Static Routes Troubleshooting: Next-Hop, Rekursion und Blackholes

Static Routes Troubleshooting ist ein Klassiker im Netzwerkbetrieb, weil statische Routen gleichzeitig einfach und gefährlich sind: Sie sind schnell gesetzt, funktionieren ohne Routingprotokoll – und können genauso schnell zu stillen Ausfällen, asymmetrischen Pfaden oder Blackholes führen. Besonders häufig tritt das Fehlerbild so auf: „Ein bestimmtes Subnetz ist nicht erreichbar“, „VPN geht, aber nur in eine Richtung“, „Nach einem Umbau sind einzelne Dienste tot“, oder „Nach dem Failover läuft der Verkehr ins Leere“. In all diesen Fällen ist die Ursache oft kein physischer Defekt, sondern eine fehlerhafte oder unvollständige statische Route – sei es durch falschen Next-Hop, fehlende Rekursion, eine Route, die zwar in der Tabelle steht, aber nicht nutzbar ist, oder eine unbeabsichtigte Blackhole-/Null-Route, die Traffic „verschluckt“. Dieser Artikel zeigt Ihnen praxisnah, wie Sie statische Routen systematisch analysieren: Sie prüfen zuerst, ob der Next-Hop erreichbar ist, dann ob die Route rekursiv auflösbar ist, anschließend ob sie tatsächlich gewinnt (Longest Prefix Match, Administrative Distance), und schließlich ob Blackholes, Summaries und Rückwege sauber designt sind. Ziel ist ein reproduzierbarer Ablauf, der sich direkt als Runbook für IT-Teams eignet.

Statische Routen in der Praxis: Warum sie so oft Probleme machen

Statische Routen sind explizite Anweisungen: „Für dieses Zielnetz sende Pakete über diesen Next-Hop oder dieses Interface.“ Im Gegensatz zu dynamischen Protokollen (OSPF, BGP) gibt es keine automatische Konvergenz, keine Nachbarschaftsprüfung und oft auch keine automatische Validierung, ob der Next-Hop wirklich erreichbar ist. Viele Plattformen zeigen eine statische Route daher in der Routing-Tabelle, obwohl der Pfad faktisch kaputt ist – das führt zu Blackholes, die auf den ersten Blick schwer zu erkennen sind.

• Statisch heißt nicht automatisch stabil: Wenn sich Topologie oder Next-Hop ändern, passt die Route nicht mehr.
• Statisch heißt nicht automatisch korrekt: Ein Tippfehler in Netzmaske oder Next-Hop reicht für selektive Ausfälle.
• Statisch ist oft „vergessen“: Quick-Fix-Routen bleiben stehen und verursachen Wochen später neue Störungen.

Das Minimalwissen: Longest Prefix Match, Administrative Distance und Rekursion

Um static routes sauber zu troubleshoot’en, brauchen Sie drei Konzepte:

• Longest Prefix Match: Die spezifischste Route gewinnt. Ein /32 schlägt /24, ein /24 schlägt /16. Das ist die häufigste Ursache für „Route ist da, aber es wird anders geroutet“.
• Administrative Distance: Wenn zwei Routen gleich spezifisch sind, gewinnt meist die „vertrauenswürdigere“ Quelle (je nach Plattform: Connected vor Static vor IGP vor BGP oder ähnlich).
• Rekursion: Ein Next-Hop muss seinerseits erreichbar sein. Das Gerät muss eine Route zum Next-Hop haben, sonst ist die statische Route praktisch nutzlos.

Als technische Referenz zu Routerverhalten und Forwarding ist RFC 1812 (Requirements for IPv4 Routers) geeignet; für IPv4-Grundlagen RFC 791.

Die häufigsten Fehlerbilder bei statischen Routen

In der Praxis lassen sich die meisten Störungen auf wenige Muster reduzieren. Wer diese Muster erkennt, findet die Ursache deutlich schneller.

