Zwei VPN-Verbindungen zwischen zwei Routern

[Koppelfeld]

[hat nix mit meinem vorangegangenen Post zu tun]
Bis jetzt lief problemlos folgendes:
- Zwei VPNs zwichen zwei Routern, die VPNs jeweils mit verschiedenen Carriern
- Am Standort B zwei lokale Netzwerke, Zuordnung Netzwerk A - Carrier 1, Netzwerk B - Carrier 2
- Am Standort A ein lokales Netzwerk.
- Entsprechend angepaßte Routing-Tabelle.

Lief jahrelang genau so, bis wir am Wochenende am Standort A (fast) allen Traffic auf einen Provider konsolidierten. Von Standort A gehen also, von ein- und dergleichen öffentlichen IP, ESP-Pakete zum Router B, und zwar für ZWEI VPNs.
An der bestehenden Konfig habe ich nichts geändert, außer natürlich für eine der Strecken den Provider.
Und jetzt das Irre: Einen Tag lang läuft es rund.
Am nächsten Tag kann ich nur noch von Standort A aufbauen,
am übernächsten Tag mißlingt auch das.

Router B weist im Log aus, daß er ESP von Router A rejected hat.

Was kann ich tun ?

Es wäre möglich, die zweite Verbindung über eine unterschiedliche öffentliche IP zu fahren.
Was kann ich tun,
- daß der Router auf einer 2. IP im Range lauscht und
- beim zweiten VPN über diese 'rausgeschickt wird ?

[Koppelfeld]

Es wäre möglich, die zweite Verbindung über eine unterschiedliche öffentliche IP zu fahren.
Was kann ich tun,
- daß der Router auf einer 2. IP im Range lauscht und
- beim zweiten VPN über diese 'rausgeschickt wird ?

Punkt 1: "Das war ja einfach. Unter IPv4 'Loopbackadresse' spezifizieren.
Geht sogar mit Routing-Tag. Und sofort "hört" der Router auf eine zweite Adresse im öffentlichen Range.

Dummerweise kann ich die definierte Adresse aber nicht in der Routig-Tabelle als Zielpunkt hinterlegen, im Sinne von "Nimm' diese Adresse als Quelladresse".
Hat jemand einen Tip ?

[Bernie137]

Deine Fragestellung ist nach dem Prinzip: "Günz kauf sich zwei Schrauben, wieviele hat er aber insgesamt?"

-Geht es um Lancom Router?
- dynamisches VPN?
- Zertifikate im Spiel?
- über welche WAN-Verbindungen wird das VPN terminiert?
- welche Seite baut den Ruf auf, oder sind beide Seiten gleichberechtigt und danach klingt es (schlecht)?

bis wir am Wochenende am Standort A (fast) allen Traffic auf einen Provider konsolidierten. Von Standort A gehen also, von ein- und dergleichen öffentlichen IP

Also richtiger formuliert auf eine WAN-Verbindung? Und wie ist es nun am Standort B?

Was kann ich tun ?

Gib Dir mal bissel Mühe und mache konkrete Angaben.

Gruß Bernie

[Koppelfeld]

Was kann ich tun ?

Gib Dir mal bissel Mühe und mache konkrete Angaben.

Sorry, ich verfolge diese Angelegenheit seit 12 Stunden, bei bombigen Frühlingswetter. Nur am Wochenende kann ich testen.

Also:
Zwei Lancom, 9100+ und 1781VA-4G.
Zwei VPNs, Main Mode, PSK.
Jeder VPN - Endpunkt wird auf einen unterschiedlichen Provider geroutet. Soweit kein Problem.
Nun aber sollen an einem der Standorte beide VPNs von einem einzigen Account bedient werden.
D.h., der umgestellte Router bekommt von ein- und dergleichen Gegenstelle von der gleichen öffentlichen IP Requests für den Aufbau einer VPN - Verbindung. Das mag der nicht.
Er weist das Paket manchmal zurück, manchmal steht im Status "Anliegende".
Stelle ich den alten Zustand wieder her, funktioniert ein Verbindungsaufbau erst wieder nach Restart.
Ach ja, 9.10 RU 6

[Bernie137]

Moin,

im Prinzip habe ich so ein Konstrukt am Laufen. Der Unterschied bei mir:
- drei VPNs
- Main Mode mit Zertifikaten
- andere Geräte 1781EF+ mit 9.10RU6
- maskierte Tunnel (Load-Balancer)
- falls es wichtig ist: alles IPv4

Lass doch mal nur von der Seite mit einer öffentlichen IP die Rufe zu den zwei unterschiedlichen IPs aufbauen. D.h. auf der Seite mit den zwei WAN-Verbindungen steht im VPN-Ziel 0.0.0.0 und auf der Gegenseite dann dyn. VPN z.B. UDP. Zurückstellen kannst Du doch jederzeit, wenn es nichts bringt. Was mir noch einfällt: Auf der Seite, wo es nun eine WAN-Verbindung geworden ist. Hast Du das Routing Tag in der VPN-Verbindungsliste mit angeglichen?

Bei mir ruft es dauerhaft sogar anders herum an (diverse Gründe): Die Seite mit den 3 versch. WAN-Verbindungen baut zur Seite mit der einen öffentlichen IP auf und das läuft ohne Probleme.

Gruß Bernie

[Koppelfeld]

Lass doch mal nur von der Seite mit einer öffentlichen IP die Rufe zu den zwei unterschiedlichen IPs aufbauen. D.h. auf der Seite mit den zwei WAN-Verbindungen steht im VPN-Ziel 0.0.0.0 und auf der Gegenseite dann dyn. VPN z.B. UDP. Zurückstellen kannst Du doch jederzeit, wenn es nichts bringt.

Probiere ich gern aus, aber jetzt ist erstmal wieder eine Woche "Produktion" angesagt - ich traue mich nicht, im laufenden Betrieb herumzufummeln. Gestern zum Beispiel habe ich für das "zweite" VPN auf der Haupstelle kurz die Regelerzeugung auf "aus" gestellt - und prompt wurde das andere VPN, über das ich im Router war, für etwa 6 Minuten getrennt.
Irgendwo ist da noch ein Wurm drin - wohl auch der "historischen" Entwicklung geschuldet, erst Router, dann firewall, dann QoS, dann ARF ...

Was mir noch einfällt: Auf der Seite, wo es nun eine WAN-Verbindung geworden ist. Hast Du das Routing Tag in der VPN-Verbindungsliste mit angeglichen?

Klar. Die öffentlichen IPs erreichen sich ja auch ohne Probleme gegenseitig.