Administrative Distanz und eingehende VPN-Verbindungen

[CyberT]

Hallo zusammen,

ich habe nun einige Standorte mit mehr als einer vorhandenen WAN-Verbindung für das Backup-Szenario von der Backup-Tabelle auf die Verwendung der Administrativen Distanz umgestellt. Nach Studium des LANCOM Support KB-Artikels Backup-Szenarien unter Verwendung der "Administrativen Distanz" habe ich die Administrative Distanz für die Hauptleitung INTERNET1 auf 5 (vorher 10) und für die Backup-Leitung INTERNET2 auf 10 (vorher 20) geändert. Bei Routern mit LCOS < 10.70 habe ich die zusätzlichen Routen für IDS für beide Leitungen angelegt, ansonsten nicht. Das funktioniert auch alles einwandfrei.

Frage 1: Wenn ich in einem Fall die Hauptleitung zur Backup-Leitung machen möchte und die Backup-Leitung zur Hauptleitung, dann müsste ich doch nur die Administrative Distanz vertauschen (5 wird 10 und 10 wird 5), oder? - Muss ich die Leitungen dann einmalig trennen (oder gar den Router neu starten), damit das direkt aktiv wird?

Frage 2: Es gibt jeweils zahlreiche Site-to-Site-VPN (IKEv2) und Client-to-Site-VPN-Verbindungen (alle IKEv2), die aktuell jeweils nur über die Hauptleitung laufen. Wie kann ich erreichen, dass VPN-Verbindungen auf der WAN-Leitung mit der zu diesem Zeitpunkt niedrigsten Administrativen Distanz eingehen (feste IPs bzw. DynDNS sind jeweils vorhanden)? Nehme ich eine Anpassung an den Clients vor (z.B. beim Eintrag des VPN-Gateway/Tunnel-Endpunkt) oder kann ich das auch zentral am VPN-Gateway konfigurieren?

Vielen Dank und
Gruß.

[backslash]

Hi CyberT

Frage 1: Wenn ich in einem Fall die Hauptleitung zur Backup-Leitung machen möchte und die Backup-Leitung zur Hauptleitung, dann müsste ich doch nur die Administrative Distanz vertauschen (5 wird 10 und 10 wird 5), oder

korrekt

Muss ich die Leitungen dann einmalig trennen (oder gar den Router neu starten), damit das direkt aktiv wird?

das ist eine Änderung der Routing-Tabelle und wird sofort aktiv.

Frage 2: Es gibt jeweils zahlreiche Site-to-Site-VPN (IKEv2) und Client-to-Site-VPN-Verbindungen (alle IKEv2), die aktuell jeweils nur über die Hauptleitung laufen. Wie kann ich erreichen, dass VPN-Verbindungen auf der WAN-Leitung mit der zu diesem Zeitpunkt niedrigsten Administrativen Distanz eingehen (feste IPs bzw. DynDNS sind jeweils vorhanden)? Nehme ich eine Anpassung an den Clients vor (z.B. beim Eintrag des VPN-Gateway/Tunnel-Endpunkt) oder kann ich das auch zentral am VPN-Gateway konfigurieren?

wenn du mit DynDNS arbeitest, reicht es, die Auflösung zu "vertauschen". Dann ändert sich für die Clients nichts. Du mußt den VPN-Tunnel dann aber auch trennen damit der Client zur neuen IP aufbaut (er macht die DNS-Auflösung ja auch nur beim Aufbau des Tunnels)
Wenn du hingegen nur mit IP-Adressen arbeitest, mußt du in jedem Client die Konfig anpassen - und danach den Tunnel neu aufbauen...

Gruß
Backslash

[CyberT]

Vielen Dank, Backslash!

korrekt

Okay, auch wenn vermutlich nicht notwendig, würde ich dann auch eine Anpassung/Vertauschung der DSL-Ports 1 und 2 (DSL-Kanäle 1 und 2 vornehmen), damit es sauberer ist. Oder spricht etwas dagegen?

wenn du mit DynDNS arbeitest, reicht es, die Auflösung zu "vertauschen". Dann ändert sich für die Clients nichts.

Ja, genau so hatte ich das in der Vergangenheit mal gelöst, nur hat an einem Standort die alte Hauptleitung eine feste IP-Adresse, zu der ich aber einen DNS-Eintrag (A-Record) für die Firmen-Domain erstellt habe (remote-cable.domain.de) und diese bei allen LANCOM AVC und LANCOM Routern/Gegenstellen entsprechend eingetragen habe. Die neue Hauptleitung hat derzeit (noch) keine feste IP, daher aktualisiere ich diese via DynDNS (Anbieter spDYN). Ein "Vertauschen" ist daher nicht so ohne weiteres möglich. - Welches Vorgehen würdest Du vor diesem Hintergrund vorschlagen?

Ansonsten könnte ich bei allen VPN-Clients beim Tunnel-Endpunkt die DynDNS-Adresse als erste eintragen und die DNS-Adresse mit der festen IP-Adresse als zweites (beide Einträge mit Komma separiert oder Semikolon?), also "remote-fiber-domain.spdns.de,remote-cable.domain.de". Das ist natürlich etwas mühsam bei zahlreichen VPN-Clients...

