Hallo!
Wir nutzen für unsere VPN Vernetzung Lancom Geräte und mir stellt sich nun folgende Frage. Wir haben mehrere Standorte, die an die Zentrale angebunden sind, ich möchte beispielhaft die Konfiguration der Zentrale mit einer Außenstelle durchgehen. Zur Zeit ist die VPN Verbindung so eingerichtet, dass die Außenstellen die Verbindung aufbauen, dies könnte aber mittels dyndns auch wieder geändert werden. In der Zentrale liegen fest IP-Adressen vor. Bislang ist die Redundanz des Tunnels so eingerichtet, dass auf beiden Seiten beide WAN Verbindungen mit Routing Tag in der Routing Tabelle eingerichtet sind, in der Zentrale zu einem Loadbalancer mit Tag 0. Die Außenstelle probiert dann bei Abbruch der VPN-Verbindung über weitere entfernde Gateways sowohl die andere Leitung der Zentrale aus als auch über das Routing Tag die eigene Zweit Verbindung durch (also erst beide externen IP-Adressen der Zentrale mit Tag 0, danach beide mit Tag 1, so dass alle Kombination ausprobiert sind)
Leider sind die WAN Verbindungen bei uns immer wieder abbruchsgefährdet, und das durchprobieren führt natürlich immer wieder zu länger dauernden VPN Abbrüchen. Meine Frage ist nun, kann ich es so einrichten, dass es quasi zwei Tunnel für das eine Ziel gibt und so bei Abbruch einer WAN Verbindung nicht auch der VPN Tunnel zusammenbricht, sondern die Daten dann sofort über den andern Tunnel versendet werden?
Also Netz A ist mit Netz B über WAN-A1 und WAN-B1, sowie über WAN-A2 und WAN-B2 verbunden (gerne auch dass im Normalbetrieb die Last geteilt). Bricht nun WAN-A1 zusammen sollte ohne merkbaren Abbruch für den Nutzer alles über WAN-A2 - WAN-B2 übertragen werden
Ist das möglich, und falls ja, wie richte ich das ein??
Vielen Dank im Voraus
eisfieber123
Ein VPN-Tunnel über mehrere WAN Verbindungen
Moderator: Lancom-Systems Moderatoren
-
eisfieber123
- Beiträge: 14
- Registriert: 15 Feb 2013, 11:52
Hi eisfieber123
schau mal hier rein: http://www.lancom-forum.de/topic,12206, ... telle.html
Da geht es um Loadbalancer über VPN-Verbindungen...
Gruß
Backslash
schau mal hier rein: http://www.lancom-forum.de/topic,12206, ... telle.html
Da geht es um Loadbalancer über VPN-Verbindungen...
Gruß
Backslash
-
eisfieber123
- Beiträge: 14
- Registriert: 15 Feb 2013, 11:52
Hallo backslash,
vielen Dank für den Link, es hat soweit auch schon funktioniert, ich habe allerdings noch ein paar Fragen:
- Bei der Einrichtung der PPTP Gegenstellen kann auch eine Verschlüsselung eingestellt werden, ich nehme an das ist hier nicht notwendig, da der Traffic ja über den VPN Tunnel verschlüsselt wird richtig?
- Als Routing Tag habe ich bei allen PPTP Gegenstellen 0 genommen, oder muss hier (zB WAN1 = Tag 0, WAN2 = Tag 1) entsprechend das Routing Tag der zu benutzenden Leitung eingetragen werden?
- Wir haben eine Deny-all Strategie, der Verkehr wird bei dieser VPN Einrichtung davon geblockt, erst als ich die Deny-all Regel ausgestellt habe funktionierte es, wie muss die zusätzliche Regel aussehen, die genau den VPN-Verkehr zulässt?
-> Ist das so richtig? (Zentrale Netz 192.168.1.0, Außenstelle B Netz 192.168.2.0) Regel ist aktiv, hält Verbindungszustände nach, Aktion übertragen, Verbindungs-Quelle 192.168.1.0, Verbindungs-Ziel 192.168.2.0, Dienste alle (Als Regel für die Zentrale, und bei der Außenstelle nur Verbindungs-Ziel und -Quelle entsprechtend tauschen?)
-> Des Weiteren sollen über die Zentrale die Außenstellen miteinander kommunizieren (ohne untereinander per VPN verbunden zu sein, VPN Regeln dafür sind erstellt und funktionieren), wie würde ich das zB mit Außenstelle C Netz 192.168.3.0 in o.g. Regel berücksichtigen?
- Muss für jede VPN-Verbindung eine separate Extranet Adresse eingerichtet werden, oder kann ich zB bei sechs Außenstellen die sich je mit zwei VPN Tunneln verbinden in der Zentrale auch mit zwei Extranet Adressen auskommen, also für jede Außenstelle die gleichen Extranet Adressen angeben?
- Dann noch mal eine grundsätzliche Frage. Wie verarbeitet der Lancom Router die Paketanfragen beim Loadbalancing. Er weiß ja die Bandbreiten der Leitungen und entscheidet dann für jeder Paket je nach Auslastung über welche Leitung es gehen soll?
