 |
|
|
|
| Autor |
Nachricht |
CEH
Anmeldungsdatum: 17.02.2011
Beiträge: 5
|
 Verfasst am:
Do 17 Feb, 2011 20:43 |
  |
|
Hallo liebe Forumsmitglieder,
ich habe in einer Aussenstelle einen LANCOM 1811n im Einsatz. Gegenwärtig dient dieses Gerät bereits dazu, über eine T1 Internetzugang für die Kollegen in der Aussenstelle und eine VPN-Verbindung in die Zentrale zu realisieren. Die T1 liegt auf DSL-1, der auf dem WAN-Port klemmt. Zusätzlich ist seit ein paar Tagen auch ein ADSL-Zugang verfügbar. Diesen habe ich als DSL-2 (ETH-4) angelegt. Folgend die (gekürzte) Konfiguration:
| Code:
|
root@TEST:/Status
> dir Hardware-Info/
Model-Number INFO: LANCOM 1811n Wireless
Board-Revision INFO: G
Total-Memory-KBytes INFO: 32768
Free-Memory-KBytes INFO: 16799
VPN-HW-Accelerator INFO: Yes
SW-Version INFO: 7.80.0081 / 06.01.2010
Ethernet-Switch-Type INFO: 88E6060 Rev. 2
root@TEST:/Setup/WAN/Layer
WAN-layer Encaps. Lay-3 Lay-2 L2-Opt. Lay-1
-------------------------------------------------------------
AT&T ETHER TRANS TRANS none ETH
ATT_ADSL ETHER TRANS TRANS none ETH
root@TEST:/Setup/WAN/DSL-Broadband-Peers
> dir
Peer SH-Time AC-name Servicename WAN-layer MAC-Type user-def.-MAC DSL-ifc(s) VLAN-ID
------------------------------------------------------------------------------------------------
AT&T 9999 AT&T local 000000000000 1 0
ATT_ADSL 9999 ATT_ADSL local 000000000000 2 0
root@TEST:/Setup/WAN/IP-List
> dir
Peer IP-Address IP-Netmask Masq.-IP-Addr. Gateway DNS-Default DNS-Backup
--------------------------------------------------------------------------------------------
AT&T 1.1.1.1 255.255.255.248 0.0.0.0 1.1.1.2 8.8.8.8 8.8.4.4
ATT_ADSL 2.2.2.1 255.255.255.252 0.0.0.0 2.2.2.2 8.8.8.8 8.8.4.4
root@TEST:/Setup/Interfaces/DSL
> dir
Ifc Operating Upstream-Rate Ext.-Overhead Downstream-Rate
------------------------------------------------------------------
DSL-1 Yes 1544 0 1544
DSL-2 Yes 768 0 6000
DSL-3 No 0 0 0
DSL-4 No 0 0 0
|
Über den DSL-2 Anschluss soll die Default-Route realisiert werden. Sämtlicher Internetverkehr soll darüber verlaufen. Damit kann ich DSL-1 rein für die VPN-Verbindung frei halten.
Im Moment scheitert aber schon alles daran, dass zwar
funktioniert, aber
nicht. Dementsprechend komme ich auch nicht an den ADSL-Router am DSL-2 Anschluss.
Ich freue mich über jeden Hinweis, der mir auf die Sprünge hilft.
Vielen Dank & viele Grüße |
|
|
   |
|
Guest
|
| Verfasst am:
|
|
|
|
|
|
ft2002
Anmeldungsdatum: 10.02.2010
Beiträge: 436
Wohnort: Hamburg
|
| Verfasst am:
Do 17 Feb, 2011 23:06 |
|
|
Hallo,
Kannst Du mal die ganzen Kästen weglassen ,
was hast Du jetzt am ETH_4 einen zusätzlichen Router oder ein Modem ?
was hast Du in der Routingtabelle eingetragen ?
