Merkwürdige Subnetzmaske - Routerdistribution

[ErikM]

Hallöle,

bei der Einrichtung einer öffentlichen IP-Adresse

sagt mir mein Provider, dass ich die Subnetzmaske 255.255.255.255 benutzen soll.

Ich verstehe das nicht. Ist es nicht so, dass bei solch einer Maske kein Hostanteil existiert und demnach keine Hosts ?

Oder muss ich das als Point-To-Punkt Maske verstehen .. ( dachte aber, dass man dafür 255.255.255.252 nimmt )

Es funktioniert zwar alles, aber ich kann mir nicht erklären wieso:rolleyes:

Ausgangslage: Root-Server mit Esxi drauf, Router-VM für NAT und mehrere VMs hinter NAT

Weiteres Problem ist, dass beispielsweise Linux-Fertigrouter-Distributionen es nicht mögen, wenn man versucht derartige Masken einzustellen ..

Ich wollte so etwas installieren um ein halbwegs komfortables Webinterface zum Einstellen von beispielsweise Portweiterleitungen zu haben. Kann mir da jemand etwas empfehlen ?

MfG E

[Crash2001]

[...]bei der Einrichtung einer öffentlichen IP-Adresse

sagt mir mein Provider, dass ich die Subnetzmaske 255.255.255.255 benutzen soll.

Wird standardmässig für Loopback-Adressen genutzt.

Ich verstehe das nicht. Ist es nicht so, dass bei solch einer Maske kein Hostanteil existiert und demnach keine Hosts ?

Oder muss ich das als Point-To-Punkt Maske verstehen .. ( dachte aber, dass man dafür 255.255.255.252 nimmt )

Für point-to-Point Verbindungen (also Verbindungen, bei denen nur 2 IP-Adressen benötigt werden) nimmt man ein /30 Netz (Subnetzmaske 255.255.255.252). Richtig.

Es funktioniert zwar alles, aber ich kann mir nicht erklären wieso:rolleyes:

Das kann ich mir nach deiner Beschreibung zwar auch nicht, aber ich gehe mal davon aus, dass das eine "interne" IP-Adresse des Root-Servers dann ist und die Pakete somit über ihn intern weitergeleitet werden. Vom ESXI zu einer virtuellen Maschine oder intern auf einer Maschine kann es ja durchaus auch über localhost weitergeleitet werden. Localhost wird aber nciht geroutet und somit braucht man eine IP-Adresse, die man der entsprechenden Maschine zuordnen kann. Wobei du leider nicht schreibst, ob es denn nun eine IP-Adresse aus dem privaten Bereich (192.168.0.0/16, 10.0.0.0/8 oder 172.16.0.0/16) oder eine öffentliche IP-Adresse ist, sondern uns doch recht im Ungewissen lässt, was du da eigentlich für ein Verständnisproblem hast und wo diese IP-Adresse überhaupt verwendet werden soll.

Ausgangslage: Root-Server mit Esxi drauf, Router-VM für NAT und mehrere VMs hinter NAT

Also irgendwie ist das eine sehr nichtssagende Beschreibung jetzt. ESXI ist klar, aber wo genau ist das NAT? Auf der virtuellen Maschine auf einem Linux, das als Router fungiert, oder meinst du damit das NAT vom ESXI oder was? :confused:

Weiteres Problem ist, dass beispielsweise Linux-Fertigrouter-Distributionen es nicht mögen, wenn man versucht derartige Masken einzustellen

Dann muss man das halt händisch eintragen und nicht über die Klickibuntioberfläche...

[RipperFox]

Für point-to-Point Verbindungen (also Verbindungen, bei denen nur 2 IP-Adressen benötigt werden) nimmt man ein /30 Netz (Subnetzmaske 255.255.255.252). Richtig.

Natürlich macht man genau das normalerweise NICHT und nimmt überhaupt keine Transfernetze bei Point-to-Point

Das wäre Adressverschwendung pur: 2 IPs werden benötigt, ein Netz mit 4 Adressen wird verwendet.

(Nicht nur) Point-to-Point Protokollen (z.B. PPP, ha!) kann man die eigene und die IP des Peers übergeben und es wird eine Route auf genau die IP des Peers erzeugt (also /32 - ergo 255.255.255.255).

