv6 müssen das die Carrier eigentlich machen und mit nem /64er Transfer anbieten, zumindest sagt das die RIPE Vorgabe.

Cheers

RalfG:

--- Quote ---> Wenn du selbst kein BGP fährst, muss dir ein LIR das Netz normalerweise zurouten. Also potentiell der Provider, von dem du das /30er hast, muss dann - sofern er selbst LIR ist - dein Netz dir auf die .2 routen. Macht unser DC Provider für uns auch, da sich BGP nicht lohnt wenn eh nur ein Upstream Provider zur Verfügung steht.

--- End quote ---
Ja, dachte ich auch, macht der aber nicht, wirft nur alle Ziel IPs am Interface raus, daher der Umweg über das NAT.

--- Quote ---> Warum tut er das? Wenn er dir doch das /30er stellt, kennt er doch deine Gegenstelle und weiß dass die auf der .2 ist. Warum sollte er DEIN Netz dann auf die .1 routen? Wenn dann ist das potentiell ein Fehler, dann würde ich beim Carrier/ISP nachfragen.

--- End quote ---

Ich wechsle eh grad, das tu ich mir nicht nochmal an, hoffe der neue  macht's richtig, hätte nur gerne VOR der Umstellung die bisherige Firewall durch die OPNSense ersetzt. Aber dann gibt's halt nen harten Umstieg.

Vielen Dank,

Ralf.

JeGr:
> Ja, dachte ich auch, macht der aber nicht, wirft nur alle Ziel IPs am Interface raus, daher der Umweg über das NAT.

Na ob er die jetzt am "Interface rauswirft" (wie überhaupt? entweder er routet sie durch oder nicht, dann kommen sie aber auch nicht am Interface raus?) oder ob er sie euch auf ne Zieladresse routet ist doch jetzt für den Provider egal? Also wenn er das nicht machen sollte würde ich mich wundern. Ist ja jetzt nur ein lausiger Routingeintrag für ihn.

> Ich wechsle eh grad, das tu ich mir nicht nochmal an, hoffe der neue  macht's richtig, hätte nur gerne VOR der Umstellung die bisherige Firewall durch die OPNSense ersetzt. Aber dann gibt's halt nen harten Umstieg.

Ah OK dann am Besten direkt schon beim Neuen Provider gleich anfragen/ansagen, dann wissen die im Normalfall auch was sie tun :)

Cheers

Navigation

[0] Message Index