- Und zu guter Letzt: Mal angenommen die zwei zu verbindenden Standorte haben beide zwei WAN-Leitungen (WAN-A1, WAN-A2, WAN-B1, WAN-B2). Wenn ich jetzt in Bezug auf Ausfallsicherheit auf nummer sicher gehen wollte müsste ich ja vier VPN-Verbindungen einrichten. Es könnte ja theoretisch der Fall eintreten dass bei nur zwei VPN-Verbindungen genau eine WAN-Verbindung auf jeder Seite ausfällt und damit auch beide Tunnel. Oder wäre es sinnvoller hier trotzdem nur zwei Tunnel einzurichten, und für jeden einen weiteren entfernten Gateway in der VPN-Liste anzugeben?
Vielen Dank, Grüße
eisfierber123
vielen Dank für den Link, es hat soweit auch schon funktioniert, ich habe allerdings noch ein paar Fragen:
- Bei der Einrichtung der PPTP Gegenstellen kann auch eine Verschlüsselung eingestellt werden, ich nehme an das ist hier nicht notwendig, da der Traffic ja über den VPN Tunnel verschlüsselt wird richtig?
- Als Routing Tag habe ich bei allen PPTP Gegenstellen 0 genommen, oder muss hier (zB WAN1 = Tag 0, WAN2 = Tag 1) entsprechend das Routing Tag der zu benutzenden Leitung eingetragen werden?
- Wir haben eine Deny-all Strategie, der Verkehr wird bei dieser VPN Einrichtung davon geblockt, erst als ich die Deny-all Regel ausgestellt habe funktionierte es, wie muss die zusätzliche Regel aussehen, die genau den VPN-Verkehr zulässt?
-> Ist das so richtig? (Zentrale Netz 192.168.1.0, Außenstelle B Netz 192.168.2.0) Regel ist aktiv, hält Verbindungszustände nach, Aktion übertragen, Verbindungs-Quelle 192.168.1.0, Verbindungs-Ziel 192.168.2.0, Dienste alle (Als Regel für die Zentrale, und bei der Außenstelle nur Verbindungs-Ziel und -Quelle entsprechtend tauschen?)
-> Des Weiteren sollen über die Zentrale die Außenstellen miteinander kommunizieren (ohne untereinander per VPN verbunden zu sein, VPN Regeln dafür sind erstellt und funktionieren), wie würde ich das zB mit Außenstelle C Netz 192.168.3.0 in o.g. Regel berücksichtigen?
- Muss für jede VPN-Verbindung eine separate Extranet Adresse eingerichtet werden, oder kann ich zB bei sechs Außenstellen die sich je mit zwei VPN Tunneln verbinden in der Zentrale auch mit zwei Extranet Adressen auskommen, also für jede Außenstelle die gleichen Extranet Adressen angeben?
- Dann noch mal eine grundsätzliche Frage. Wie verarbeitet der Lancom Router die Paketanfragen beim Loadbalancing. Er weiß ja die Bandbreiten der Leitungen und entscheidet dann für jeder Paket je nach Auslastung über welche Leitung es gehen soll?
- Und zu guter Letzt: Mal angenommen die zwei zu verbindenden Standorte haben beide zwei WAN-Leitungen (WAN-A1, WAN-A2, WAN-B1, WAN-B2). Wenn ich jetzt in Bezug auf Ausfallsicherheit auf nummer sicher gehen wollte müsste ich ja vier VPN-Verbindungen einrichten. Es könnte ja theoretisch der Fall eintreten dass bei nur zwei VPN-Verbindungen genau eine WAN-Verbindung auf jeder Seite ausfällt und damit auch beide Tunnel. Oder wäre es sinnvoller hier trotzdem nur zwei Tunnel einzurichten, und für jeden einen weiteren entfernten Gateway in der VPN-Liste anzugeben?
Vielen Dank, Grüße
eisfierber123
Hi eisfieber123
Bei einer Deny-All Strategie brauchst du natürlich für jeden zu erlaubenden Traffic explizite Regeln - und zwar i.A. in beide Richtungen, d.h. für dein Beispiel:
Das mußt du letztendlich auch für die Netze erstellen, die sich über die PPTP-Tunnel sehen sollen (also 192.168.1.0/24 -> 192.168.3.0/24 und umgekehrt)
Die Filialen hingegen brauchen alle unterschiedliche Extranet-Adressen, weil die Routen dorthin ja in der Zentrale eingetragen werden und dort eindeutig sein müssen.
eigentlich weder ... noch ... Das Problem ist, daß i.A. die Telefonkabel ja gebündelt in der Erde liegen und somit bei einem Ausfall (=> Bagger) gleiche alle Leitungen betroffen sind. Daher lohnt sich der Aufwand kaum...
Falls du es dennoch machen willst, dann solltest du mit den weiteren entfernten Gateway arbeiten (also deine zweite Variante) und zudem in der Aktionstabelle einen Eintrag aufnehmen, der beim Zustandekommen der WAN-Verbindung die jeweils zugeordnete VPN-Verbindung trennt - denn dann wird dafür gesorgt, daß mit Ende des Fehlerfalls die VPN-Verbindungen wieder sauber auf ihren WAN-Verbindungen aufgebaut werden
Gruß
Backslash
richtig... PPTP-Verschlüsselung wäre sogar kontraproduktiv, weil diese - anders als die VPN-Verschlüsselung - nicht über den Hardwarebeschleuniger läuft - der kann halt nur AES, DES und 3DES, aber kein RC4Bei der Einrichtung der PPTP Gegenstellen kann auch eine Verschlüsselung eingestellt werden, ich nehme an das ist hier nicht notwendig, da der Traffic ja über den VPN Tunnel verschlüsselt wird richtig?
