Inhalt in Kürze
- Routing ist die Weiterleitungs-Entscheidung, die jeder Router pro Paket anhand der Routing-Tabelle trifft — der längste passende IP-Präfix gewinnt.
- Statisches Routing ist einfach und robust für kleine Netze, dynamisches Routing (OSPF, BGP, EIGRP) skaliert ab mehreren Standorten und Providern.
- OSPF regelt das Routing innerhalb Ihres Netzes, BGP das Routing zwischen Netzen — beide können im Mittelstand relevant sein, sobald mehrere WAN-Anbindungen ins Spiel kommen.
- Troubleshooting beginnt fast immer mit
traceroute,mtrundshow ip route— und endet erstaunlich oft bei einer fehlenden Return-Route auf der Gegenseite. - Sicherheit: Routing-Protokolle authentifizieren, Updates filtern, Routing-Tabellen auditieren. BGP-Hijacking und falsche statische Routen sind reale Angriffsvektoren.
Wenn Datenpakete im Netzwerk verloren gehen, liegt der Fehler selten im Kabel und fast immer im Routing. Für IT-Entscheider im Mittelstand ist Routing deshalb kein rein technisches Detail — es entscheidet, ob Ihre Filiale, Ihr Rechenzentrum und Ihr Microsoft-365-Zugang sauber zusammenspielen. Dieser Artikel erklärt Routing praxisnah: welche Protokolle wann sinnvoll sind, wie Sie eine Routing-Tabelle lesen und woran Sie typische Fehler in wenigen Minuten erkennen.
Was ist Routing?
Routing ist der Prozess, mit dem Netzwerkgeräte Datenpakete anhand ihrer Ziel-IP-Adresse von der Quelle zum Ziel weiterleiten — Hop für Hop, basierend auf einer Routing-Tabelle. Jeder Router entscheidet lokal, über welche Schnittstelle das Paket den nächsten Schritt nimmt. Die komplette Route kennt kein einzelner Router — sie entsteht durch die Summe der Einzelentscheidungen.
Zur Erinnerung: Switching arbeitet auf Layer 2 (MAC-Adressen, innerhalb eines Segments), Routing auf Layer 3 (IP-Adressen, zwischen Segmenten). Wer die TCP/IP-Protokollfamilie und ihre Bedeutung für IT-Entscheider kennt, weiß: Routing ist der Kern von IP — ohne Routing gäbe es kein Internet.
Ein praktischer Blick hilft: Wenn Ihr Laptop im Büro eine Datei an einen Server in Frankfurt sendet, durchläuft das Paket typischerweise 8 bis 15 Hops — Office-Switch, Core-Switch, Firewall, Edge-Router, Carrier-Backbone, Rechenzentrums-Router, Server. An jedem dieser Knoten findet eine Routing-Entscheidung statt. Das Ganze dauert bei einem gut ausgelegten Netz weniger als 30 Millisekunden.
Router sind nicht „dumm durchgereicht" — jeder Router kennt nur seine unmittelbaren Nachbarn und die passenden Routen in seiner Tabelle. Das ist kein Bug, sondern das Designprinzip des Internets: Fällt ein Knoten aus, suchen die verbliebenen Router automatisch eine neue Route.
Statisches vs. dynamisches Routing
Die erste Grundsatzentscheidung bei jedem Netzdesign lautet: Tragen wir Routen manuell ein — oder lassen wir sie automatisch aushandeln?
| Kriterium | Statisches Routing | Dynamisches Routing |
|---|---|---|
| Konfiguration | Manuell pro Route | Einmalig Protokoll, dann automatisch |
| Reaktion auf Ausfall | Keine (Paket fällt) | Konvergenz in Sek./Min. |
| Ressourcen-Bedarf | Minimal (CPU/RAM) | Mittel bis hoch |
| Komplexität | Niedrig | Höher, braucht Know-how |
| Ideal für | 1–2 Standorte, feste Tunnel | 3+ Standorte, Redundanz |
| Fehleranfälligkeit | Hoch bei vielen Änderungen | Gering im Betrieb |
| Typische Protokolle | — | RIP, OSPF, EIGRP, BGP, IS-IS |
Statisches Routing funktioniert hervorragend, wenn die Topologie stabil ist. Wir sehen das bei Hamburger Kanzleien oder Steuerberatern mit Hauptbüro und zwei Zweigstellen — ein IPsec-Tunnel pro Standort, eine Default-Route ins Internet, fertig. Wenn sich nichts ändert, gibt es auch nichts auszuhandeln.
