Hallo,
wir haben ein etwas merkwürdiges Problem. Wir haben in unserer Zentrale unter anderem eine VDSL sowie eine Vodafone Kabelleitung. Die Kabelleitung lief bisher im Bridge Modus, nach einem Router Update dann aber im Router Modus. Die VDSL Verbindung wurde bislang über ein Zyxel Modem im Bridge Modus vom Lancom aufgebaut. Aufgrund einer Netzwerkumstellung haben wir jetzt auch das Zyxel Modem in den Router Modus gewechselt (um ein entsprechendes Port Forwarding Scenario umzusetzen). Das funktioniert grundsätzlich auch alles ganz gut, nur der Internetverkehr (der per Firewall Regel über die VDSL Leitung abgewickelt wird) ist durch die Umstellung des Zyxel Modems in den Router Modus langsamer geworden. Die Internetseiten benötigen zum Teil erheblich länger, um sich aufzubauen. Wechsele ich das Zyxel Modem wieder in den Bridge Modus läuft alles gut und schnell. Woran könnte das liegen?
Vielen Dank für jede Hilfe und viele Grüße
kallegrabo
Vorgeschalteter Router & langsamer Internetseitenaufbau
Moderator: Lancom-Systems Moderatoren
-
kallegrabo
- Beiträge: 5
- Registriert: 07 Apr 2019, 19:58
-
kallegrabo
- Beiträge: 5
- Registriert: 07 Apr 2019, 19:58
Re: Vorgeschalteter Router & langsamer Internetseitenaufbau
Wir haben das Zyxel Modem/Router (vmg1312-b30a) nunmehr durch einen LANCOM 1790VA ersetzt. Die Geschwindigkeit ist nunmehr leitungsgerecht, insofern ist dieses Problem gelöst. Leider ist mit dem 1790VA aber ein neues Problem hinzugekommen, das wir bisher leider nicht lösen können:
Wir haben zwei LANCOM Router bei uns eingerichtet, einen für den Produktiv-Betrieb, den anderen als Backup (ohne VRRP). Wir haben an unserem Standort 4 Leitungen (2 x Telekom VDSL, Kabel Deutschland, SDSL). Alle Leitungen haben einen vorgeschalteten Router der die VPN-Ports per Port-Forwarding auf die Lancom Router weiterleitet. Die VPN-Ports 500/4500 werden werden entsprechend auf unseren Produktiv-Router ohne Mapping weitergeleitet. Auf den Backup-LANCOM Router werden die Ports von allen Leitungen wie folgt weitergeleitet:
Startport: 501
Endport: 501
Mapport: 500
und
Startport: 4501
Endport: 4501
Mapport: 4500
Dadurch können wir uns mit dem Shrew Client auf den Backup-LANCOM einwählen (mit entsprechender Hinterlegung der vorgenannten Ports im Shrew VPN-Profil). Dies funktionierte bisher mit allen Leitungen, nur nach dem Wechsel auf den 1790VA funktioniert es nicht mehr (die Einwahl auf den Produktiv-LANCOM funktioniert über den 1790VA ebenfalls problemlos). Um das Port-Forwarding auf den Backup-LANCOM zu testen haben wir eine VPN Site2Site IKEv2 Verbindung mit UDP Encapsulation über Port 4501 eingerichtet. Diese Funktioniert ebenfalls. Ein ip-ro trace auf die IP-Adresse des Backup-LANCOM zeigt null Aktivität wenn der Shrew Client sich einwählen will. Scheinbar werden die Shrew Pakete daher schon am 1790VA abgewiesen (aber eben nur bei eingestellten Port 501/4501, die Ports 500/4500 werden an den Produktiv-LANCOM durchgestellt). Die Firewall befindet sich zu Testzwecken noch im Auslieferungszustand, also keine DENY_ALL Regel. Hat jemand eine Idee woran das liegen könnte?
Wir haben zwei LANCOM Router bei uns eingerichtet, einen für den Produktiv-Betrieb, den anderen als Backup (ohne VRRP). Wir haben an unserem Standort 4 Leitungen (2 x Telekom VDSL, Kabel Deutschland, SDSL). Alle Leitungen haben einen vorgeschalteten Router der die VPN-Ports per Port-Forwarding auf die Lancom Router weiterleitet. Die VPN-Ports 500/4500 werden werden entsprechend auf unseren Produktiv-Router ohne Mapping weitergeleitet. Auf den Backup-LANCOM Router werden die Ports von allen Leitungen wie folgt weitergeleitet:
Startport: 501
Endport: 501
Mapport: 500
und
Startport: 4501
Endport: 4501
Mapport: 4500
Dadurch können wir uns mit dem Shrew Client auf den Backup-LANCOM einwählen (mit entsprechender Hinterlegung der vorgenannten Ports im Shrew VPN-Profil). Dies funktionierte bisher mit allen Leitungen, nur nach dem Wechsel auf den 1790VA funktioniert es nicht mehr (die Einwahl auf den Produktiv-LANCOM funktioniert über den 1790VA ebenfalls problemlos). Um das Port-Forwarding auf den Backup-LANCOM zu testen haben wir eine VPN Site2Site IKEv2 Verbindung mit UDP Encapsulation über Port 4501 eingerichtet. Diese Funktioniert ebenfalls. Ein ip-ro trace auf die IP-Adresse des Backup-LANCOM zeigt null Aktivität wenn der Shrew Client sich einwählen will. Scheinbar werden die Shrew Pakete daher schon am 1790VA abgewiesen (aber eben nur bei eingestellten Port 501/4501, die Ports 500/4500 werden an den Produktiv-LANCOM durchgestellt). Die Firewall befindet sich zu Testzwecken noch im Auslieferungszustand, also keine DENY_ALL Regel. Hat jemand eine Idee woran das liegen könnte?