Tag 0 ist schon OK- Als Routing Tag habe ich bei allen PPTP Gegenstellen 0 genommen, oder muss hier (zB WAN1 = Tag 0, WAN2 = Tag 1) entsprechend das Routing Tag der zu benutzenden Leitung eingetragen werden?
- Wir haben eine Deny-all Strategie, der Verkehr wird bei dieser VPN Einrichtung davon geblockt, erst als ich die Deny-all Regel ausgestellt habe funktionierte es, wie muss die zusätzliche Regel aussehen, die genau den VPN-Verkehr zulässt?
-> Ist das so richtig? (Zentrale Netz 192.168.1.0, Außenstelle B Netz 192.168.2.0) Regel ist aktiv, hält Verbindungszustände nach, Aktion übertragen, Verbindungs-Quelle 192.168.1.0, Verbindungs-Ziel 192.168.2.0, Dienste alle (Als Regel für die Zentrale, und bei der Außenstelle nur Verbindungs-Ziel und -Quelle entsprechtend tauschen?)
-> Des Weiteren sollen über die Zentrale die Außenstellen miteinander kommunizieren (ohne untereinander per VPN verbunden zu sein, VPN Regeln dafür sind erstellt und funktionieren), wie würde ich das zB mit Außenstelle C Netz 192.168.3.0 in o.g. Regel berücksichtigen?
Bei einer Deny-All Strategie brauchst du natürlich für jeden zu erlaubenden Traffic explizite Regeln - und zwar i.A. in beide Richtungen, d.h. für dein Beispiel:
Code: Alles auswählen
Name: Netz-A -> Netz-B
Aktion: übertragen
Quelle: 192.168.1.0/255.255.255.0
Ziel: 192.168.2.0/255.255.255.0
Dienste: alle Dienste
Name: Netz-B -> Netz-A
Aktion: übertragen
Quelle: 192.168.2.0/255.255.255.0
Ziel: 192.168.1.0/255.255.255.0
Dienste: alle Dienstedu kannst in der Zentrale mit nur einem Satz von Extranet-Adressen arbeiten, weil die Routen zu den diesen Extranet-Adressen ja nur in den Filialen auftauchen und somit immer eindeutig sind.- Muss für jede VPN-Verbindung eine separate Extranet Adresse eingerichtet werden, oder kann ich zB bei sechs Außenstellen die sich je mit zwei VPN Tunneln verbinden in der Zentrale auch mit zwei Extranet Adressen auskommen, also für jede Außenstelle die gleichen Extranet Adressen angeben?
Die Filialen hingegen brauchen alle unterschiedliche Extranet-Adressen, weil die Routen dorthin ja in der Zentrale eingetragen werden und dort eindeutig sein müssen.
Der Loadbalancer arbeitet nicht Paket- sondern Session-basiert, d.h. beim Begin einer IP-Session (also dem TCP-SYN Paket) wird der Kanal mit der geringsten Auslastung ausgewählt. Über diesen Kanal laufen dann alle Pakete der Session.- Dann noch mal eine grundsätzliche Frage. Wie verarbeitet der Lancom Router die Paketanfragen beim Loadbalancing. Er weiß ja die Bandbreiten der Leitungen und entscheidet dann für jeder Paket je nach Auslastung über welche Leitung es gehen soll?
- Und zu guter Letzt: Mal angenommen die zwei zu verbindenden Standorte haben beide zwei WAN-Leitungen (WAN-A1, WAN-A2, WAN-B1, WAN-B2). Wenn ich jetzt in Bezug auf Ausfallsicherheit auf nummer sicher gehen wollte müsste ich ja vier VPN-Verbindungen einrichten. Es könnte ja theoretisch der Fall eintreten dass bei nur zwei VPN-Verbindungen genau eine WAN-Verbindung auf jeder Seite ausfällt und damit auch beide Tunnel. Oder wäre es sinnvoller hier trotzdem nur zwei Tunnel einzurichten, und für jeden einen weiteren entfernten Gateway in der VPN-Liste anzugeben?
eigentlich weder ... noch ... Das Problem ist, daß i.A. die Telefonkabel ja gebündelt in der Erde liegen und somit bei einem Ausfall (=> Bagger) gleiche alle Leitungen betroffen sind. Daher lohnt sich der Aufwand kaum...
Falls du es dennoch machen willst, dann solltest du mit den weiteren entfernten Gateway arbeiten (also deine zweite Variante) und zudem in der Aktionstabelle einen Eintrag aufnehmen, der beim Zustandekommen der WAN-Verbindung die jeweils zugeordnete VPN-Verbindung trennt - denn dann wird dafür gesorgt, daß mit Ende des Fehlerfalls die VPN-Verbindungen wieder sauber auf ihren WAN-Verbindungen aufgebaut werden
Gruß
Backslash
-
eisfieber123
- Beiträge: 14
- Registriert: 15 Feb 2013, 11:52
Hallo backslash!
Vielen dank für deine Antworten. Ich wollte gestern den ersten Test in einer Produktivumgebung machen, leider hat dies aber nicht geklappt. Komischerweise konnten sich die PPTP Tunnel zum Teil nicht aufbauen, nach ein paar Sekunden sind sie wieder abgebrochen mit der Fehlermeldung im LanMonitor, dass der PPP Benutzername / Passwort fehlerhaft seien. Dies ist aber definitiv nicht der Fall. Denn manchmal, nach dem 20. oder 100. Versuch hat der Aufbau endlich geklappt. Im LanMonitor stand dann unter PPTP 20 bzw. 100 Verbindungen. Woran kann das liegen? Aufgebaut wird die Verbindung nur von der Außenstelle mit einer Haltezeit von 9999, während in der Zentrale die Haltezeit 0 ist.
