Es gibt Fehler, die einen zur Verzweiflung bringen:
Gateway Lancom 7100 VPN: Eth1: Lan, Eth2: VPN1 über Telekom (feste iP), Eth3: VPN2 über Internet Business Pro 100 Vodafone (feste IP), Eth4: VPN3 über Internet Business Pro 100 Vodafone, Default Internet über Lancom 831A (Routing-Tag-Firewallregel).
Die Außenstellen sind auf die drei VPNs verteilt angeschlossen. VPN2 und VPN3 wurden vor kurzem von Kabeldeutschland (dynamsische iP - Dynaccess) auf Internet Business Pro Vodafone mit fester IP umgestellt. Nun mussten wir feststellen, dass zwei Außenstellen (Homeoffice) Probleme mit dem Zugriff auf bestimmte HTML-Seiten haben, z. B. meldet LANconfig bei der Außenstelle beim Zugriff auf das Gateway einen HTML-Fehler. Reaktivieren wir die alte Kabeldeutschland-Leitung wieder, funktioniert alles. Wenn wir die Außenstellen auf VPN 1 (Telekom) umstellen, funktioniert auch alles. An der Konfiguration wurde definitiv nicht geändert.
Somit war der erste Gedanken, dass die Leitung von Vodafone irgendetwas blockt. Im Internet haben wir auch gefunden, dass die feste IP bei Vodafone nur über eine VPN-Verbindung zum Vodafone-Server simuliert wird und es daher zu Problemem bei VPN-Verbindungen kommen kann. Ergo: Leitung Schrott.
Nun wird es aber verrückt. Lediglich zwei Außenstellen haben dieses Problem und den HTML-Fehler gibt es nur beim Zugriff auf das Gateway. Alle anderen Lancom-Geräte lassen sich problemlos aufrufen. Andere Außenstellen (gleiche Konfiguration), die auch über die neue Leitung gehen, sind fehlerfrei. Switche ich auf die alten Leitung oder auf die Telekomleitung um, können auch die beiden fehlerhaften Außenstellen das Gateway mit LANconfig aufrufen.
Wo soll man da ansetzen???
HTML-Fehler LANconfig bei VPN-Zugriff
Moderator: Lancom-Systems Moderatoren
Re: HTML-Fehler LANconfig bei VPN-Zugriff
Hm...scheint leider ein sehr ungewöhnliches Problem zu sein.
Im Zuge der noch immer notwendigen Fehlersuche habe ich mal eine grundsätzliche Frage zu den Routingtags.
Wie oben beschrieben, habe ich insgesamt 4 Default-Routen, die ich über Routingtags konfiguriert habe (0-3). Routing-Tags 0-2 für die VPNs und Routingtag 3 führt zu einem anderen Router, der den Zugang zum Surfem regelt. Per Firewallregel habe ich lediglich Routing-Tag 3 festgelegt, damit der Surfverkehr auf den anderen Router umgeleitet wird. Bei den zwei Default-Routen VPN (Routingtag 1 + 2) habe ich nichts weiter per Firewall geregelt. Die VPN-Außenstellen habe ich dann jeweils mit der öffentlichen IP der jeweiligen Defaultrouten 1-3 versehen. Das funktioniert alles, ohne dass ich in der VPN-Verbindung einen Routingtag gesetzt habe, noch in der Routingtabelle. Die Nebenstellen haben alle dynanische IPs. Obwohl das alles so funktioniert, bis auf den oben genannten Fehler stellt sich für mich die Frage, ob dass so richtig ist.
Im Zuge der noch immer notwendigen Fehlersuche habe ich mal eine grundsätzliche Frage zu den Routingtags.
Wie oben beschrieben, habe ich insgesamt 4 Default-Routen, die ich über Routingtags konfiguriert habe (0-3). Routing-Tags 0-2 für die VPNs und Routingtag 3 führt zu einem anderen Router, der den Zugang zum Surfem regelt. Per Firewallregel habe ich lediglich Routing-Tag 3 festgelegt, damit der Surfverkehr auf den anderen Router umgeleitet wird. Bei den zwei Default-Routen VPN (Routingtag 1 + 2) habe ich nichts weiter per Firewall geregelt. Die VPN-Außenstellen habe ich dann jeweils mit der öffentlichen IP der jeweiligen Defaultrouten 1-3 versehen. Das funktioniert alles, ohne dass ich in der VPN-Verbindung einen Routingtag gesetzt habe, noch in der Routingtabelle. Die Nebenstellen haben alle dynanische IPs. Obwohl das alles so funktioniert, bis auf den oben genannten Fehler stellt sich für mich die Frage, ob dass so richtig ist.