Dynamisches Routing zahlt sich aus, sobald mehrere Pfade zum selben Ziel existieren. Ein Handelsunternehmen mit 6 Filialen, redundanten Glasfaser-Anschlüssen und einer Cloud-Anbindung nach Azure braucht keine manuelle Umkonfiguration, wenn eine Leitung ausfällt — OSPF erkennt den Ausfall und leitet den Verkehr in Sekunden über den Backup-Pfad um.
Die wichtigsten Routing-Protokolle
Nicht jedes Protokoll ist für jedes Szenario gemacht. Der Klassiker im Mittelstand ist OSPF, der Schwergewichtler im Internet ist BGP. Hier die wichtigsten im Vergleich:
| Protokoll | Typ | Algorithmus | Einsatzgebiet | Konvergenz | Skalierung |
|---|---|---|---|---|---|
| RIP | IGP, Distance Vector | Hop-Count (max. 15) | Historisch, kleine Netze | 3–5 Min | Sehr begrenzt |
| OSPF | IGP, Link State | Dijkstra (SPF) | Unternehmensnetze, Rechenzentren | Sek. | Sehr gut (mit Areas) |
| EIGRP | IGP, Advanced DV | DUAL | Cisco-geprägte Netze | Sek. | Gut |
| IS-IS | IGP, Link State | SPF | ISP-Backbones, Carrier | Sek. | Exzellent |
| BGP | EGP, Path Vector | Best-Path-Algorithmus | Internet-Routing, Multi-Homing | 30 Sek–Min. | Exzellent |
OSPF ist der Quasi-Standard für Unternehmensnetze. Der Algorithmus stammt aus der RFC 2328 und basiert auf dem Shortest-Path-First-Ansatz von Edsger Dijkstra: Jeder Router baut eine vollständige Karte des Netzes und berechnet darauf den kürzesten Pfad zu jedem Ziel. OSPF lässt sich in Areas aufteilen, um große Netze beherrschbar zu halten.
BGP ist das Routing-Protokoll des Internets. Laut BSI-Empfehlungen zum Routing-Schutz wird BGP weltweit zwischen rund 75.000 autonomen Systemen genutzt. Für den Mittelstand wird BGP relevant, sobald zwei Internet-Provider gleichzeitig angebunden sind (Multi-Homing) oder wenn eigene IP-Blöcke verwaltet werden.
EIGRP ist Ciscos Eigenentwicklung — lange proprietär, inzwischen offen (RFC 7868). Wer ein reines Cisco-Netz betreibt, profitiert von der schnelleren Konvergenz gegenüber OSPF. In gemischten Umgebungen ist OSPF die herstellerneutrale Wahl.
Wir sehen in unserer Hamburger Kundenbasis eine klare Zweiteilung: Unternehmen bis 50 Arbeitsplätze fahren fast immer mit statischem Routing über ihre Firewall. Sobald SD-WAN oder mehrere Provider ins Spiel kommen, wird OSPF zum Standard. BGP brauchen im Mittelstand wirklich nur die, die eigene IP-Blöcke haben.
Jens HagelGeschäftsführer, hagel IT-Services GmbH
Routing-Tabelle lesen
Die Routing-Tabelle ist das Gedächtnis jedes Routers — und oft der schnellste Weg zur Fehleranalyse. Ein typischer Eintrag besteht aus fünf Feldern:
| Feld | Beispielwert | Bedeutung |
|---|---|---|
| Zielnetz | 10.20.0.0/16 | Welches IP-Netz wird beschrieben |
| Next Hop | 192.168.1.1 | Über welches Gateway es weitergeht |
| Interface | GigabitEthernet0/1 | Über welche Schnittstelle gesendet wird |
| Metrik | 110 | Kosten — niedriger = besser |
| Quelle | OSPF / static / connected | Wer den Eintrag gesetzt hat |
Der entscheidende Mechanismus heißt Longest Prefix Match: Wenn für ein Ziel mehrere Routen passen, gewinnt die mit dem längsten Präfix. Eine Route 10.20.5.0/24 gewinnt gegen 10.20.0.0/16, weil sie spezifischer ist. Das klingt theoretisch, hat aber massiven Praxis-Einfluss — wer unbedacht eine /16-Route setzt, überschreibt unter Umständen spezifische /24-Routen ins Rechenzentrum.
