TCP/IP Routing Entries

[KM]

Hallo,

man kann ja im CFGTCP Menü -> Auswahl 2 entsprechende TCP/IP-Routing Entries eintragen, so dass für ein bestimmtes Ziel eine bevorzugte IP-Adresse (Schnittstelle) verwendet wird.

Wir haben nun das Problem, dass wir 2 Schnittstellen haben, aber für bestimmte Zwecke nur eine verwenden wollen (aus firewalltechnischen Gründen). Jetzt könnten wir für diese Zwecke Routing Einträge für bestimmte Leitwegziele einrichten. So haben wir das nun auch gemacht. Allerdings kann wohl nur eine IP-Adresse als Leitwegziel verwendet werden. Wir hätten da lieber, dass man da eine Domain eintragen kann. Denn es könnte ja sein, dass sich hinter einer Domain mehrere IP-Adressen verbergen. Die müsste man dann alle eintragen. Oder wenn der externe Dienst seine IP-Adresse ändert, dann müsste das auch wieder angepasst werden, während die Domain eigentlich unverändert bleibt.

Gibt es irgendwo eine Möglichkeit das so zu hinterlegen wie wir das gerne hätten? Und wenn ja, wo?

Vielen Dank!
KM

[Fuerchau]

Die IP's lassen sich ja gruppieren:
Einzelnes Ziel, z.B.
172.168.32.15 => neue IP
Gruppenziel:
172.168.32.0 => neues Ziel
Klassenziel:
172.168.0.0 => neues Ziel

Entscheidend ist dann noch die Kombination mit der sog. Maske.
https://de.wikipedia.org/wiki/Netzmaske
Mit dieser lassen sich bitweise Gruppierungen definieren, deren Umleitung gewünscht wird.

[KM]

Hallo,

ja, dass man eine ganze Gruppe oder Klasse angeben kann ist mir bewusst. Aber bei bestimmten externen Diensten verbergen sich hinter der Domain teilweise mehrere IP-Adressen aus völlig verschiedenen Klassen. Sowas kann ich damit nicht abdecken vermute ich mal.
Ich will also für eine bestimmte Ziel-Domain erreichen, dass dafür immer eine festgelegte bevorzugte Schnittstelle verwendet wird, egal welche und wie viele IP-Adressen hinter der Domain stecken. Gibt es dafür eine Lösung?

Danke,
KM

[Fuerchau]

Das hört sich fast nach Microsoft an. Was man heute schon alles für Ports und Adressen in der Firewall freigeben muss um vernünftig mit MS-Office arbeiten zu können. Wobei das bei denen tatsächlich verschiedene Domains sind.

Die Frage stellt sich daher, da du von einer Domain sprichst, wieso dann eine Domain-Adresse nicht eindeutig genug ist, denn für die Subdomain-Auflösung ist die Domain selber zuständig.
Und mit den NAT-Adressen hinter der Domain hat man ja nun gar nichts zu tun.

[Pikachu]

Wie kann euer DNS-Server zum Ermitteln der Domain-Namen gefunden werden?

[Fuerchau]

Jedem Client können gezielt 2 DNS-Server (IP) direkt genannt werden, i.d.R. kann sowas der Router übernehmen. Wenn der es dann nicht kann, wird die Auflösung an dessen nächsten DNS-Server geroutet.
Die Zuordnung übernimmt u.U. der DHCP-Server, für die IP-Vergabe oder, wie im Falle von VPN's, können DNS-Einträge da bereits eingestellt werden.
Per "ipconfig" auf dem PC lässt sich anzeigen, was da so generiert ist, per "> Datei.txt" kann man das auch speichern.
Jede Verbindung hat ein Gateway-Eintrag, an den i.d.R. alle Anforderungen rausgehen.
Per Route kann man jedoch gezielte Routen an bestimmte Schnittstellen lenken.
D.h., wenn man mehrere Leitungen an einem Gerät hat, muss man u.U. bestimmte Adressen an bestimmte Schnittstellen binden.
Mehr macht das Routing nämlich nicht, da die weitere Route vom nächsten Knoten ermittelt wird.

Früher konnte man die Reihenfolge der DNS-Abfragen in Windows bestimmen.
Auf der IBM i kann man auch mehrere DNS-Server einstellen, ob dmait eine Reihenfolge festegelgt wird, weiß ich nicht.
Allerdings fragt Windows inzwischen alle verfügbaren DNS-Server parallel ab. Und die Antwort, die zuerst eintrifft, wird dann akzeptiert. Allerdings, in seltenen Fällen, kann das Ergebnis auch falsch sein.
Über unser Firmen-VPN bin ich mit einer 2. Fritzbox verbunden.
Wenn ich dann einen "ping Fritz.box" absetze oder die Oberfläche aufrufen will, kann es sein, dass die ferne Box zuerst antwortet. Leider lässt sich nämlich der Domain-Name einer Fritz immer noch nicht ändern. Die ferne Box hatte allerdings nicht sich selbst geoutet, sondern aus dem Internet-DNS die Antwort "Ziel nicht erreichbar" zurück gegeben.