Gruß ...  |
|
|
|
|
CEH
Anmeldungsdatum: 17.02.2011
Beiträge: 5
|
| Verfasst am:
Do 17 Feb, 2011 23:19 |
|
|
OK, werde die "code" Markierung erst mal nicht mehr verwenden. Hier noch mal alles ohne:
root@TEST:/Status
> dir Hardware-Info/
Model-Number INFO: LANCOM 1811n Wireless
Board-Revision INFO: G
Total-Memory-KBytes INFO: 32768
Free-Memory-KBytes INFO: 16799
VPN-HW-Accelerator INFO: Yes
SW-Version INFO: 7.80.0081 / 06.01.2010
Ethernet-Switch-Type INFO: 88E6060 Rev. 2
root@TEST:/Setup/WAN/Layer
WAN-layer Encaps. Lay-3 Lay-2 L2-Opt. Lay-1
-------------------------------------------------------------
AT&T ETHER TRANS TRANS none ETH
ATT_ADSL ETHER TRANS TRANS none ETH
root@TEST:/Setup/WAN/DSL-Broadband-Peers
> dir
Peer SH-Time AC-name Servicename WAN-layer MAC-Type user-def.-MAC DSL-ifc(s) VLAN-ID
------------------------------------------------------------------------------------------------
AT&T 9999 AT&T local 000000000000 1 0
ATT_ADSL 9999 ATT_ADSL local 000000000000 2 0
root@TEST:/Setup/WAN/IP-List
> dir
Peer IP-Address IP-Netmask Masq.-IP-Addr. Gateway DNS-Default DNS-Backup
--------------------------------------------------------------------------------------------
AT&T 1.1.1.1 255.255.255.248 0.0.0.0 1.1.1.2 8.8.8.8 8.8.4.4
ATT_ADSL 2.2.2.1 255.255.255.252 0.0.0.0 2.2.2.2 8.8.8.8 8.8.4.4
root@TEST:/Setup/Interfaces/DSL
> dir
Ifc Operating Upstream-Rate Ext.-Overhead Downstream-Rate
------------------------------------------------------------------
DSL-1 Yes 1544 0 1544
DSL-2 Yes 768 0 6000
DSL-3 No 0 0 0
DSL-4 No 0 0 0
An ETH-4 (DSL-2) hängt ein ADSL-Router des Providers. Der hat die 2.2.2.2 aus dem Beispiel. Der LANCOM hat die 2.2.2.1. Ein Laptop, der statt des LANCOMs direkt an den ADSL-Router angeschlossen wird, kann problemlos surfen und "ping 2.2.2.2" erreichen.
In der Routing-Tabelle steht:
> ls Setup/IP-Router/IP-Routing-Table
IP-Address IP-Netmask Rtg-tag Peer-or-IP Distance Masquerade Active Comment
------------------------------------------------------------------------------------------------------------------------------------------------------------
10.47.0.0 255.255.255.248 0 VPN01 0 No Yes
192.168.0.0 255.255.0.0 0 VPN01 0 No Yes route to HQ
224.0.0.0 224.0.0.0 0 0.0.0.0 0 No Yes block multicasts: 224-255.x.y.z
255.255.255.255 0.0.0.0 1 ATT_ADSL 0 on Yes
255.255.255.255 0.0.0.0 0 AT&T 0 on Yes
Erscheint mir irgendwie alles unverdächtig. Mich wundert, dass der LANCOM sich auf dem DSL-2 nicht selbst "pingen" kann.
Viele Grüße |
|
|
|
|
CEH
Anmeldungsdatum: 17.02.2011
Beiträge: 5
|
| Verfasst am:
Do 17 Feb, 2011 23:27 |
|
|
Noch was … Ich habe spassehalber mal
7.7.7.0 255.255.255.0 0 ATT_ADSL 0 on Yes
eingetragen, um Probleme mit dem PBR zu vermeiden. Aber selbst dann kann sich der LANCOM auf der IP an DSL-2 nicht selbst erreichen.
ping -c3 2.2.2.1 gibt dann immer noch Null Antworten.
Hmmm … Wo liegt mein Denkfehler? |
|
|
|
|
ft2002
Anmeldungsdatum: 10.02.2010
Beiträge: 436
Wohnort: Hamburg
|
| Verfasst am:
Do 17 Feb, 2011 23:42 |
|
|
Hallo,
Dir fehlt ein ein Routingeintrag auf 2.2.2.0 oder das ändern der Default Route
Das Pingen an seinen eigenen WAN-Port am DSL-2 kann nicht funktionieren da der Ping an ein Netz geht welches er nicht Verwaltet und damit sendet er auf die Default-Route und somit ins Internet .... dort ist Dein Transport-Netz aber nicht bekannt !!