Dann noch eine Verständnisfrage. Zu der Außenstelle besteht ja schon ein normal eingerichteter VPN-Tunnel. Wieso funktioniert der Verkehr hier ohne eine zusätzliche Firewall-Regel, bzw. anders herum, warum muss ich den VPN-Verkehr wenn er nun über den PPTP Tunnel läuft noch einmal extra mit einer Firewall Regel freigeben?
Grüße
Eisfieber123
Vielen dank für deine Antworten. Ich wollte gestern den ersten Test in einer Produktivumgebung machen, leider hat dies aber nicht geklappt. Komischerweise konnten sich die PPTP Tunnel zum Teil nicht aufbauen, nach ein paar Sekunden sind sie wieder abgebrochen mit der Fehlermeldung im LanMonitor, dass der PPP Benutzername / Passwort fehlerhaft seien. Dies ist aber definitiv nicht der Fall. Denn manchmal, nach dem 20. oder 100. Versuch hat der Aufbau endlich geklappt. Im LanMonitor stand dann unter PPTP 20 bzw. 100 Verbindungen. Woran kann das liegen? Aufgebaut wird die Verbindung nur von der Außenstelle mit einer Haltezeit von 9999, während in der Zentrale die Haltezeit 0 ist.
Dann noch eine Verständnisfrage. Zu der Außenstelle besteht ja schon ein normal eingerichteter VPN-Tunnel. Wieso funktioniert der Verkehr hier ohne eine zusätzliche Firewall-Regel, bzw. anders herum, warum muss ich den VPN-Verkehr wenn er nun über den PPTP Tunnel läuft noch einmal extra mit einer Firewall Regel freigeben?
Grüße
Eisfieber123
Hi eisfieber123
bedenke, daß Benutzername der einen Seite dem Gegenstellennamen auf der anderen Seite entspricht.
das klingt danach, daß die PPTP-Verbindung erst als "Default" reinkam und danach ihren Namen geändert hat - in dem Fall "spinnt" die Statistik etwas...
Du trägst am Besten auf beiden Seiten in der PPTP-Tabelle die Extranet-Adresse der Gegenseite ein, dann kommt es auch nicht zum Wechsel des Gegenstellen-Namen - BTW: kann es sein, daß du zwar Username und Paßwort korrekt hast, aber über die "falsche" VPN-Verbidnung gehst...
Gruß
Backslash
Vielen dank für deine Antworten. Ich wollte gestern den ersten Test in einer Produktivumgebung machen, leider hat dies aber nicht geklappt. Komischerweise konnten sich die PPTP Tunnel zum Teil nicht aufbauen, nach ein paar Sekunden sind sie wieder abgebrochen mit der Fehlermeldung im LanMonitor, dass der PPP Benutzername / Passwort fehlerhaft seien. Dies ist aber definitiv nicht der Fall.
bedenke, daß Benutzername der einen Seite dem Gegenstellennamen auf der anderen Seite entspricht.
Denn manchmal, nach dem 20. oder 100. Versuch hat der Aufbau endlich geklappt. Im LanMonitor stand dann unter PPTP 20 bzw. 100 Verbindungen. Woran kann das liegen?
das klingt danach, daß die PPTP-Verbindung erst als "Default" reinkam und danach ihren Namen geändert hat - in dem Fall "spinnt" die Statistik etwas...
Du trägst am Besten auf beiden Seiten in der PPTP-Tabelle die Extranet-Adresse der Gegenseite ein, dann kommt es auch nicht zum Wechsel des Gegenstellen-Namen - BTW: kann es sein, daß du zwar Username und Paßwort korrekt hast, aber über die "falsche" VPN-Verbidnung gehst...
Das ist OK.Aufgebaut wird die Verbindung nur von der Außenstelle mit einer Haltezeit von 9999, während in der Zentrale die Haltezeit 0 ist.
wenn du eine Deny-All-Regel in der Firewall hast, dann mußt du auch für die bestehende VPN-Verbinung Regeln erstellen, die den zulässigen Traffic definieren. Wenn du keine Deny-All-Regel hast, dann brauchst du auch keine weiteren Regeln für erlaubten TrafficDann noch eine Verständnisfrage. Zu der Außenstelle besteht ja schon ein normal eingerichteter VPN-Tunnel. Wieso funktioniert der Verkehr hier ohne eine zusätzliche Firewall-Regel, bzw. anders herum, warum muss ich den VPN-Verkehr wenn er nun über den PPTP Tunnel läuft noch einmal extra mit einer Firewall Regel freigeben?
Gruß
Backslash
-
eisfieber123
- Beiträge: 14
- Registriert: 15 Feb 2013, 11:52
Hallo backslash!
Ich habe jetzt zumindest die Ursache gefunden: Ich habe wie Du in dem alten Post geschrieben hast zur Demaskierung mehrere Einträge in der Routing Tabelle gemacht:
Was heißt denn, dass die PPTP Verbindung erst als Default reinkommt und dann den Namen ändert?