Re: HTML-Fehler LANconfig bei VPN-Zugriff
Hi,
zur Frage aus dem Eingangs-Posting: Bei IPv6. Hört sich jedenfalls so an. Was steht denn als Adresse oder IP drin in LANconfig (LANconfig bei der Außenstelle für das Gateway)?
zur Frage aus dem zweiten Posting: Kann man nicht mit ja oder nein beantworten, dazu müsste man weitere Details für die VPNs wissen (Haltezeit, wer baut auf, Dynamic VPN). Sieht aber so aus, als sei bei Dir alles so konfiguriert, als ob das ok so ist. Es stört aber auch nicht, in der VPN-Verbindung das passende Routing-Tag zu hinterlegen. Sollte sich eines Tages, aus welchen Gründen auch immer, die Aufbaurichtung ändern, funktioniert dann alles wie gewünscht.
Viele Grüße,
Jirka
zur Frage aus dem Eingangs-Posting: Bei IPv6. Hört sich jedenfalls so an. Was steht denn als Adresse oder IP drin in LANconfig (LANconfig bei der Außenstelle für das Gateway)?
zur Frage aus dem zweiten Posting: Kann man nicht mit ja oder nein beantworten, dazu müsste man weitere Details für die VPNs wissen (Haltezeit, wer baut auf, Dynamic VPN). Sieht aber so aus, als sei bei Dir alles so konfiguriert, als ob das ok so ist. Es stört aber auch nicht, in der VPN-Verbindung das passende Routing-Tag zu hinterlegen. Sollte sich eines Tages, aus welchen Gründen auch immer, die Aufbaurichtung ändern, funktioniert dann alles wie gewünscht.
Viele Grüße,
Jirka
Re: HTML-Fehler LANconfig bei VPN-Zugriff
Nein, kein IPv6! Im LanConfig steht die IPv4 Adresse. Ich habe mittlerweile rausgefunden, dass der Zugriff klappt, wenn ich über TFTP zugreifen. Ich vermute daher ganz stark, das KabelDeutschland/Vodafone irgendwelche HTTPS Pakete rausfiltert.
Warum das nur bei einigen Außenstellen der Fall ist, kann ich mir zwar nicht erklären, werde aber mal Kontakt mit Vodafone aufnehmen. Wie bereits geschrieben, scheint es ja mit diesem Tarif auch bei anderen Personen Probleme hinsichtlich der VPN Verbindung zu geben. Dieses liegt wohl daran, das der Router von Kabeldeutschland selbst eine VPN-Verbindung benutzt um eine feste IP vom Server zu bekommen.
Zur 2. Frage von mir. Die Außenstellen stellen alle dynnamisch die Verbindung her und stehn auf Haltezeit 9999. Die Hauptzentrale hat eine feste IP (naja...drei feste IPs - siehe oben) und steht auf Haltezeit 0. Dann sollte ja alles ohne Tags richtig sein, wenn ich Dich richtig verstanden habe. Vielen Dank.
Warum das nur bei einigen Außenstellen der Fall ist, kann ich mir zwar nicht erklären, werde aber mal Kontakt mit Vodafone aufnehmen. Wie bereits geschrieben, scheint es ja mit diesem Tarif auch bei anderen Personen Probleme hinsichtlich der VPN Verbindung zu geben. Dieses liegt wohl daran, das der Router von Kabeldeutschland selbst eine VPN-Verbindung benutzt um eine feste IP vom Server zu bekommen.
Zur 2. Frage von mir. Die Außenstellen stellen alle dynnamisch die Verbindung her und stehn auf Haltezeit 9999. Die Hauptzentrale hat eine feste IP (naja...drei feste IPs - siehe oben) und steht auf Haltezeit 0. Dann sollte ja alles ohne Tags richtig sein, wenn ich Dich richtig verstanden habe. Vielen Dank.
Re: HTML-Fehler LANconfig bei VPN-Zugriff
Fehler ist gefunden und beseitigt. Bei Kabel-Deutschland Anschlüssen muss wohl der MTU-Wert geändert werden. Ich habe ihn in der LANconfig beim Router manuell auf 1.400 eingestellt, Wan-Verbindung einmal getrennt und dann lief alles ohne Fehler.