Auf der IBM/i brauchte ich eigentlich noch nie irgendwelche Routen einrichten, da die IBM schon lange nicht mehr alleine im Netzwerk ist. Man hat meist einen Domain-Server (DC) und Router ins Internet im Einsatz. Der DC kann u.U. auch die DNS-Auflösung durchführen, allerdings dient dies eher internen Ressourcen und Zielen.
Für das WWW sind die DNS-Dienste der Anbieter verantwortlich, denn man sollte sich nie an eine IP klammern sondern immer den Namen, Subnamen und Port verwenden.
Im eigenen W/LAN ändert man IP's eher selten, da macht man das schon mal, allerdings ist eine DNS-Auflösung des eigenen Netzes von einem zentralen, und ggf. alternativem, DNS-Server die bessere Lösung. IP-Adressen, ins besonders IPV4 ändern sich schon mal.

Routing auf ferne IP's über WWW selber definieren macht gar keinen Sinn. Wenn man Rechner via VPN miteinander verknotet, gibts automatisch mit der Klassen-IP des VPN's eine Defaultroute.
Und wie gesagt: NAT (Network-Adresse-Translation) braucht dabei keinerlei Berücksichtigung.

Oder hat schon mal einer seine persönliche IP-Adresse des Routers zum Anbieter von 192.168.1.1 ohne Zwang auf was anderes geändert?
Ich nur, weil auf der anderen Seite auch eine Fritzbox saß, und es in einem gemeinsamen Netz nur 1 Router mit dieser Adresse gegeben darf.

[Pikachu]

Aber wie finden die Anfragen an den DNS-Server den DNS-Server? Bis dahin sind ja noch keine Domainnamen bekannt!?

[Fuerchau]

Auf der IBM i via CHGTCPDMN
https://www.ibm.com/docs/en/i/7.6.0?...chgtcpdmn.html
Dort kannst du bis 3 DNS-Server eintragen.
Dies sollte dein Domaincontroller DC sein.

In den Clients per IP-Konfiguration, die vom DHCP-Server initiiert wird, es sei denn jeder Client bekommt feste IP-Adressen.

Unter Windows:
https://support.microsoft.com/en-us/...0-73431160a1b9

Oder Power-Shell:
https://learn.microsoft.com/en-us/po...sserver2025-ps

I.d.R. ist die Default-Route zum DHCP- oder DC-Server eingerichtet, der wiederum seine DNS-Server kennen sollte. Auf dem Client ist daher nicht unbedingt ein DNS-Server erforderlich, auch nicht auf der IBM i.

Ach ja, fürs WWW gibts auch ein paar statische DNS-Server wie 1.1.1.1, 6.6.6.6, 8.8.8.8

Für die Ermittlung der Routen gibts im Windows den
tracert
z.B. "tracert -4 www.t-online.de"

Auf der IBM müsste der ähnlich lauten, tracerte oder traceroute.

[Pikachu]

Werden Leitwege zum Finden des DNS-Servers benötigt?
Gingen da auch Domains als Leitwege?

[Fuerchau]

Ein Client, auch die IBM, hat i.d.R. nur einen LAN/WLAN-Anschluss und eine Default-Route auf diesen Anschluss. Der Anschluss ist dann mit einem Netzknoten verbunden.
Auf Grund der Netzmaske weiß der Netzknoten wohin das Paket geht.
Wenn du also nur 1 Schnittstelle hast, benötigst du weder eine Route noch einen DNS-Server-Eintrag, da alles an die Schnittstelle geht. Ab dem nächsten Knoten muss sowieso das Netzwerk alles leisten.
Eine Route auf dem Client kannst du gar nicht bis zum Endpunkt bestimmen, sondern immer nur das abgebende Interface, also Leitung 1 oder falls vorhanden 2, da sich diese jeweils in anderen Subnetzen befinden können. Vielleicht ist Leitung 2 aber nur redundant und geht zum selben Knoten, wie z.B. LAN und WLAN 2 Interfaces sind, sich aber im selben Netz befinden.

Du musst also deine Netztopologie betrachten, ob da an irgendeiner Stelle die Route nicht passt, ab deinem Internetzugang sind die Leitwege extern bestimmt.
Das ist wie Autobahnfahren. Du schreibst dir zwar eine Route auf, aber erst wenn du an die passende Abfahrt kommst, weist du wo es weitergeht.

Leitwege sind ausschließlich IP-Adressen. Daher benötigst du ja den DNS-Dienst, der dir die Namen in eine IP übersetzt.
Wenn du z.B. die IP von www.t-online.de in deinen eigene DNS-Liste, gibts auch auf der IBM, einträgst, wird der externe DNS-Dienst nicht mehr aufgerufen und dann diese IP verwendet.
Änderts sich die IP aber mal, musst du diese nun selber anpassen, da du je selber dein DNS-Dienst bist.

Damit aber nicht ständig DNS-Abfragen passieren, werden diese in einem Cache abgelegt. Jede IP bekommt einen Lease (Lebensdauer), nach der dann eine neue DNS-Abfrage erforderlich ist.