Auch benötigt z.B. der Dialin-PPP-Server nicht für jede Verbindung eine IP, sondern kann z.B. eine IP für alle PPP Verbindungen nutzen (Stichwort 'unnumbered interfaces').

Interessanter wird es bei Routingprotokollen, welche eigentlich immer gern den State einer Verbindung haben wollen und bei Verbindungen mehrerer Router mit mehreren Interfaces, welche z.B. über nen dicken Switch verbunden werden - dort wird der Einsatz von Transfernetzen sinnvoll.

Man darf nicht vergessen, wozu die Netzmaske in erster Linie dient: Schlicht der Erzeugung eines Eintrags in der Routingtabelle.

Diese wiederum dient zur Ermittlung, wie eine IP erreicht werden kann (Direkt an Interface X, über spezifisches oder Default-Gateway)..

Grüße

Ripper

[GoaSkin]

Die Netzmaske 255.255.255.255 bzw. /32 nimmt man, wenn der gesamte Datenverkehr über das Default-Gateway geschickt werden soll, der weder für den Router, noch für ein auf einem anderen Interface konfiguriertes Netz bestimmt ist.

Da hinter deinem Router keine öffentlichen IPs erreichbar sind, sondern nur die öffentliche IP erreicht werden muss, ist im Router des Providers auch nur eine Route gesetzt, die den Verkehr an deine öffentliche IP über ein bestimmtes Interface schickt, ohne dabei ein Gateway zu definieren.

Dein Router wiederum schickt den gesamten Verkehr über sein externes Interface raus, ohne dass dort die IP-Adresse des nächsten Routers als Ziel gesetzt wird. Die Pakete gehen einfach nur in die Leitung und das Einzige, was direkt erreichbar ist - der nächste Router - hört sie ab und schickt sie weiter. Seine Default Route ist auch nur das externe Interface ohne weitere IP als unmittelbares Ziel.

Im Vergleich zu der Variante, dass man zwischen deinem Router und dem Provider ein kleines Subnet definiert, spart man sich so drei öffentliche IP-Adressen.

[RipperFox]

Die Netzmaske 255.255.255.255 bzw. /32 nimmt man, wenn der gesamte Datenverkehr über das Default-Gateway geschickt werden soll, der weder für den Router, noch für ein auf einem anderen Interface konfiguriertes Netz bestimmt ist.

Ahh.. Nein.

Die Standardroute ist 0.0.0.0/0.

Unter Windows kannst Du Dich ja mal mit der Ausgabe von "ROUTE PRINT" befassen, unter GNU/Linux "route" oder "ip route" verwenden. Wenn man es vor Augen hat wird's klarer..

Der Fragesteller hat zusätzliche öffentliche IPs für seinen dedicated Server bekommen - seit längerem routet jeder Hoster (Hallo Hetzner?) einzelne IPs. Die extra Hinweise zu Routern beim OP sind somit irgendwie seltsam, ne? Man kann davon ausgehen, dass ab einer nahen Ebene im RZ die Router KEINE Standardrouten mehr nutzen sondern irgendein internes Routingprotokoll oder gleich BGP..

Grüße

Ripper

[ErikM]

Die IP die mit dieser /32er Subnetzmaske ist quasi für die Router-VM die auch herumnattet.. diese ist öffentlich erreichbar (allerdings bridged über eine andere). Von da aus geht es halt mit Portweiterleitungen weiter..

Ich musste beim bestellen der IP auch angeben ob die am Ende zu einer VM zeigen soll.

[GoaSkin]

Ahh.. Nein.

Die Standardroute ist 0.0.0.0/0.

Bei der Standardroute gibt aber 0.0.0.0/0 nur an, um welche IPs es sich handelt (in diesem Fall alle) und nicht den Zielrouter. Ein nächster HOP ist in diesem Falle nicht angegeben, sondern nur ein Interface.