Vielleicht noch folgende grundsätzliche Informationen zur Einrichtung: Ich habe bei allen PPTP Gegenstellen als Routing Tag 0 genommen. Tag 0 ist die Default Route des Loadbalancers der WAN Verbindungen (ich habe also zwei Loadbalancer, einmal die Wanverbindungen mit Tag 0, und dann für die neu eingerichteten PPTP Verbindungen mit Tag 4, Tag 1-3 sind die einzelnen WAN-Verbindungen, dies gilt sowohl für die Außenstelle als auch für die Zentrale) In der Außenstelle habe ich die VPN-Verbindungen mit dem passenden Routing Tag zur Auswahl der WAN-Leitung versehen, in der Zentrale haben alle Tag 0, d.h. die Außenstelle wählt über Tag und Gateway Adresse der Gegenseite die WAN Leitung aus. Der Verbindungsaufbau erfolgt immer von der Außenstelle
Die Deny-ALL Regel ist nur für die Default Route aktiviert, wahrscheinlich hat der VPN-Verkehr deshalb bislang ohne weitere Regel geklappt und müsste dann auch ohne weitere Regel bei der PPTP Verbindung klappen oder?
Vielen Dank
eisfieber123
Ich habe jetzt zumindest die Ursache gefunden: Ich habe wie Du in dem alten Post geschrieben hast zur Demaskierung mehrere Einträge in der Routing Tabelle gemacht:
Wenn ich die PPTP Einträge wieder raus nehme und nur die Loadbalancer Route eingetragen ist, funktioniert es. (Ich habe die PPTP Einträge auf beiden Seiten gemacht). Irgendeine Idee woran das liegen könnte?Zielnetz mit Routing-Tag 2 -> 2. PPTP-Verbindung
Zielnetz mit Routing-Tag 1 -> 1. PPTP-Verbindung
Zielnetz mit Routing-Tag 0 -> Loadbalancer
Was heißt denn, dass die PPTP Verbindung erst als Default reinkommt und dann den Namen ändert?
Vielleicht noch folgende grundsätzliche Informationen zur Einrichtung: Ich habe bei allen PPTP Gegenstellen als Routing Tag 0 genommen. Tag 0 ist die Default Route des Loadbalancers der WAN Verbindungen (ich habe also zwei Loadbalancer, einmal die Wanverbindungen mit Tag 0, und dann für die neu eingerichteten PPTP Verbindungen mit Tag 4, Tag 1-3 sind die einzelnen WAN-Verbindungen, dies gilt sowohl für die Außenstelle als auch für die Zentrale) In der Außenstelle habe ich die VPN-Verbindungen mit dem passenden Routing Tag zur Auswahl der WAN-Leitung versehen, in der Zentrale haben alle Tag 0, d.h. die Außenstelle wählt über Tag und Gateway Adresse der Gegenseite die WAN Leitung aus. Der Verbindungsaufbau erfolgt immer von der Außenstelle
Die Deny-ALL Regel ist nur für die Default Route aktiviert, wahrscheinlich hat der VPN-Verkehr deshalb bislang ohne weitere Regel geklappt und müsste dann auch ohne weitere Regel bei der PPTP Verbindung klappen oder?
Vielen Dank
eisfieber123
-
eisfieber123
- Beiträge: 14
- Registriert: 15 Feb 2013, 11:52
Hallo!
Ich habe unter foldendem Eintrag noch was zu diesem Theman gefunden:
http://www.lancom-forum.de/topic,11642, ... dlich.html
Aber leider bleibt es bei meinem Problem, wenn ich die Routen zur Demaskierung eintrage, funktioniert der Aufbau der PPTP Verbindungen nicht, nehme die Routen raus, und lasse nur die VPN_LOADBAL drin klappt es. Anbei mal meine Einrichtung:
Standort A:
Standort B:
Dazu noch ein paar weitere Fragen, die sich aus der Lektüre o. g. Links ergeben haben:
- Kann bei der Extranet Adresse eine willkürliche genommen werden? Hatte in meiner Ersteinrichtung eine Adresse aus dem zu routenden Netz genommen (also z. B. 192.168.1.253)
- Bei den Routing Tags für die PPTP Verbindungen hattes Du in Deiner Anleitung zum Teil die gleichen genommen, wie für die Internetverbindungen. Soll das so sein, oder kann man auch z. B. 11,12,13 als Routing Tag für die PPTP Verbindungen nehmen? (Ich habe beides ausprobiert, hat auf mein Problem aber keinen Einfluss gehabt; 11,12,13 müssten ja eigentlich auch gehen, wenn man z. B. von einer Seite alle PPTP Verbindungen nur eine WAN-Verbindung aufbaut passt es ja schon nicht mehr...)
Viele Grüße
eisfieber123
Ich habe unter foldendem Eintrag noch was zu diesem Theman gefunden:
http://www.lancom-forum.de/topic,11642, ... dlich.html
Aber leider bleibt es bei meinem Problem, wenn ich die Routen zur Demaskierung eintrage, funktioniert der Aufbau der PPTP Verbindungen nicht, nehme die Routen raus, und lasse nur die VPN_LOADBAL drin klappt es. Anbei mal meine Einrichtung:
Standort A:
Code: Alles auswählen
VPN-Verbindungen Standort A:
Peer SH-Time Extranet-Address Remote-Gw Rtg-tag ...