-
kallegrabo
- Beiträge: 5
- Registriert: 07 Apr 2019, 19:58
Re: Vorgeschalteter Router & langsamer Internetseitenaufbau
Ich bin der Sache jetzt etwas näher gekommen, verstehe die Ursache jedoch leider nicht. Das Portforwarding und Shrew ist gem. nachfolgenden Screenshots eingerichtet (so auch auf anderen nicht LANCOM Routern). Eine Lancom Site2Site Verbindung funktioniert wie beschrieben über das Forwarding. Wenn ich mich aber über Shrew auf den Backup Router einwählen will kommen die Pakete nicht beim Backup Router an (DSL Zugangs IP-Adresse 192.168.1.3). Ein Trace auf dem vorgeschalteten 1790VA zeigt folgendes:
Vielen Dank für jede Hilfe,
kallegrabo
Ich verstehe es so, dass die Anfrage vom Shrew Client nicht wie eingetragen auf Port 501 ankommt, sondern auf Port 500. Deshalb wird das Paket auch nicht auf die Ziel IP 192.168.1.3 weitergeleitet sondern auf den Produktiv-Router mit der IP 192.168.1.2. Woran könnte das liegen? Bei drei anderen vorgeschalteten Router Modellen funktioniert es mit Shrew und dem Portforwarding problemlos (Zyxel, Speedport, Kabel Deutschland Router). Ist das ein Shrew Fehler oder habe ich bei der Lancom Konfiguration einen Fehler gemacht?[IP-Router] 2019/04/25 21:46:13,342 Devicetime: 2019/04/25 21:46:13,968
IP-Router Rx (INTERNET, RtgTag: 0):
DstIP: 192.168.1.2, SrcIP: X.X.X.X, Len: 1175, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: UDP (17), DstPort: 500, SrcPort: 52040
Route: LAN-1 Tx (INTRANET):
[IP-Router] 2019/04/25 21:46:13,342 Devicetime: 2019/04/25 21:46:13,975
IP-Router Rx (LAN-1, INTRANET, RtgTag: 0):
DstIP: X.X.X.X, SrcIP: 192.168.1.2, Len: 456, DSCP: CS6 (0x30), ECT: 0, CE: 0
Prot.: UDP (17), DstPort: 52040, SrcPort: 500
Route: WAN Tx (INTERNET)
[IP-Router] 2019/04/25 21:46:18,341 Devicetime: 2019/04/25 21:46:18,969
IP-Router Rx (INTERNET, RtgTag: 0):
DstIP: 192.168.1.2, SrcIP: X.X.X.X, Len: 1175, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: UDP (17), DstPort: 500, SrcPort: 52040
Route: LAN-1 Tx (INTRANET):
[IP-Router] 2019/04/25 21:46:18,341 Devicetime: 2019/04/25 21:46:18,970
IP-Router Rx (LAN-1, INTRANET, RtgTag: 0):
DstIP: X.X.X.X, SrcIP: 192.168.1.2, Len: 56, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: ICMP (1), port unreachable
embedded IP header:
DstIP: 192.168.1.2, SrcIP: X.X.X.X, Len: 1175, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: UDP (17), DstPort: 500, SrcPort: 52040
Route: WAN Tx (INTERNET)
[IP-Router] 2019/04/25 21:46:20,266 Devicetime: 2019/04/25 21:46:20,899
IP-Router Rx (LAN-1, INTRANET, RtgTag: 0):
DstIP: X.X.X.X, SrcIP: 192.168.1.2, Len: 456, DSCP: CS6 (0x30), ECT: 0, CE: 0
Prot.: UDP (17), DstPort: 52040, SrcPort: 500
Route: WAN Tx (INTERNET)
[IP-Router] 2019/04/25 21:46:23,343 Devicetime: 2019/04/25 21:46:23,972
IP-Router Rx (INTERNET, RtgTag: 0):
DstIP: 192.168.1.2, SrcIP: X.X.X.X, Len: 1175, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: UDP (17), DstPort: 500, SrcPort: 52040
Route: LAN-1 Tx (INTRANET):
[IP-Router] 2019/04/25 21:46:23,343 Devicetime: 2019/04/25 21:46:23,973
IP-Router Rx (LAN-1, INTRANET, RtgTag: 0):
DstIP: X.X.X.X, SrcIP: 192.168.1.2, Len: 56, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: ICMP (1), port unreachable
embedded IP header:
DstIP: 192.168.1.2, SrcIP: X.X.X.X, Len: 1175, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: UDP (17), DstPort: 500, SrcPort: 52040
Vielen Dank für jede Hilfe,
kallegrabo
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
-
kallegrabo
- Beiträge: 5
- Registriert: 07 Apr 2019, 19:58
Re: Vorgeschalteter Router & langsamer Internetseitenaufbau
Also mit dem LANCOM Advanced VPN Client klappt es. Scheint also irgendein Problem im Zusammenspiel Shrew - Lancom zu sein.
Re: Vorgeschalteter Router & langsamer Internetseitenaufbau
Shrewsoft wurde seit 2013 nicht mehr aktualisiert, ich hatte da mit Bintec auch Probleme. Verbindung wurde zwar aufgebaut aber es kam nichts durch. Vermutlich liegt es an einem Windows 10 Update.