Auf Cisco-Routern lautet der Befehl show ip route, auf FortiGate get router info routing-table all, auf Linux ip route oder ip -6 route. Auf Windows zeigt route print die Tabelle, auf macOS netstat -rn. Microsoft dokumentiert die Windows-Variante in Microsoft Learn.
Ein Beispielauszug aus einer Linux-Routing-Tabelle:
default via 192.168.1.1 dev eth0
10.0.0.0/8 via 10.0.0.1 dev tun0
10.0.0.0/16 via 10.0.0.1 dev tun0 metric 50
192.168.1.0/24 dev eth0 proto kernel scope linkLesen Sie das so: Alles, was nicht in die drei spezifischen Netze passt, geht über 192.168.1.1 (die Default-Route). Pakete nach 10.0.0.0/8 nehmen den VPN-Tunnel tun0. Der zweite Eintrag mit /16 überschreibt diesen Pfad für alles aus dem ersten /16-Block — Longest Prefix Match in Aktion.
VPN-Routing und Site-to-Site
Sobald zwei Standorte über einen VPN-Tunnel verbunden werden, taucht ein Thema auf, das in 30 % unserer Netzwerk-Projekte für Kopfzerbrechen sorgt: Return Routing. Der Tunnel steht, die eine Seite pingt die andere — aber nicht umgekehrt. Der Grund ist fast immer derselbe: Eine Seite kennt die Route über den Tunnel, die andere nicht.
Bei Site-to-Site-VPN gibt es zwei Varianten:
- Policy-Based VPN: Die Firewall routet Pakete anhand von Firewall-Regeln durch den Tunnel. Einfach, aber unflexibel bei dynamischem Routing.
- Route-Based VPN: Der Tunnel wird zu einer Schnittstelle im System, und normale Routing-Regeln greifen. Ideal, wenn OSPF oder BGP über den Tunnel laufen sollen.
Für Unternehmensnetze empfehlen wir fast immer Route-Based VPN. Es erlaubt saubere Routing-Tabellen, einfaches Troubleshooting und die Integration in dynamische Routing-Protokolle. Wer mehrere Standorte zentral anbinden will, sollte sich darüber hinaus unseren Service Netzwerk & WLAN Hamburg und die Managed Firewall ansehen.
Ein Hamburger Logistiker hatte nach einer Carrier-Migration plötzlich drei seiner sieben Filialen nicht mehr erreichbar. Der Tunnel stand laut Monitoring — aber keine Daten flossen. Die Ursache: Der neue Carrier hatte das Transit-Netz gewechselt, die Firewall kannte die alten Return-Routen noch. Fix: Zwei neue statische Einträge auf beiden Seiten, Problem gelöst in unter 20 Minuten. Vorher: 4 Stunden Rätselraten beim Kunden.
Routing-Troubleshooting — die Tool-Kette
Wenn eine Verbindung zickt, starten wir in dieser Reihenfolge. Die Reihenfolge ist wichtig, weil jeder Schritt Informationen liefert, die der nächste braucht.
- Schritt 1 — `ping`: Grundlegende Erreichbarkeit prüfen. Wenn der Default-Gateway nicht antwortet, stimmt etwas mit dem lokalen Segment nicht.
- Schritt 2 — `traceroute` / `tracert`: Zeigt den Pfad. Wo hört die Route auf? Der erste * * * ist der Router, der das Paket verwirft oder nicht weiterleitet.