Alle IPs bedeutet in diesem Falle jedoch nur alle IPs, die nicht durch andere Routen bereits berücksichtigt sind. Gibst du der IP deines Rechners eine andere Subnetmaske als 255.255.255.255, dann setzt der Rechner automatisch in der Routing-Tabelle schon einmal einen Eintrag für das lokale Netz, um zu verhindern, dass die Default-Route für die Adressen im lokalen Subnet greift.

Habe ich z.B. die IP-Adresse 192.168.1.2 mit der Subnet-Maske 255.255.255.0, dann setzt der Rechner beim einrichten der IP einen solchen Routing-Eintrag:

192.168.1.0/24 dev eth0 proto kernel scope link src 192.168.1.2 metric 1

D.h. für alle Ziele, die mit 192.168.1. beginnen, gilt der Routing-Eintrag für Ziel 0.0.0.0/0 nicht.

Richte ich hingegen 192.168.1.2 mit der Netzmaske 255.255.255.255 ein, dann geht der Traffic grundsätzlich über die Default-Route, es sei denn, der Rechner schickt Daten an seine eigene IP oder für einen gesonderten Netzbereich hat man noch eine manuelle Route angelegt.

Bei vielen Hostern hat man eine IP-Adresse mit der Netmask /32 und eine Default-Route wie

default dev eth0 proto static

Da steht dann nichts von 'via router-ip' was in der Route mehr drin. Der Rechner wird angewiesen, den Verkehr schlichtweg auf ein Interface rauszuschicken. Der Verkehr ist damit in der Leitung und der nächste Hop greift ihn selbst ab.

Hetzner macht das allerdings scheinbar garnicht so, zumindest nicht immer. Wir haben einen Hetzner-Server, bei dem es einfach einen zusammenhängenden IP-Bereich gegeben hat. Hier ist die Netmask 255.255.255.192 und der Verkehr wird an ein Standard-Gateway geschickt, dass sich in dem uns zugewiesenen IP-Bereich befindet.

[RipperFox]

Ach Goa, ..wenn man

Die Netzmaske 255.255.255.255 bzw. /32 nimmt man, wenn der gesamte Datenverkehr über das Default-Gateway geschickt werden soll..

so schön weiter ausführt, ergibt das dann doch wieder Sinn

Man beachte die Uhrzeit meines Posts

Schönen Freitag & 73,

Ripper

[Crash2001]

Natürlich macht man genau das normalerweise NICHT und nimmt überhaupt keine Transfernetze bei Point-to-Point [...]

Einerseits schreibst du man macht es nciht, schränkst es aber unten dann doch wieder ein...

[...]Man darf nicht vergessen, wozu die Netzmaske in erster Linie dient: Schlicht der Erzeugung eines Eintrags in der Routingtabelle.

Diese wiederum dient zur Ermittlung, wie eine IP erreicht werden kann (Direkt an Interface X, über spezifisches oder Default-Gateway)[...]

Ich würde mal behaupten, das ist falsch.

Die Netzmaske ist dafür da, damit z.B. ein Rechner herausfinden kann, ob die Ziel-IP im gleichen Netz wie seine Source-IP liegt, oder ob er die IP-Adresse nur über ein Gateway erreichen kann. Erst wenn klar ist, dass die Target-IP nicht im selben Subnetz wie die Interface des Rechners liegt, schaut er in seiner Routingtabelle nach, ob eine Route dafür existiert. Existiert keine genauere Route als die Nullroute für das entsprechende Ziel, wird das Paket ans Default-Gateway geschickt.

Hetzner hatte früher Subnets auch für zusätzliche kostenfreie Subnets. Irgendwann (letztes Jahr oder so) wurden dann alle die zusätzliche Subnets hatten angeschrieben, dass sie ab sofort was kosten, man sie ansonsten halt zurückgeben kann. Alternativ konnte man halt IPV6 nutzen und da kostenlose Subnets haben.

So wie ihr das mit der Hostroute beschreibt (oder zumindest so wie ich es deute, was ihr damit meint), funktioniert es technisch aber nicht so wirklich.

Es muss auf dem Root-Server ein internes Routing oder Bridging geben (standardmässig gegeben, wenn man virtuelle Maschinen drauf installiert hat).