---------------------------------------------------------------------------------------------------------------------------------
VPN-1 0 10.0.2.1 0.0.0.0 0
VPN-2 0 10.0.2.2 0.0.0.0 0
VPN-3 0 10.0.2.3 0.0.0.0 0
PPTP-Verbindungen:
Peer IP-Address Rtg-tag Port SH-Time
----------------------------------------------------------------------------------------------------------------------
PPTP-1 10.0.1.1 0 1723 0
PPTP-2 10.0.1.2 0 1723 0
PPTP-3 10.0.1.3 0 1723 0
Load-Balancer:
Peer Bundle-Peer-1 Bundle-Peer-2 Bundle-Peer-3 Bundle-Peer-4
---------------------------------------------------------------------------------------------
LOADBALANCER INTERNET INTERNET-2 INTERNET-3
VPN_LOADBAL PPTP-1 PPTP-2 PPTP-3
Routing-Tabelle
IP-Address IP-Netmask Rtg-tag Peer-or-IP Distance Masquerade Active Comment
--------------------------------------------------------------------------------------------------------------------
10.0.1.1 255.255.255.255 0 VPN-1 0 On Yes
10.0.1.2 255.255.255.255 0 VPN-2 0 On Yes
10.0.1.3 255.255.255.255 0 VPN-3 0 On Yes
192.168.1.0 255.255.255.0 3 PPTP-3 0 No Yes
192.168.1.0 255.255.255.0 2 PPTP-2 0 No Yes
192.168.1.0 255.255.255.0 1 PPTP-1 0 No Yes
192.168.1.0 255.255.255.0 0 VPN_LOADBAL 0 No Yes
255.255.255.255 0.0.0.0 3 INTERNET-3 0 On Yes
255.255.255.255 0.0.0.0 2 INTERNET-2 0 On Yes
255.255.255.255 0.0.0.0 1 INTERNET 0 On Yes
255.255.255.255 0.0.0.0 0 LOADBALANCER 0 On Yes Code: Alles auswählen
VPN-Verbindungen Standort B:
Peer SH-Time Extranet-Address Remote-Gw Rtg-tag ...
---------------------------------------------------------------------------------------------------------------------------------
VPN-1 9999 10.0.1.1 oeffentliche IP von Standort A (INTERNET) 1
VPN-2 9999 10.0.1.2 oeffentliche IP von Standort A (INTERNET-2) 2
VPN-3 9999 10.0.1.3 oeffentliche IP von Standort A (INTERNET-3) 3
PPTP-Verbindungen:
Peer IP-Address Rtg-tag Port SH-Time
----------------------------------------------------------------------------------------------------------------------
PPTP-1 10.0.2.1 0 1723 9999
PPTP-2 10.0.2.2 0 1723 9999
PPTP-3 10.0.2.3 0 1723 9999
Load-Balancer:
Peer Bundle-Peer-1 Bundle-Peer-2 Bundle-Peer-3 Bundle-Peer-4
---------------------------------------------------------------------------------------------
LOADBALANCER INTERNET INTERNET-2 INTERNET-3
VPN_LOADBAL PPTP-1 PPTP-2 PPTP-3
Routing-Tabelle
IP-Address IP-Netmask Rtg-tag Peer-or-IP Distance Masquerade Active Comment
--------------------------------------------------------------------------------------------------------------------
10.0.2.1 255.255.255.255 0 VPN-1 0 On Yes
10.0.2.2 255.255.255.255 0 VPN-2 0 On Yes
10.0.2.3 255.255.255.255 0 VPN-3 0 On Yes
192.168.2.0 255.255.255.0 3 PPTP-3 0 No Yes
192.168.2.0 255.255.255.0 2 PPTP-2 0 No Yes
192.168.2.0 255.255.255.0 1 PPTP-1 0 No Yes
192.168.2.0 255.255.255.0 0 VPN_LOADBAL 0 No Yes
255.255.255.255 0.0.0.0 3 INTERNET-3 0 On Yes
255.255.255.255 0.0.0.0 2 INTERNET-2 0 On Yes
255.255.255.255 0.0.0.0 1 INTERNET 0 On Yes
255.255.255.255 0.0.0.0 0 LOADBALANCER 0 On Yes - Kann bei der Extranet Adresse eine willkürliche genommen werden? Hatte in meiner Ersteinrichtung eine Adresse aus dem zu routenden Netz genommen (also z. B. 192.168.1.253)
- Bei den Routing Tags für die PPTP Verbindungen hattes Du in Deiner Anleitung zum Teil die gleichen genommen, wie für die Internetverbindungen. Soll das so sein, oder kann man auch z. B. 11,12,13 als Routing Tag für die PPTP Verbindungen nehmen? (Ich habe beides ausprobiert, hat auf mein Problem aber keinen Einfluss gehabt; 11,12,13 müssten ja eigentlich auch gehen, wenn man z. B. von einer Seite alle PPTP Verbindungen nur eine WAN-Verbindung aufbaut passt es ja schon nicht mehr...)
Viele Grüße
eisfieber123
Hi eisfieber123
Wenn du es schaffst hier die Verbindungen "falsch" zu stapeln, dann können sie nicht aufgebaut werden (denn das PPTP prüft nach übermittlung des Usernamen, ob die Adresse der Gegenstelle stimmt)
Alles im allem: du mußt genau das geschaft haben...