Und wie löse ich das bei Site2Site-Verbindungen? Kann ich in der IKEv2 Verbindungs-Liste bei Entferntes Gateway ebenfalls mehrere Ziele (kommasepariert) eintragen?

Nochmals vielen Dank!
Gruß.

[Dr.Einstein]

Frage 1: Wenn ich in einem Fall die Hauptleitung zur Backup-Leitung machen möchte und die Backup-Leitung zur Hauptleitung, dann müsste ich doch nur die Administrative Distanz vertauschen (5 wird 10 und 10 wird 5), oder? - Muss ich die Leitungen dann einmalig trennen (oder gar den Router neu starten), damit das direkt aktiv wird?

Bedenke, dass Lancom unter Verwendung von administrativer Distanzen aktiv aufgebaute Sessions nicht trennt. D.h. ein bestehender IKEv2 Tunnel wechselt NICHT auf eine bessere Leitung, wenn diese plötzlich verfügbar ist. Dies muss leider mittels Aktionstabelle oder manueller Trennung erzwungen werden.

Und wie löse ich das bei Site2Site-Verbindungen? Kann ich in der IKEv2 Verbindungs-Liste bei Entferntes Gateway ebenfalls mehrere Ziele (kommasepariert) eintragen?

Du hast doch 32? oder mittlerweile 64 Zeilen für alternative Gateways. Bedenke auch hierbei, dass der Client entscheidet, welches Gateway er nimmt. Wenn du z.B. linear die Liste durchgehst, und deine Primärverbindung zu diesem Zeitpunkt tot ist, wechselt er nicht von alleine zurück. Für Site-To-Site Verbindungen zwischen Lancom-Routern könntest du dich in diesem Zusammenhang auch optional mit DPS beschäftigen.

[backslash]

Hi CyberT,

Okay, auch wenn vermutlich nicht notwendig, würde ich dann auch eine Anpassung/Vertauschung der DSL-Ports 1 und 2 (DSL-Kanäle 1 und 2 vornehmen), damit es sauberer ist. Oder spricht etwas dagegen?

tu, was du nicht lassen kannst... Dem LANCOM ist es egal, auf welcher DSL-Leitung eine Verbindung zustande kommt...

Ja, genau so hatte ich das in der Vergangenheit mal gelöst, nur hat an einem Standort die alte Hauptleitung eine feste IP-Adresse, zu der ich aber einen DNS-Eintrag (A-Record) für die Firmen-Domain erstellt habe (remote-cable.domain.de) und diese bei allen LANCOM AVC und LANCOM Routern/Gegenstellen entsprechend eingetragen habe. Die neue Hauptleitung hat derzeit (noch) keine feste IP, daher aktualisiere ich diese via DynDNS (Anbieter spDYN). Ein "Vertauschen" ist daher nicht so ohne weiteres möglich. - Welches Vorgehen würdest Du vor diesem Hintergrund vorschlagen?

wenn du die DNS-Auflösung wegen der statischen Adresse nicht vertauschen kannst, dann entpricht das dem Szenario mit desten IP-Adressen - da mußt du dann alle Clients anfassen...

Ansonsten könnte ich bei allen VPN-Clients beim Tunnel-Endpunkt die DynDNS-Adresse als erste eintragen und die DNS-Adresse mit der festen IP-Adresse als zweites (beide Einträge mit Komma separiert oder Semikolon?), also "remote-fiber-domain.spdns.de,remote-cable.domain.de". Das ist natürlich etwas mühsam bei zahlreichen VPN-Clients...

Das hängt davon ab, ob der Client das überhaupt unterstützt (heißt: ich weiß nicht, ob der NCP/LANCOM-Client das kann) ... aber ja: das mußt du dann machen - siehe oben...

Und wie löse ich das bei Site2Site-Verbindungen? Kann ich in der IKEv2 Verbindungs-Liste bei Entferntes Gateway ebenfalls mehrere Ziele (kommasepariert) eintragen?

Dazu sind die "weiteren entfernten Gateways" (LANconfig) bzw. "additional-gateways" (CLI) da. dort kannst du 32 weitere Gateways angeben, die verwendet werden sollen. Undn ein Flag, das die Auswahl bestimmt

• "zuletzt benutztes" (LANconfig) / "last" (CLI): es wird immer zunächst zu dem Gateway aufgebaut, das beim letzten Mal verwendet wurde. Wenn das scheitert wird (linear) das nächste genommen
• "Erstem" (LANconfig) / "first" (CLI): es wird immer zunächst das erste Gateway in der Liste verdenset. Wenn das scheitert wird (linear) das nächste genommen
• "Zufall" (LANconfig) / "random" (CLI): das nächste Gateway wird zufällig aus der Liste gewählt, dabei wird aber darauf geachtet, daß erst alle Gateways bentutzt wurden, bevor ein Gateway erneut verwendet wird

Dabei ist das Gateway, das direkt in der Verbindungs-Liste aufgeführt wird, immer das "Erste". D.h. du kannst insgasamt 33 Gateways für eine VPN-Verbinung definieren

aber wie Dr.Einstein schan angereght hat, solltest du dich ggf. mit DPS (dynamic-path-selection) beschäftigen

Gruß
Backslash