Asymmetrisches Routing ist eine häufig unterschätzte Ursache für VPN-Ausfälle und abgebrochene Sessions im Telekommunikationsnetz. Es tritt auf, wenn die eingehenden und ausgehenden Pakete eines VPN-Tunnels unterschiedliche Pfade durch das Netzwerk nehmen. Dies kann dazu führen, dass Sicherheitsmechanismen, NAT-Tabellen oder Stateful Firewalls Pakete als ungültig verwerfen und Sessions abbrechen.

Was ist asymmetrisches Routing?

Im klassischen Routing verlaufen Hin- und Rückweg eines Pakets über denselben Pfad. Asymmetrisches Routing hingegen bedeutet, dass der Rückweg einen anderen Pfad nimmt als der Hinweg. Obwohl IP-Pakete weiterhin korrekt zugestellt werden können, kommt es bei VPNs häufig zu Problemen.

Beispiel

• Client A baut ein IPSec VPN zu Gateway G auf.
• Pakete vom Client zum Gateway laufen über ISP1.
• Antwortpakete vom Gateway zum Client laufen über ISP2.

Die Firewall auf dem Gateway erkennt die ausgehenden Pakete nicht als Teil der bestehenden Session und verwirft sie.

Warum VPN-Sessions abbrechen

Stateful Inspection

Die meisten VPN-Gateways verwenden Stateful Firewalls oder Stateful Security Associations (SA). Diese erwarten, dass jedes Antwortpaket über denselben Pfad zurückläuft. Asymmetrisches Routing bricht diese Erwartung:

• Die Firewall hat die Session im State Table gespeichert.
• Kommt ein Paket über einen anderen Pfad, fehlt der Eintrag im State Table.
• Resultat: Das Paket wird verworfen, Session bricht ab.

NAT und IPsec

IPSec Tunnel (IKEv2 oder IKEv1) bauen SA auf, die Quell- und Ziel-IP sowie SPI (Security Parameter Index) erwarten. Ändert sich der Pfad durch NAT oder asymmetrisches Routing, stimmen die IPs/SPI nicht mehr überein und der Tunnel wird abgebaut.

Typische Ursachen im Provider-Umfeld

• Redundante WAN-Links mit unterschiedlichen Exit-Punkten
• Load Balancing zwischen mehreren Internet-Gateways
• Mehrere NAT-Gateways auf unterschiedlichen Pfaden
• Policy-based Routing, das bestimmte Subnetze anders behandelt

Analyse und Diagnostik

Tools und Befehle

# Prüfen der Routing-Tabelle auf einem Linux Client
ip route show
Test der Rückroute zu VPN-Gateway
traceroute -n 
Prüfen der NAT-Tabelle auf Gateway
show ip nat translations
Session-State prüfen auf VPN-Gateway
show crypto ipsec sa

Indikatoren für asymmetrisches Routing

• VPN-Tunnel baut sich auf, bricht aber nach wenigen Sekunden ab
• Ping oder TCP-Verbindungen durch VPN werden nur in eine Richtung erfolgreich
• Packet Captures zeigen unterschiedliche Next-Hops für Anfrage und Antwort

Lösungsansätze

Path Symmetrization

Die einfachste Lösung besteht darin, dass Hin- und Rückweg über dasselbe Gateway oder dieselbe ISP-Verbindung laufen. Dies kann erreicht werden durch:

• Source-based Routing (PBR) auf Router/Firewall
• Bindung von VPN-Interfaces an spezifische WAN-Links
• Verwendung von ECMP-Hashing, das Tunnel-Traffic konsistent leitet

Stateful-Firewall Konfiguration

Manche Firewalls erlauben asymmetrisches Routing für bekannte VPN-Sessions:

• State Table auf mehreren Firewall-Knoten synchronisieren
• UDP-basiertes Keepalive, um SA aktiv zu halten
• Asymmetry-tolerante NAT-Regeln

Monitoring

Um asymmetrisches Routing frühzeitig zu erkennen:

• NetFlow oder sFlow nutzen, um Pfade zu analysieren
• RTT, Paketverlust und Out-of-Order-Indikatoren überwachen
• Automatisierte Alerts bei wiederholten Tunnel-Abbrüchen

Best Practices für Telcos

• Immer dedizierte VPN-Gateways für kritischen Traffic einsetzen
• Redundanz über Active/Active nicht auf Layer 3 Ebene erzwingen, ohne State-Synchronisation
• Routen und NATs klar dokumentieren und kontrollieren
• IPSec Keepalives aktivieren, um kurze Session-Ausfälle zu verhindern
• Regelmäßige Packet Captures und Monitoring während Rollouts durchführen

Zusammenfassung

Asymmetrisches Routing ist ein klassisches Problem in Carrier-Netzen mit VPN. Ohne symmetrische Pfade brechen Stateful Firewalls, NAT und Security Associations die Session ab. Die Lösung besteht aus Path Symmetrization, Firewall-Optimierung und Monitoring. Telcos sollten bei VPN-Designs immer auf konsistente Pfade und dokumentierte Routing-Policies achten, um stabile Remote-Access-Verbindungen zu gewährleisten.

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3

Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.

Meine Leistungen umfassen:

• Professionelle Konfiguration von Routern und Switches

• Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen

• Erstellung von Topologien und Simulationen in Cisco Packet Tracer

• Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG

• Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible

• Erstellung von Skripten für wiederkehrende Netzwerkaufgaben

• Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege

• Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting

Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.