• Falscher Next-Hop: Route zeigt auf eine IP, die im falschen Subnetz liegt oder nicht existiert.
• Next-Hop nicht erreichbar: Interface down, VLAN falsch, ARP/Neighbor fehlt, Upstream defekt.
• Rekursion bricht: Next-Hop wird über eine Route erreicht, die ebenfalls wegfällt (Kaskadeneffekt).
• Blackhole/Null Route greift: Eine Discard-Route fängt Traffic ab, weil spezifischere Routen fehlen.
• Asymmetrischer Rückweg: Hinweg per statischer Route, Rückweg per Default oder anderer Pfad – besonders kritisch bei stateful Firewalls/NAT.
• Floating Static falsch dimensioniert: Backup-Route hat falsche Administrative Distance und wird unerwartet aktiv.
• Überlappende Netze/Summaries: Falsche Masken führen zu „zu breiten“ Routen, die andere Ziele miterfassen.

Der Standard-Workflow: Static Routes Troubleshooting Schritt für Schritt

Dieser Ablauf ist bewusst so aufgebaut, dass Sie mit wenigen Checks zuverlässig entscheiden können, ob das Problem am Next-Hop, an Rekursion, an Prioritäten (Prefix/Distance) oder an Blackholes liegt.

Schritt: Problem präzisieren

• Welche Quelle (IP/Subnetz) erreicht welches Ziel (IP/Subnetz) nicht?
• Ist es komplett (Ping, TCP/UDP) oder nur ein Dienst/Port?
• Seit wann? Nach welchem Change (Providerwechsel, VLAN-Neuaufbau, Firewall-Regeln, HA-Failover)?

Schritt: Route Lookup durchführen (nicht nur „show route“)

Statt die gesamte Routing-Tabelle zu scannen, ist ein gezielter Lookup auf das konkrete Ziel am effektivsten. Viele Plattformen bieten ein „Route lookup“/„best route“-Kommando. Unter Linux ist dafür die Referenz ip-route(8) hilfreich.

• Welche Route gewinnt für das Ziel (Prefixlänge beachten)?
• Ist es die erwartete statische Route oder verdrängt eine andere Route sie?
• Welcher Next-Hop und welches Ausgangsinterface werden genutzt?

Schritt: Next-Hop-Erreichbarkeit prüfen

• Liegt der Next-Hop im direkt angeschlossenen Subnetz? Dann: ARP/Neighbor und Interface-Status prüfen.
• Ist der Next-Hop nicht direkt? Dann: rekursive Route zum Next-Hop prüfen (siehe nächster Schritt).
• Bei VLAN/SVI: Ist das VLAN aktiv und das Interface up/up?

Schritt: Rekursion prüfen (Route zum Next-Hop)

Rekursion bedeutet: Der Router muss selbst wissen, wie er den Next-Hop erreicht. Wenn die Route zum Next-Hop weg ist, bleibt die statische Route zwar konfiguriert, aber sie kann nicht funktionieren. Gerade bei hierarchischen Designs (Core/Distribution/Edge) kann das Kaskadeneffekte auslösen.

• Welche Route wird genutzt, um den Next-Hop zu erreichen?
• Ist diese Route stabil (connected, statisch, dynamisch)?
• Gibt es einen zirkulären Pfad (Route A zeigt auf Next-Hop, dessen Rekursion wieder über Route A läuft)?

Schritt: Prüfung auf Blackholes und Null-Routes

• Gibt es eine Discard-/Null0-Route, die das Ziel (oder ein übergeordnetes Summary) matcht?
• Fehlen spezifischere Routen, die eigentlich „über“ dem Blackhole liegen müssten?
• Ist die Null-Route bewusst gesetzt (z. B. für Aggregation) oder ein Altlast-Quick-Fix?

Schritt: Rückweg verifizieren

Gerade bei statischen Routen ist der Rückweg häufig die eigentliche Ursache. Ein Hinweg kann funktionieren, aber Antworten kommen nie zurück – oder laufen über einen anderen Pfad und werden von stateful Geräten verworfen.

