Anzahl Einträge in Routing-Tabelle beschränkt?

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

Antworten
Benutzeravatar
stefanbunzel
Beiträge: 1405
Registriert: 03 Feb 2006, 13:30
Wohnort: endlich VDSL-250

Anzahl Einträge in Routing-Tabelle beschränkt?

Beitrag von stefanbunzel »

Hallo,
nach vielen Versuchen habe ich endlich erfolgreich mehrer eigenständige große Netzwerke per VPN verbunden. Aber ich scheitere bei einem Netz an einem merkwürdigen Fehler.

Zum Aufbau:
1. Netz mit L-1722 und 9 Subnetzen dahinter
2. Netz mit R-800+ und 5 Subnetzen dahinter

Hier nur die Subnetze hinter dem VPN-Gateway, welche jeweils verbunden werden sollen. Auf beiden Geräten ist LCOS 7.80 installiert. VPN-Tunnel steht und es fließen alle Daten ohne Fehler.

Zur Konfig: Die Subnetze vom 2. Netz sind in der Routing-Tabelle des L-1722 und in einer Firewall-Regel im R-800+ angelegt - und umgekehrt.

Jetzt mein Problem: Im Netz 1 gibt es jetzt neu ein 10. Subnetz, welches ich per VPN erreichen will. Also habe ich es genau so eingepflegt. Aber der R-800+ bringt mir eine Fehlermeldung (Config Event-Log: 1.2.8.10.2.4.11 Info2: 1) und weigert sich, einen 10. Routing-Eintrag anzulegen. Ich dachte erst, es wäre ein Konfig-Fehler mit IP-Adress-Konflikt oder so. Aber da ist alles okay. Habe auch mit anderen Subnetzen usw. probiert - es scheint ganz einfach am 10. Eintrag für diese VPN-Gegenstelle zu liegen.

Ist das korrekt, dass im R-800+ nur 9 Routing-Einträge pro VPN-Gegenstelle zugelassen sind? Oder ist das ein LCMS-Problem? Denn im Webinterface kann ich problemlos den weiteren Routing-Eintrag vornehmen - ohne Fehlermeldung. Danach ist aber ein Einspielen der Konfig mit LANconfig nicht mehr möglich.

Ich habe exakt die gleiche Konfig zwischen 2 L-1722, bei denen es nicht dieses Problem gibt.

Stefan
GS-2326, 1783VAW, R883VAW, 1781A, 831A, 1781EF+, L-452agn, L-32x, L-54(ag/dual), 1711(+), 1511, 821(+), 3850, 3050, IL-11/2, VP-100 ..., Optionen: CF, PS, WLC
LCS WLAN
Nach oben
backslash
Moderator
Moderator
Beiträge: 7129
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Beitrag von backslash »

Hi stefanbunzel,

die Firewall weist eine Regel ab, wenn aus dieser mehr als 16 * VPN-Lizenz VPN-Regeln entstehen würden. Da das R800+ nur eine VPN-3 Lizenz hat, dürfen aus einer Firewallregel nicht mehr als 48 VPN-Regeln entstehen. Genau diese Grenze wird in deinem Szenario ab dem 10 Netz überschritten: 5 Netze hinter R-800 und 10 hinter dem 1722 macht zusammen 50 VPN-Regeln...

Das Ganze ist eine Sicherheitsmaßnahme, weil es oft genug Leute gibt, die entweder Adressbereiche (von.. bis.., die in einzelne Netze aufgespalten werden) oder auch Ports in VPN-Regeln verpacken wollen und sich dann wundern, daß entweder das Gerät aus Speichermangel bootet oder aber die VPN-Verbindung nicht zustandekommt, weil die Gegenseite damit nicht umgehen kann

Spalte die Regeln einfach passend auf, z.B. in je eine Regel für jedes der 5 Netze...

Gruß
Backslash
Nach oben
Benutzeravatar
stefanbunzel
Beiträge: 1405
Registriert: 03 Feb 2006, 13:30
Wohnort: endlich VDSL-250

Beitrag von stefanbunzel »

Hallo Backslash,
vielen Dank für die genaue und ausführliche Antwort. Wäre schön, wenn LANconfig das als Fehlermeldung ausgeben würde. Hätte mir ein par Stunden Testen und Probieren erspart... :)

Jetzt hat das Einspielen der Config mit 2 Firewall-Regeln auch geklappt.

Vielen Dank
Stefan
GS-2326, 1783VAW, R883VAW, 1781A, 831A, 1781EF+, L-452agn, L-32x, L-54(ag/dual), 1711(+), 1511, 821(+), 3850, 3050, IL-11/2, VP-100 ..., Optionen: CF, PS, WLC
LCS WLAN
Nach oben
Antworten

Zurück zu „Fragen zum Thema VPN“