- Schritt 3 — `mtr`: Kombination aus ping + traceroute mit Paketverlust pro Hop. Ideal, um sporadische Probleme zu finden, die mit normalem traceroute unsichtbar bleiben.
- Schritt 4 — `show ip route` auf dem Router: Steht die erwartete Route überhaupt in der Tabelle? Oft ist die Route weg, weil eine Schnittstelle down ist.
- Schritt 5 — Protokoll-Zustand prüfen: `show ip ospf neighbor` oder `show ip bgp summary` — sind die Nachbar-Beziehungen up? Ein Nachbar im Zustand „INIT" statt „FULL" ist ein Klassiker.
- Schritt 6 — MTU-Check: Bei VPN-Tunneln oft übersehen. `ping -f -l 1472` (Windows) testet, ob Pakete ohne Fragmentierung durchkommen. Wenn nicht: MTU auf der Tunnel-Schnittstelle senken.
Unsere IT läuft seit der Übernahme durch hagel IT so zuverlässig, dass wir uns endlich auf unser Geschäft konzentrieren können. Wenn doch mal etwas ist — meistens ein Routing-Thema zwischen unseren Standorten — ruft Jens' Team zurück, bevor wir selbst merken, dass es ein Problem gab.
Business-Anwendung: Multi-Standort und SD-WAN
Für ein Unternehmen mit 1 Standort ist Routing selten das Bottleneck. Spannend wird es bei mehreren Standorten, externen Dienstleistern und Cloud-Anbindung. Hier kommen drei typische Architekturmuster, die wir bei Kunden in Hamburg und Norddeutschland immer wieder sehen:
- Hub-and-Spoke: Alle Filialen hängen an einer Zentrale. Einfach, aber die Zentrale ist Single Point of Failure und Bottleneck. Funktioniert bis ~10 Standorte und bei moderatem Datenvolumen.
- Full Mesh: Jeder Standort ist mit jedem verbunden. Ausfallsicher, aber administrativ aufwendig (n×(n−1)/2 Tunnel) — bei 10 Standorten sind das 45 Tunnel.
- SD-WAN: Overlay-Netzwerk mit intelligentem Traffic-Routing. Die SD-WAN-Appliance entscheidet pro Anwendung, welche Leitung (MPLS, Breitband, LTE) genommen wird. Moderner Standard ab 5+ Standorten.
SD-WAN ist in den letzten drei Jahren zum Mittelstands-Thema geworden. Laut heise online berichten Anbieter von zweistelligen Wachstumsraten — getrieben durch Homeoffice, Cloud-Migration und die Ablösung klassischer MPLS-Verträge. Die Kernfunktion ist Application-Aware-Routing: Microsoft Teams geht über die beste verfügbare Leitung, File-Sync nimmt die günstigste, Backup-Replikation läuft auf der Leitung mit den niedrigsten Kosten.
Für IT-Entscheider in Hamburg und Umgebung beraten wir typischerweise zu drei Fragen: Welche Standorte brauchen welche Redundanz? Ist eine Migration von MPLS auf SD-WAN wirtschaftlich sinnvoll? Und wie bindet man Microsoft 365 und Azure sauber ein? Mehr Kontext dazu liefert unser IT-Systemhaus Hamburg und unser Standort Hamburg.
Häufige Routing-Fehler — unsere Top 7
Aus ungefähr 400 Netzwerk-Projekten in den letzten 20 Jahren sind das die Klassiker, die uns immer wieder begegnen:
- Fehlende Return-Route. Eine Seite weiß, wie's hin geht, die andere nicht, wie's zurück geht. Klassisch bei Site-to-Site-VPN nach Provider-Wechsel.
- Überlappende private Netze. Zwei Standorte benutzen beide 192.168.1.0/24. Nach VPN-Tunnel-Aufbau weiß der Router nicht, wohin. Lösung: Eines der Netze umnummern.
- Routing-Schleifen. Zwei Router schicken sich gegenseitig Pakete, TTL läuft ab. Bei statischem Routing passiert das, wenn beide eine Default-Route aufeinander haben.
- Falsche Metrik-Hierarchie. Der Backup-Weg hat plötzlich die bessere Metrik — im Fehlerfall rutscht der gesamte Traffic aufs Backup. Monitoring hilft, das zu sehen.