• Hat das Ziel eine Route zurück zur Quelle (oder zum Quellnetz)?
• Ist der Rückweg symmetrisch, wenn Firewalls/NAT im Spiel sind?
• Gibt es Default-Routen, die Rückverkehr „irgendwohin“ schicken?

Schritt: Fix minimal und kontrolliert umsetzen

• Ändern Sie nur eine Variable (z. B. Next-Hop) und testen Sie erneut.
• Verifizieren Sie mit identischem Testfall (gleiches Ziel, gleicher Port) und dokumentieren Sie Vorher/Nachher.
• Entfernen Sie Altlasten (alte statische Routen), sobald die nachhaltige Lösung steht.

Next-Hop korrekt wählen: IP, Interface oder beides?

Eine häufige Designfrage lautet: Soll ich eine statische Route über eine Next-Hop-IP setzen oder über ein Ausgangsinterface? Beides kann funktionieren, aber die Nebenwirkungen unterscheiden sich je Plattform.

• Next-Hop-IP: In der Regel der sauberste Ansatz in Multi-Access-Netzen (Ethernet), weil ARP/Neighbor eindeutig ist.
• Outgoing Interface: Häufig sinnvoll bei Point-to-Point-Links, bei denen es nur einen Nachbarn gibt.
• IP + Interface: Manche Designs kombinieren beides für deterministischere Auflösung.

Praktisch wichtig: Wenn Sie nur ein Interface angeben (ohne Next-Hop-IP) und dieses Interface Multi-Access ist, kann es zu unerwünschtem ARP/Flooding kommen, weil der Router „für jedes Ziel im Präfix“ ARP anstößt. Das kann bei großen Summaries unangenehme Nebenwirkungen haben.

Rekursion im Detail: Warum „Route ist da“ nicht reicht

Viele Tools zeigen statische Routen als vorhanden an – aber entscheidend ist, ob der Next-Hop letztlich in ein connected Netz aufgelöst werden kann. Eine stabile Rekursion folgt typischerweise dieser Kette:

• Statische Route zu 10.20.0.0/16 via Next-Hop 192.0.2.1
• Route zu 192.0.2.0/24 ist connected an Interface X
• ARP/Neighbor zu 192.0.2.1 existiert und zeigt auf MAC am Port

Wenn irgendein Glied fehlt (Interface down, ARP flapped, VLAN falsch, connected Netz nicht aktiv), bricht die Rekursion. Das Ergebnis ist häufig ein „silent drop“: Pakete verlassen das Gerät nicht sinnvoll, ohne dass es für Nutzer eine klare Fehlermeldung gibt.

Floating Static Routes: Backup-Routen ohne Überraschungen

Floating Static Routes sind statische Routen mit absichtlich höherer Administrative Distance, sodass sie nur aktiv werden, wenn die primäre Route verschwindet. Das ist ein sinnvolles Failover-Konzept, aber fehleranfällig, wenn die Distances nicht sauber gesetzt sind.

• Typischer Fehler: Backup-Route hat versehentlich eine niedrigere (oder gleiche) Distance und wird sofort aktiv – Traffic läuft dauerhaft über den Backup-Pfad.
• Typischer Fehler: Primärroute bleibt „sichtbar“, obwohl der Pfad kaputt ist; Backup triggert nicht, weil die Primärroute nie aus der Tabelle fällt.
• Best Practice: Primär-/Backup-Mechanik mit Tracking (z. B. IP-SLA/Health Checks) koppeln, damit „Pfad kaputt“ auch wirklich zum Entfernen der Route führt.

Blackholes: Null Routes, Summaries und „verschluckter“ Traffic

Blackholes entstehen nicht nur „aus Versehen“. Null Routes werden oft bewusst eingesetzt, um Aggregation sauber zu machen: Ein Router annonciert ein Summary nach außen und setzt lokal eine Null-Route, damit Traffic zu nicht existierenden Teilnetzen nicht in Endlosschleifen wandert. Das ist grundsätzlich sinnvoll. Problematisch wird es, wenn spezifische Routen fehlen oder Filter dafür sorgen, dass nur das Summary übrig bleibt. Dann routet der Router korrekt – aber ins Discard.