Also kein Ping möglich
eine Default Route zum Surfen sieht immer so aus
255.255.255.255 0.0.0.0 Tag0 Maskierung AN
Du musst für jede Leitung eine Default-Route haben
255.255.255.255 0.0.0.0 ATT_ADSL Tag 1
255.255.255.255 0.0.0.0 AT&T Tag 0
Du musst eine Firewall-Regel erstellen und auf eine der beiden Leitungen binden , in Deinem Fall Http und Https
WEB_OUT
Routing-Tag : 1
Accept
von Gegenstelle : beliebig
an Gegenstelle : ATT_ADSL
Dienst : Https, Http (oder web)
Damit bindest Du die HTTPS und HTTP auf den ATT_ADSL
Gruß ... |
|
|
|
|
CEH
Anmeldungsdatum: 17.02.2011
Beiträge: 5
|
| Verfasst am:
Do 17 Feb, 2011 23:53 |
|
|
Hi, OK Cool … Herzlichen Dank für die Erläuterungen.
Bitte erlaube mir noch eine Verständnisfrage.
Wenn ich
255.255.255.255 0.0.0.0 0 ATT_ADSL 0 on Yes
255.255.255.255 0.0.0.0 1 AT&T 0 on Yes
setze und unter
> dir /Setup/VPN/VPN-Peers
Peer SH-Time Extranet-Address Remote-Gw Rtg-tag Layer dynamic IKE-Exchange Rule-creation DPD-Inact-Timeout IKE-CFG XAUTH
----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
VPNC01 9999 0.0.0.0 9.9.9.9 1 VPN01 No Main-Mode auto 60 Off Off
setze, dann geht doch nur noch die VPN-Verbindung über die T1 (= DSL-1 = AT&T), oder? Der gesamte Internetrotz müsste dann über die ADSL-Leitung (= DSL-2) gehen.
Ist mein Verständnis wie folgt richtig?
Die VPN-Strecke braucht ein Routing-Tag, damit ich das VPN auf die DSL-1 festbinden kann. VPN Pakete werden dann niemals auf irgendwas mit Routing-Tag 0 gesendet. Das logische Interface VPN wiederum kann ich abermals einem beliebigen Routing-Tag zuweisen. In meinem Falle also der 0, da ich will, dass Pakete an die Gegenstelle 10.47.0.0/255.255.255.248 und 192.168.0.0/255.255.0.0 0 über das VPN gehen. Alle anderen Pakete würden dann anhand der Routing-Tabelle (Routing-Tag 0 = Alle Pakete) über die ADSL-Leitung (DSL-2) gehen.
Viele Grüße |
|
|
|
|
ft2002
Anmeldungsdatum: 10.02.2010
Beiträge: 436
Wohnort: Hamburg
|
| Verfasst am:
Fr 18 Feb, 2011 00:03 |
|
|
Hallo CEH,
ich glaub Du hast es .... 
Genau so ist es , Du kannst auch das "Tag 0" auf Dein ATT_ADSL setzen,
dann brauchst Du keinen Firewall eintrag , da ja nun mal alles immer über die Default-Route.
.... Ausser natürlich Du passt es an !
Wenn Du jetzt in der Verbindungsliste VPN den VPN mit Tag 1 versiehst dann geht der VPN immer auf dem Anschluß AT&T raus.
Vorraussetzung ist immer eine Default-Route auf jedem DSL Anschluss
Beim VPN brauchst Du keinen Tag zu setzen wenn der Tunnel ankommt, das Tag ist nur relevant für abgehende Tunnel.
Gruß ...
PS: in der Routingtabelle brauchst Du keinen Tag für die VPN-Routing Einträge setzen da die schon in den Tunnel gedrückt werden... |
|
|
|
|
CEH
Anmeldungsdatum: 17.02.2011
Beiträge: 5
|
| Verfasst am:
Fr 18 Feb, 2011 00:42 |
|
|
Es läuft jetzt alles wie es soll. VPN geht über die T1 und die Kollegen surfen fröhlich über den ADSL-Zugang.
Herzlichen Dank nochmals für die Hilfe zu so später Stunde.
Viele Grüße |
|
|
|
|
|
|
|
|
| |
|
|
