Wir haben mehrere Router in unserer Organisation, aber ich schaffe es nicht, dass das Routing wie erwartet funktioniert.
- Wir haben eine begrenzte Anzahl öffentlicher IP-Adressen, die ich 100.xxx/28 nennen werde.
- Wir haben den internen Adressraum 172.16.xx. Jeder Router besitzt einen /24-Block für das interne Routing.
- Wir haben OSPF unter Bereich 1 für alle Schnittstellen laufen
Wir haben folgende Router.
R1 – Border-Router mit NAT – 172.16.1.0/24. Hat eine öffentliche IP auf 100.xx13 mit einem Standard-Gateway von 100.xx9 und leitet das Internet an den Rest des Netzwerks weiter. In diesem Beispiel ist 100.xx13 eine IP-Adresse, die ich kontrolliere, während 100.xx9 außerhalb unseres Netzwerks liegt und zu unserem ISP gehört.
R2 – 172.16.2.0/24 R3 – 172.16.3.0/24 Hub-Router. Dieser Router verbindet sich mit R2, R4 und R5 R4 – 172.16.4.0/24 (int g1) verbindet sich mit internem VLAN (int g2) – 172.16.0.24.
R5 – 172.16.5.0/24. Dieser Router verbindet sich mit R3. Wir möchten diesen Router per VPN mit Azure verbinden. Hinter diesem VPN verbirgt sich ein weiteres Netzwerk mit mehreren VMs. Dafür müssen wir eine unserer öffentlichen IPs verwenden. Daher haben wir der externen Schnittstelle (int g 2) 100.xx14 zugewiesen. Sie hat ein Gateway von 100.xx9, genau wie die IP-Adresse auf R5. Wir möchten diese R5-Schnittstelle 2 jedoch nicht für allgemeinen Internetverkehr verwenden. Sie soll nur für VPN-Verkehr verwendet werden.
Das Problem ist folgendes.
Wenn R5 int g2 heruntergefahren ist, funktioniert NAT im gesamten Netzwerk einwandfrei. Insbesondere Computer im Netzwerk 172.16.0.0/24, die R4 als Gateway verwenden, können über R4, R3, R2 und R1 (den Border-Router) im Internet surfen.
Wenn ich jedoch R5 int g2 hochfahre (also die Schnittstelle mit einer öffentlichen IP-Adresse), die ich aber nicht als Standardgateway verwenden möchte, stelle ich fest, dass der Internetverkehr im internen Netzwerk 172.16.0.0/24 stoppt. Wenn ich einen Traceroute ausführe, stelle ich fest, dass der Verkehr stattdessen versucht, über R4, R3, R5 hinauszugehen.
Die Frage ist also: Kann ich den Verkehr über den Router R1/Nat statt R5 erzwingen?
Danke