Typische Blackhole-Szenarien

• Summary ohne spezifische Unterrouten: /16 wird geroutet, aber /24-Unterzonen fehlen – Traffic zu real existierenden /24 wird verworfen.
• Fehlerhafte Masken: Ein /23 wird gesetzt, obwohl nur /24 existiert; die „falsche Hälfte“ wird blackholed.
• Redistribution/Filter: Dynamische Routen werden gefiltert, übrig bleibt nur das Summary oder die Null-Route.

Wie Sie Blackholes schnell beweisen

• Route Lookup auf ein betroffenes Ziel durchführen: zeigt er auf Null/Discard?
• Traceroute endet häufig „am Router“ ohne weiteren Hop (je nach ICMP-Handling).
• Counter/Logs auf Discard-Interfaces können steigen (plattformabhängig).

Asymmetrische Pfade: Wenn statische Routen stateful Systeme „ärgern“

Asymmetrisches Routing ist einer der häufigsten Gründe, warum „Ping geht, aber die Anwendung nicht“ oder „Verbindungen hängen im SYN“. Besonders Firewalls und NAT sind stateful: Sie erwarten, dass Hin- und Rückweg durch dasselbe Gerät laufen (oder dass State synchronisiert wird). Eine statische Route kann schnell einen Pfad ändern, ohne dass die Gegenrichtung angepasst wurde.

• Symptom: TCP-Verbindungen werden aufgebaut (SYN geht raus), aber Antworten kommen nicht an oder werden gedroppt („out of state“).
• Ursache: Hinweg über Firewall A, Rückweg über Firewall B oder über einen Router ohne State.
• Fix: Rückrouten ergänzen, Policy Based Routing vermeiden (oder symmetrisch gestalten), HA/State-Sync prüfen.

Praktische Prüfpunkte: Was Sie neben der Route selbst ansehen sollten

Static Routes scheitern selten isoliert. Prüfen Sie neben der Route immer die angrenzenden Mechanismen:

• Interface-Zustand: up/up, keine massiven Drops/Errors.
• ARP/Neighbor: Next-Hop MAC stabil, kein Flapping.
• VLAN/Trunks: Bei SVIs: VLAN aktiv, Trunks erlauben VLAN, keine Loops.
• ACL/Firewall: Statische Route kann korrekt sein, aber ACL blockt (selektive Ports).
• DNS als Ablenkung: Namenauflösung kann Probleme verdecken; testen Sie mit IP und Port.

Typische Praxisfälle und schnelle Diagnose

Fall: Neues Subnetz ist „nicht erreichbar“, obwohl statische Route gesetzt wurde

• Wahrscheinlich: Next-Hop falsch oder nicht erreichbar; VLAN/Interface down; Route verdrängt durch spezifischere Route.
• Beweis: Route Lookup zeigt falschen Next-Hop oder Null-Route; ARP fehlt; Interface down.
• Fix: Next-Hop korrigieren, Interface/VLAN aktivieren, Route spezifischer machen oder Altlast entfernen.

Fall: Nur ein Teil eines Summary-Netzes funktioniert

• Wahrscheinlich: falsche Netzmaske oder Blackhole durch Null-Route; Unterrouten fehlen.
• Beweis: Lookup auf funktionierendes /24 zeigt korrekten Pfad, Lookup auf defektes /24 zeigt Discard oder anderen Next-Hop.
• Fix: Summary korrekt dimensionieren, spezifische Routen sicherstellen, Null-Route bewusst einsetzen.

Fall: Nach Provider-Failover geht „nichts raus“, aber Routen sehen normal aus

• Wahrscheinlich: Floating Static ohne Tracking; Primärroute bleibt aktiv, obwohl Next-Hop nicht erreichbar; Rekursion bricht indirekt.
• Beweis: Next-Hop nicht erreichbar, aber Route bleibt in Tabelle; keine Rückpakete.
• Fix: Tracking/Health Checks, Floating Distance korrekt, Rekursion stabilisieren.

