 |
|
|
|
| Autor |
Nachricht |
stefanbunzel
Anmeldungsdatum: 03.02.2006
Beiträge: 584
Wohnort: Jauernick-Buschbach bei Görlitz
|
 Verfasst am:
Do 08 Jul, 2010 12:32 |
  |
|
Hallo,
nach vielen Versuchen habe ich endlich erfolgreich mehrer eigenständige große Netzwerke per VPN verbunden. Aber ich scheitere bei einem Netz an einem merkwürdigen Fehler.
Zum Aufbau:
1. Netz mit L-1722 und 9 Subnetzen dahinter
2. Netz mit R-800+ und 5 Subnetzen dahinter
Hier nur die Subnetze hinter dem VPN-Gateway, welche jeweils verbunden werden sollen. Auf beiden Geräten ist LCOS 7.80 installiert. VPN-Tunnel steht und es fließen alle Daten ohne Fehler.
Zur Konfig: Die Subnetze vom 2. Netz sind in der Routing-Tabelle des L-1722 und in einer Firewall-Regel im R-800+ angelegt - und umgekehrt.
Jetzt mein Problem: Im Netz 1 gibt es jetzt neu ein 10. Subnetz, welches ich per VPN erreichen will. Also habe ich es genau so eingepflegt. Aber der R-800+ bringt mir eine Fehlermeldung (Config Event-Log: 1.2.8.10.2.4.11 Info2: 1) und weigert sich, einen 10. Routing-Eintrag anzulegen. Ich dachte erst, es wäre ein Konfig-Fehler mit IP-Adress-Konflikt oder so. Aber da ist alles okay. Habe auch mit anderen Subnetzen usw. probiert - es scheint ganz einfach am 10. Eintrag für diese VPN-Gegenstelle zu liegen.
Ist das korrekt, dass im R-800+ nur 9 Routing-Einträge pro VPN-Gegenstelle zugelassen sind? Oder ist das ein LCMS-Problem? Denn im Webinterface kann ich problemlos den weiteren Routing-Eintrag vornehmen - ohne Fehlermeldung. Danach ist aber ein Einspielen der Konfig mit LANconfig nicht mehr möglich.
Ich habe exakt die gleiche Konfig zwischen 2 L-1722, bei denen es nicht dieses Problem gibt.
Stefan |
_________________
7100VPN, mehrfach: 1722, 1711, 1721, 1823, R800+, ES-2126, 1811, 322agn, 321agn, 315agn, 310agn, L-54dual, L-54a(g), PS-Option, 7011, 821, 3050, 3850, IL-2, IL-11
VDSL50, 5 x DSL-16.000, 2 x IPCop, Ipoque PRX-1100 / PRX-20
>370 Haushalte WLAN-DSL |
|
     |
|
Guest
|
| Verfasst am:
|
|
|
|
|
|
backslash
Moderator
Anmeldungsdatum: 08.11.2004
Beiträge: 4467
Wohnort: Aachen
|
| Verfasst am:
Do 08 Jul, 2010 12:58 |
|
|
Hi stefanbunzel,
die Firewall weist eine Regel ab, wenn aus dieser mehr als 16 * VPN-Lizenz VPN-Regeln entstehen würden. Da das R800+ nur eine VPN-3 Lizenz hat, dürfen aus einer Firewallregel nicht mehr als 48 VPN-Regeln entstehen. Genau diese Grenze wird in deinem Szenario ab dem 10 Netz überschritten: 5 Netze hinter R-800 und 10 hinter dem 1722 macht zusammen 50 VPN-Regeln...
Das Ganze ist eine Sicherheitsmaßnahme, weil es oft genug Leute gibt, die entweder Adressbereiche (von.. bis.., die in einzelne Netze aufgespalten werden) oder auch Ports in VPN-Regeln verpacken wollen und sich dann wundern, daß entweder das Gerät aus Speichermangel bootet oder aber die VPN-Verbindung nicht zustandekommt, weil die Gegenseite damit nicht umgehen kann
Spalte die Regeln einfach passend auf, z.B. in je eine Regel für jedes der 5 Netze...
Gruß
Backslash |
|
|
|
|
stefanbunzel
Anmeldungsdatum: 03.02.2006
Beiträge: 584
Wohnort: Jauernick-Buschbach bei Görlitz
|
| Verfasst am:
Do 08 Jul, 2010 13:19 |
|
|
Hallo Backslash,
vielen Dank für die genaue und ausführliche Antwort. Wäre schön, wenn LANconfig das als Fehlermeldung ausgeben würde. Hätte mir ein par Stunden Testen und Probieren erspart... 
Jetzt hat das Einspielen der Config mit 2 Firewall-Regeln auch geklappt.
Vielen Dank
Stefan |
_________________
7100VPN, mehrfach: 1722, 1711, 1721, 1823, R800+, ES-2126, 1811, 322agn, 321agn, 315agn, 310agn, L-54dual, L-54a(g), PS-Option, 7011, 821, 3050, 3850, IL-2, IL-11
VDSL50, 5 x DSL-16.000, 2 x IPCop, Ipoque PRX-1100 / PRX-20
>370 Haushalte WLAN-DSL |
|
|
|
|
|
|
|
| |
|
|
