 |
|
|
|
| Autor |
Nachricht |
keausw
Anmeldungsdatum: 18.08.2010
Beiträge: 2
|
 Verfasst am:
Mi 18 Aug, 2010 20:04 |
  |
|
Hallo,
ich brauche einmal etwas Hilfe bei einem Problem. Ich fange einmal ganz von vorne an.
Eine Kunde von uns hat eine Außenstelle und eine 5Mb Etherconnect-Leitung der Telekom dorthin. Die kann mann sich vereinfacht vorstellen wie ein Crosskabel. Also dachte ich mir hinten und vorne zwei Lancom dran und gut.
Dann habe ich auf beiden Routern mit dem Assistenten eine Internet
Verbindung via Company Connect mit statischen IP konfiguriert und mit einem Crosskabel zum testen miteinander verbunden. Ich kann die Transfernetz-IP des gegenüber liegenden Routers anpingen
jedoch nicht das Interface des Kunden-LANs. Wenn ich über das ganze einen VPN-Tunnel lege klappt das wunderbar, habe aber Probleme mit dem Routing da die Außenstelle uber die Zentrale den Zugang zum Internet hat. Wenn ich eine statische Route ins Internet eintrage baut sich der VPN-Tunnel nicht wieder auf. Der Lan Monitor sagt es gäbe Probleme beim
Authentifizieren !?!? Mal abgesehen davon ist bei diesem Leitungstyp ein VPN Tunnel unsinnig und erzeugt nur unnötigen Traffic. Warum funktioniert die Rücken an Rücken Schaltung zweier Lancoms (R800+) nicht? Was mache ich falsch? Ich habe auch verschieden Firmwarestände getestet aber immer mit dem selben Ergebniss. Vielleicht hat ja mal
jemand etwas ähnliche konfiguriert und kann mir einen Tip geben.
Grüße Karsten |
|
|
   |
|
Guest
|
| Verfasst am:
|
|
|
|
|
|
Jirka
Moderator
Anmeldungsdatum: 03.01.2005
Beiträge: 1866
Wohnort: Ex-OPAL-Gebiet
|
| Verfasst am:
Do 19 Aug, 2010 08:42 |
|
|
Hallo Karsten,
| keausw hat folgendes geschrieben:
|
|
Ich kann die Transfernetz-IP des gegenüber liegenden Routers anpingen
|
Damit meinst Du die statisch konfigurierte WAN-IP des LANCOMs gegenüber, ja?
| keausw hat folgendes geschrieben:
|
|
jedoch nicht das Interface des Kunden-LANs.
|
Wenn Du damit die lokale LAN-IP des LANCOMs meinst (oder eines anderen Geräts im lokalen LAN), ist das ja nicht verwunderlich, wenn Du über die WAN-IP im LANCOM maskierst (NAT). Wenn Du nicht maskierst, hast Du möglicherweise keine Routen angegeben oder in der Firewall den Zugriff nicht erlaubt.
| keausw hat folgendes geschrieben:
|
|
Wenn ich über das ganze einen VPN-Tunnel lege klappt das wunderbar
|
Weil dann die entsprechenden Routen angelegt werden.
| keausw hat folgendes geschrieben:
|
|
habe aber Probleme mit dem Routing da die Außenstelle uber die Zentrale den Zugang zum Internet hat.
|
Auch das wäre über VPN möglich.
Viele Grüße,
Jirka |
|
|
|
|
keausw
Anmeldungsdatum: 18.08.2010
Beiträge: 2
|
| Verfasst am:
Do 19 Aug, 2010 22:27 |
|
|
Hi Jirka,
Die Maskierung/NAT war ausgeschaltet, und die Routen haben gestimmt.
Ich hatte eine Default-Route ins gegenüberliegende LAN gesetzt.
Bei der VPN Variante war es so das alles lief, sowie ich die Internetroute
eingetragen habe funzte das auch, also alles so wie ich es haben wollte.
Router neu gebootete und der Tunnel kam nicht wieder hoch.
Im LAN-Monitor konnte mann sehen das die Router sich gesehen haben
und versuchten den Tunnel aufzubauen aber wegen eines Authentifizierungsfehler dann abbrachen.
Was hat die Authentifizierung mit der Route zu tun ?
Habe ich Internetroute wieder raus genommen kam der Tunnel wieder.
Das ganze ist nun auch nicht mehr so dringend ich habe jetzt zwei Cisco1841 hingestellt damit klappts problemlos.
Dennoch hat das meinem Kollegen keine Ruhe gelassen und er hat das daheim noch mal getestet und er hat es nicht hin bekommen . 
Das das mit auch mit einem VPN funktionieren sollte ist schon klar, aber dennoch unsinnig, da ja bei einer Ether-Connect keine "man in the middle
attack" zu erwarten ist und bei 5MBit Bandbreite sollte man schon unnötigen Traffic vermeiden.
Viele Grüße
Karsten |
|
|
|
|
Jirka
Moderator
Anmeldungsdatum: 03.01.2005
Beiträge: 1866
Wohnort: Ex-OPAL-Gebiet
|
| Verfasst am:
Fr 20 Aug, 2010 08:33 |
|
|
Hallo Karsten,
| keausw hat folgendes geschrieben:
|
|
Die Maskierung/NAT war ausgeschaltet, und die Routen haben gestimmt.
|
Ok. Schön. Was war mit der Firewall?
| keausw hat folgendes geschrieben:
|
|
Ich hatte eine Default-Route ins gegenüberliegende LAN gesetzt.
|
Gut. Und von dem gegenüberliegenden LAN auch eine in dieses LAN?
| keausw hat folgendes geschrieben:
|
Bei der VPN Variante war es so das alles lief, sowie ich die Internetroute
eingetragen habe funzte das auch, also alles so wie ich es haben wollte.
Router neu gebootete und der Tunnel kam nicht wieder hoch.
|
Das kann durchaus sein, liegt dann aber an einer falschen Konfiguration. Dass der VPN-Tunnel vor dem Bootvorgang noch stand, liegt daran, dass zu dem Zeitpunkt als er aufgebaut wurde der LANCOM anders konfiguriert war. Und wenn Du dann die Konfiguration änderst baut sich der Tunnel ja nicht ab und wieder neu auf, schließlich sollen auch bei Konfigurationsänderungen im Produktivbetrieb möglichst wenig Störungen auftreten.
| keausw hat folgendes geschrieben:
|
Im LAN-Monitor konnte mann sehen, dass die Router sich gesehen haben
und versuchten den Tunnel aufzubauen aber wegen eines Authentifizierungsfehler dann abbrachen.
Was hat die Authentifizierung mit der Route zu tun?
|
Nicht viel. Vermutlich wurde aber die Gegenseite doch nicht erreicht und daher konnte sie nicht authentifiziert werden.
Du kannst mir gerne die Konfiguration der beiden Geräte per PN schicken (als Zip gepackt), dann schau ich mal drüber. Viele Passworte dürften ja in der Konstellation nicht drin sein, ansonsten kannst Du die ja noch ggf. ändern.
Viele Grüße,
Jirka |
|
|
|
|
|
|
|
|
| |
|
|