Alles deutet daraufhin, daß sich in der Zentrale der Username während der Einwahl geändert hat (überzählige Zeilen in der Status-Tabelle). Nachdem der Username übertmittelt wurde, ist dann die Prüfung der IP-Adresse schiefgegangen und die Verbindung wurde wieder getrennt.
Gruß
Backslash
du mußt die beiden Routen zu den explizin PPTP-Verbindungfen drin lassen, weil der Lo9adbalancer sonst anfängt die zweite PPTP-Verbindung zu maskieren - wenn du glück hast treffen dabei zwei unmaskieret und zwei naskierte PPTP-Verbindungen aufeinander, so daß wenigstens jede zweite TCP-Session durchkommt - wenn du pech hast trifft immer eine unmaskierete auf eine maskierte und es funktioniert gar nichts mehr...Wenn ich die PPTP Einträge wieder raus nehme und nur die Loadbalancer Route eingetragen ist, funktioniert es. (Ich habe die PPTP Einträge auf beiden Seiten gemacht). Irgendeine Idee woran das liegen könnte?
Beim PPP wird der Username ja erst während der Verhandlung übermittelt. Wenn das LANCOM ihn vorab nicht anderweitig ermitteln kann (z.B. aus der IP-Adresse), dann startet die PPP-Verhandlung auf der passiven Seite mit dem Username "DEFAULT". Dieser änedrt sich, sobald die (aktive) Gegenseite den Usernamen übermittelt.Was heißt denn, dass die PPTP Verbindung erst als Default reinkommt und dann den Namen ändert?
Vielleicht noch folgende grundsätzliche Informationen zur Einrichtung: Ich habe bei allen PPTP Gegenstellen als Routing Tag 0 genommen. Tag 0 ist die Default Route des Loadbalancers der WAN Verbindungen
es sollte sogar tunlichst eine beliebige genommen werden - zumindest eine die sich nicht innerhalb des Netzes befindet...- Kann bei der Extranet Adresse eine willkürliche genommen werden? Hatte in meiner Ersteinrichtung eine Adresse aus dem zu routenden Netz genommen (also z. B. 192.168.1.253)
Egal was du machst (du kannst das über Routing-Tags oder Adressen lösen) - es ist wichtig, daß die jeweiligen VPN-Verbindugen *immer* auf der selben Internet-Verbindung hochkommen und die PPTP-Verbindungen *immer* auf der selben VPN-Verbindung.- Bei den Routing Tags für die PPTP Verbindungen hattes Du in Deiner Anleitung zum Teil die gleichen genommen, wie für die Internetverbindungen. Soll das so sein, oder kann man auch z. B. 11,12,13 als Routing Tag für die PPTP Verbindungen nehmen? (Ich habe beides ausprobiert, hat auf mein Problem aber keinen Einfluss gehabt; 11,12,13 müssten ja eigentlich auch gehen, wenn man z. B. von einer Seite alle PPTP Verbindungen nur eine WAN-Verbindung aufbaut passt es ja schon nicht mehr...)
Wenn du es schaffst hier die Verbindungen "falsch" zu stapeln, dann können sie nicht aufgebaut werden (denn das PPTP prüft nach übermittlung des Usernamen, ob die Adresse der Gegenstelle stimmt)
Alles im allem: du mußt genau das geschaft haben...
Alles deutet daraufhin, daß sich in der Zentrale der Username während der Einwahl geändert hat (überzählige Zeilen in der Status-Tabelle). Nachdem der Username übertmittelt wurde, ist dann die Prüfung der IP-Adresse schiefgegangen und die Verbindung wurde wieder getrennt.
Gruß
Backslash
-
eisfieber123
- Beiträge: 14
- Registriert: 15 Feb 2013, 11:52
Also ich habe es jetzt für unsere Umgebung gelöst. Ich denke das Problem war, dass auch die Zentrale versucht hat die PPTP Verbindung aufzubauen (Haltezeit 0, aber wahrscheinlich andauernder Verkehr ins Netz der Außenstelle). Ich habe daraufhin in der Routing Tabelle den Extranet VPN-Routen in die Außenstelle bislang nicht vergebene Routing Tags zugewiesen, und die gleichen Routing Tags dann in der PPTP-Liste bei den PPTP Gegenstellen eingetragen (also z. B. in der Routing Tabelle VPN-1, Extranet Adresse 10.0.2.1, Routing Tag 10, und dann in der PPTP Tabelle PPTP-1, IP-Adresse 10.0.2.1, Routing Tag 10).
Eine letzte Frage habe ich aber noch. Wenn ich nun von Außenstelle B zu Außenstelle C über Zentrale A routen will, muss ich dann in der Routing Tabelle die Routen zur Demaskierung der PPTP Verbindungen auch für die Außenstelle eintragen oder reicht die eine Route über den Loadbalancer:
Also Routing Tabelle Außenstelle B (Netz 192.168.1.0 = Zentrale, Netz 192.168.3.0 = Außenstelle B)
IP-Adresse / Netzmaske / Tag / Router / Mask
192.168.1.0 / 255.255.255.0 / 0 / VPN-LOADBAL / AUS
192.168.1.0 / 255.255.255.0 / 2 / VPN-PPTP-1 / AUS
192.168.1.0 / 255.255.255.0 / 3 / VPN-PPTP-2 / AUS
192.168.3.0 / 255.255.255.0 / 0 / VPN-LOADBAL / AUS
oder
IP-Adresse / Netzmaske / Tag / Router / Mask
192.168.1.0 / 255.255.255.0 / 0 / VPN-LOADBAL / AUS
192.168.1.0 / 255.255.255.0 / 2 / VPN-PPTP-1 / AUS
192.168.1.0 / 255.255.255.0 / 3 / VPN-PPTP-2 / AUS
192.168.3.0 / 255.255.255.0 / 0 / VPN-LOADBAL / AUS
192.168.3.0 / 255.255.255.0 / 2 / VPN-PPTP-1 / AUS
192.168.3.0 / 255.255.255.0 / 3 / VPN-PPTP-2 / AUS
?