Es ist egal, ob nun ein next Hop (IP-Adresse) oder ein Interface als Ziel für eine Route angegeben wird. Ein IP-Paket kann dennoch nur von einem Host im gleichen Netz wie der Absender gelesen werden und wird ansonsten verworfen (sonst würde an einem Hub z.B. ja jeder PC jedes Paket annehmen), wenn es an eine andere IP-Adresse als die auf dem Interface vergebene gehen soll und Routing / forwarding nicht aktiviert ist und somit das Ziel dem Rechner nicht bekannt ist.

• Routing an
  • Ziel bekannt => schickt es an den next Hop der im Routingeintrag steht
    
  • Ziel unbekannt => schickt es ans Defaultgateway

  [*]Routing aus

  • Paket wird verworfen, wenn es nicht an die eigene IP-Adresse adressiert ist

Abgeschickt werden kann es immer nur von einem Host im gleichen Netz wie die Gegenstelle - es sei denn, es wird direkt lokal umgesetzt / weitergeroutet auf eine andere IP-Adresse.

Nach dem Prinzip funktionieren auch die Loopback-Interface auf einem Router, die man zum testen (oder auch zur Überwachung, Einwahl, etc.) einrichten kann

Bei euch hört sich das irgendwie so an, als ob das Paket einfach übers Interface weitergereicht wird und da schon angenommen werden könnte. Da steckt jedoch mehr dahinter.

[RipperFox]

Einerseits schreibst du man macht es nciht, schränkst es aber unten dann doch wieder ein...

Grundsätzlich (d.h. es gibt Ausnahmen) wird bei Point-to-Point kein Transfernetz verwendet - über nen Switch ist's kein Point-to-Point, oder? So klarer beschrieben?

Ich würde mal behaupten, das ist falsch.

Die Netzmaske ist dafür da, damit z.B. ein Rechner herausfinden kann, ob die Ziel-IP im gleichen Netz wie seine Source-IP liegt, oder ob er die IP-Adresse nur über ein Gateway erreichen kann.

Die Entscheidung, ob die ZIEL-IP erreichbar ist, wird ja gerade anhand der Einträge in der Routingtabelle gefällt.

Einfach mal die Routingtabelle eines Hosts ansehen..

Und: Die Source-IP hat bei dieser Entscheidung grundsätzlich (Ausnahme Source-based-routing) keinen Einfluss - sonst würde mein Internet hier nicht funktionieren..

So wie ihr das mit der Hostroute beschreibt (oder zumindest so wie ich es deute, was ihr damit meint), funktioniert es technisch aber nicht so wirklich.

Doch, Früher hat Hetzner afair z.B. kostenlos ein /29 zugeteilt - das war Verschwendung, weil so durch Netz- und Broadcastadresse von 8 IP Adressen nur 6 nutzbar waren. 25% Verschnitt ist bei nem Haufen Kunden nicht so toll.

Deswegen wird heute für jede IP eine extra Route benutzt - früher war der RAM in Router teurer als IPs - heute sieht das anders aus

Vom VM-Host-internem Routing, bzw. wie er die IPs auf seine VMs verteil wurde afair hier nirgends gesprochen, oder?

Abgeschickt werden kann es immer nur von einem Host im gleichen Netz wie die Gegenstelle - es sei denn, es wird direkt lokal umgesetzt / weitergeroutet auf eine andere IP-Adresse.

Sorry, hab Deinen Einwand jetzt nicht ganz verstanden :/

Ausserdem vergisst Du Proxy-ARP, oder?

Nach dem Prinzip funktionieren auch die Loopback-Interface auf einem Router, die man zum testen (oder auch zur Überwachung, Einwahl, etc.) einrichten kann

Man nutzt auf Routern auch Loopback Interfaces auf denen man IPs konfiguriert, die aus mehreren Netzen her erreichbar sein sollen. Auf einem anderen Interface wäre ggf. beim Herunterfahren des Interfaces die IP aus der Routingtabelle raus

Bei euch hört sich das irgendwie so an, als ob das Paket einfach übers Interface weitergereicht wird und da schon angenommen werden könnte. Da steckt jedoch mehr dahinter.

Naja, die Routingtabelle(n) halt

Grüße

Ripper

Bearbeitet 20. Dezember 2013 von RipperFox