Fall: VPN funktioniert nur in eine Richtung

• Wahrscheinlich: Rückroute fehlt oder wird durch Default Route falsch geroutet; Asymmetrie mit Firewall/NAT.
• Beweis: Lookup vom Ziel zurück zur Quelle zeigt keine spezifische Route oder falschen Next-Hop.
• Fix: Rückroute ergänzen, Policy konsistent, ggf. Route-Based VPN sauber in Routing integrieren.

Outbound-Links zur Vertiefung

• RFC 1812: Anforderungen an IPv4-Router (Forwarding, Routing-Verhalten)
• RFC 791: IPv4-Grundlagen
• ip-route(8): Route Lookup, Rekursion und Policy Routing unter Linux
• Cisco-Dokumentation zu statischen Routen (Grundlagen und Praxis)

Checkliste: Static Routes Troubleshooting bei Next-Hop, Rekursion und Blackholes

• Problem definieren: Quelle/Ziel/Port/Zeitpunkt – selektiv oder komplett?
• Route Lookup: Welche Route gewinnt (Longest Prefix Match)?
• Next-Hop prüfen: erreichbar? ARP/Neighbor vorhanden? Interface/SVI up?
• Rekursion prüfen: Welche Route führt zum Next-Hop? Kein zirkulärer Pfad?
• Administrative Distance prüfen: gewinnt die richtige Route? Floating Static korrekt?
• Blackholes prüfen: Null/Discard-Routen, Summaries und fehlende spezifische Unterrouten.
• Rückweg prüfen: Route zurück vorhanden? Asymmetrie mit stateful Geräten vermeiden.
• Umliegende Themen prüfen: VLAN/Trunk, ACL/Firewall, NAT/Proxy, MTU/PMTUD bei „nur große Pakete“.
• Fix minimal umsetzen: eine Variable ändern, danach identisch testen (Vorher/Nachher).
• Dokumentieren und aufräumen: Altlasten entfernen, Tracking/Standards etablieren, um Wiederholungen zu vermeiden.

Cisco Netzwerkdesign, CCNA Support & Packet Tracer Projekte

Cisco Networking • CCNA • Packet Tracer • Network Configuration

Ich biete professionelle Unterstützung im Bereich Cisco Computer Networking, einschließlich CCNA-relevanter Konfigurationen, Netzwerkdesign und komplexer Packet-Tracer-Projekte. Die Lösungen werden praxisnah, strukturiert und nach aktuellen Netzwerkstandards umgesetzt.

Diese Dienstleistung eignet sich für Unternehmen, IT-Teams, Studierende sowie angehende CCNA-Kandidaten, die fundierte Netzwerkstrukturen planen oder bestehende Infrastrukturen optimieren möchten. Finden Sie mich auf Fiverr.

Leistungsumfang:

• Netzwerkdesign & Topologie-Planung

• Router- & Switch-Konfiguration (Cisco IOS)

• VLAN, Inter-VLAN Routing

• OSPF, RIP, EIGRP (Grundlagen & Implementierung)

• NAT, ACL, DHCP, DNS-Konfiguration

• Troubleshooting & Netzwerkoptimierung

• Packet Tracer Projektentwicklung & Dokumentation

• CCNA Lern- & Praxisunterstützung

Lieferumfang:

• Konfigurationsdateien

• Packet-Tracer-Dateien (.pkt)

• Netzwerkdokumentation

• Schritt-für-Schritt-Erklärungen (auf Wunsch)

Arbeitsweise:Strukturiert • Praxisorientiert • Zuverlässig • Technisch fundiert

CTA:
Benötigen Sie professionelle Unterstützung im Cisco Networking oder für ein CCNA-Projekt?
Kontaktieren Sie mich gerne für eine Projektanfrage oder ein unverbindliches Gespräch. Finden Sie mich auf Fiverr.