- MTU-Probleme im Tunnel. Große Pakete (über 1400 Byte) kommen nicht durch, kleine schon. Ping funktioniert, File-Transfer hängt. PMTUD-Blockade durch falsch konfigurierte Firewall.
- Asymmetrisches Routing. Hinweg und Rückweg nehmen verschiedene Pfade. Stateful Firewalls verwerfen die Rückantwort, weil sie die Verbindung nicht kennen.
- Vergessene statische Routen nach Umbau. Altlasten aus einem 3 Jahre alten Umzug, die heute ins Leere zeigen. Regelmäßiges Routing-Tabellen-Audit spart Stunden.
Checkliste für sauberes Routing im Unternehmen
- Dokumentation aktuell? Netz-Diagramm, IP-Adressplan, Routing-Konzept — nicht älter als 6 Monate.
- Routing-Protokolle authentifiziert? OSPF-Nachbarschaften mit SHA/MD5, BGP-Sessions mit TCP-MD5 oder MD5-Authentifizierung absichern.
- Redundanz geplant? Für kritische Verbindungen mindestens zwei Pfade, Ausfall regelmäßig testen (nicht nur im Monitoring glauben).
- Monitoring auf Routing-Protokolle? Nachbar-Status, Anzahl empfangener Routen, Konvergenzzeiten tracken.
- Regelmäßige Audits? Mindestens jährlich: Welche Routen stehen drin, wo kommen sie her, sind sie noch sinnvoll?
- Change-Prozess? Routing-Änderungen nicht ad-hoc auf Produktivsystemen — Lab-Test, Change-Window, Rollback-Plan.
- Backup der Konfiguration? Tägliche Sicherung aller Routing-fähigen Geräte. Ohne Backup dauert ein Hardware-Austausch nicht 30 Minuten, sondern einen ganzen Tag.
Was Sie heute tun können
Drei konkrete Schritte, die Sie in der kommenden Woche anstoßen können — unabhängig davon, ob Sie selbst technisch sind oder die IT beauftragen:
- Schritt 1 — Topologie auf Papier: Lassen Sie sich von Ihrer IT das aktuelle Netzdiagramm mit allen Standorten, Uplinks und Routing-Protokollen zeigen. Gibt es keines? Das ist das Problem Nummer eins.
- Schritt 2 — Ausfall-Test: Simulieren Sie in einem Change-Fenster den Ausfall einer Leitung. Funktioniert die Umleitung in der dokumentierten Zeit? Oder merkt es niemand, weil die Nutzer auf einem anderen Weg trotzdem rauskommen?
- Schritt 3 — Routing-Audit beauftragen: Ein externer Blick auf die Routing-Tabellen, die Tunnel-Konfiguration und die Protokoll-Authentifizierung kostet 1–2 Tage und verhindert oft wochenlange Ausfall-Diskussionen.
Fazit
Routing ist die Grammatik Ihres Netzwerks. Switching ist wichtig, Firewalling ist Pflicht — aber ohne sauberes Routing kommunizieren Ihre Systeme nicht sinnvoll miteinander. Für kleine Umgebungen reicht statisches Routing auf der Firewall, ab 3+ Standorten lohnt OSPF, bei mehreren Internet-Providern wird BGP relevant. Wer die Routing-Tabelle lesen kann, findet 80 % aller Netzwerk-Probleme in unter 15 Minuten.
Der Rest ist Disziplin: Dokumentation, Monitoring, regelmäßige Audits. Und wenn es doch mal hakt — meistens ist es die fehlende Return-Route.
Weiter lesen zu verwandten Themen: Die wichtigsten Router-Funktionen · Netzwerk & WLAN Hamburg · Managed Firewall.
Routing-Probleme zwischen Standorten?
15 Minuten Erstgespräch mit Jens Hagel — wir schauen gemeinsam auf Ihr Netz und sagen Ihnen, ob Sie ein Konfigurations- oder ein Design-Problem haben. Kostenlos, ohne Vertriebsdruck.
Erstgespräch buchen →