Vielen Dank für die Hilfe
eisfieber123
Eine letzte Frage habe ich aber noch. Wenn ich nun von Außenstelle B zu Außenstelle C über Zentrale A routen will, muss ich dann in der Routing Tabelle die Routen zur Demaskierung der PPTP Verbindungen auch für die Außenstelle eintragen oder reicht die eine Route über den Loadbalancer:
Also Routing Tabelle Außenstelle B (Netz 192.168.1.0 = Zentrale, Netz 192.168.3.0 = Außenstelle B)
IP-Adresse / Netzmaske / Tag / Router / Mask
192.168.1.0 / 255.255.255.0 / 0 / VPN-LOADBAL / AUS
192.168.1.0 / 255.255.255.0 / 2 / VPN-PPTP-1 / AUS
192.168.1.0 / 255.255.255.0 / 3 / VPN-PPTP-2 / AUS
192.168.3.0 / 255.255.255.0 / 0 / VPN-LOADBAL / AUS
oder
IP-Adresse / Netzmaske / Tag / Router / Mask
192.168.1.0 / 255.255.255.0 / 0 / VPN-LOADBAL / AUS
192.168.1.0 / 255.255.255.0 / 2 / VPN-PPTP-1 / AUS
192.168.1.0 / 255.255.255.0 / 3 / VPN-PPTP-2 / AUS
192.168.3.0 / 255.255.255.0 / 0 / VPN-LOADBAL / AUS
192.168.3.0 / 255.255.255.0 / 2 / VPN-PPTP-1 / AUS
192.168.3.0 / 255.255.255.0 / 3 / VPN-PPTP-2 / AUS
?
Vielen Dank für die Hilfe
eisfieber123
-
eisfieber123
- Beiträge: 14
- Registriert: 15 Feb 2013, 11:52
Ich habe noch mal eine Frage. Manchmal dauert es recht lange, bis der Lancom Router "merkt", dass die Verbindung abgebrochen ist. Ich möchte ja eigentlich gerne, dass (da wir an allen Standorten 2 Leitungen haben), sofort auf die funktionieren Leitung umgeschwenkt wird und die RDP Verbindung nicht abbricht. Ich nehme an, es liegt daran, dass die LCP Leitungsüberprüfung in der Standardeinstellung (Zeit = 3, Wiederholungen = 5) bis zu 35 Sekunden braucht bis sie den Abbruch merkt, richtig? Wenn ich jetzt Zeit = 1, Wiederholungen = 5 einsetzen würde, wären es immernoch 15 Sekunden, wahrscheinlich zu lang für RDP. Kann ich die beiden PPTP Verbingung auch in der Polling Tabelle überprüfen, z. B. durch einen Ping auf den Router im anderen Netz? Aber es sollen natürlich beide PPTP Verbindungen unabhängig voneinander geprüft werden, nicht dass dann beide "denken" sie hätten keine Verbindung mehr. Oder was könnte ich sonst noch machen, um dem Lancom zu helfen den Verbindungsabbruch sofort zu merken?
Vielen Dank und viele Grüße
eisfieber123
Vielen Dank und viele Grüße
eisfieber123
Hi eisfieber123
richtig...
ja, RDP ist sehr empfindlich
Gruß
Backslash
Ich habe noch mal eine Frage. Manchmal dauert es recht lange, bis der Lancom Router "merkt", dass die Verbindung abgebrochen ist. Ich möchte ja eigentlich gerne, dass (da wir an allen Standorten 2 Leitungen haben), sofort auf die funktionieren Leitung umgeschwenkt wird und die RDP Verbindung nicht abbricht. Ich nehme an, es liegt daran, dass die LCP Leitungsüberprüfung in der Standardeinstellung (Zeit = 3, Wiederholungen = 5) bis zu 35 Sekunden braucht bis sie den Abbruch merkt, richtig?
richtig...
Wenn ich jetzt Zeit = 1, Wiederholungen = 5 einsetzen würde, wären es immernoch 15 Sekunden, wahrscheinlich zu lang für RDP.
ja, RDP ist sehr empfindlich
ja... aber auch wenn du da mit dem Timeout und den Retries bis auf 2 Sekunden runterkommst (1/1) bin ich mir nicht sicher, ob das dem RDP nicht doch noch zu lange dauert. Abgesehen davon kannst du mit so extrem kurzen Zeiten auch jede menge "Fehlalarme" produzieren.Kann ich die beiden PPTP Verbingung auch in der Polling Tabelle überprüfen, z. B. durch einen Ping auf den Router im anderen Netz?
Das ICMP-Polling ist fest an die jeweilige Verbindung gekoppelt, d.h. es besteht keine Gefahr...Aber es sollen natürlich beide PPTP Verbindungen unabhängig voneinander geprüft werden, nicht dass dann beide "denken" sie hätten keine Verbindung mehr.
Gruß
Backslash