Hallo allerseits,
vorausgeschickt sei, dass ich diese Aufgabenstellung geerbt habe und trotz aller Bemühungen, lesen und testen, tue ich mich immer noch schwer mit der LCOS Logik und Terminologie.
Aktuell haben wir an zwei Standorten folgende Konfiguration:
WERK1:
SUBNET: 192.168.1.0
statische Route zu WERK2
WAN: T_DSL Business (SDSL) mit fester IP
LANCOM 1900EF
VPN Tunnel mit IPSEC ike v1
WERK2:
SUBNET: 192.168.2.0
statische Route zu WERK1
WAN: T_DSL Business (SDSL) mit fester IP
LANCOM 1900EF
VPN Tunnel mit IPSEC ike v1
Diese Konfiguration wird ersetzt durch die zwangsweise Umstellung auf DeutschlandLAN Connect IP.
Im WERK2 wurde bereits neuer ein Anschluss mit einem Adtran Netvanta 4660 geschaltet.
Von der Telekom haben wir die Daten zur Adresszuweisung bekommen:
Inetnum: 9x.xxx.xxx.96/29
Ihr (?) StandardGateway:
Interface IP: 9x.xxx.xxx.97/29
Interface IP Erstanbindung: 9x.xxx.xxx.97/29
Sowie die Daten von 3 DNS-Servern.
Mittel LANCOM Setup Assistenten habe ich ein neue, zweite Internetverbindung zu der bestehenden WAN1 Verbindung am WAN2 Port des 1900EF eingerichtet.
Die Verbindung wird auch hergestellt obwohl ich schon beim Setup-Assistenten so meine Schwierigkeiten hatte:
Als Verbindungsanbieter habe ich die Deutsche Telekom ausgewählt, (obwohl sie ja Telekom Deutschland GmbH heißt )
Als "passende" Anschlüsse standen Business Access IP und Company Connect zur Verfügung, ich habe beide durchgeklickt und Sie unterscheiden sich nicht wesentlich in den folgenden Abfragen. Schlussendlich habe ich Company Connect gewählt, die Bandbreite 2.5 MBit/s Kupfer SHDSL ausgewählt, die automatische Erkennung der Verbindungsgeschwindigkeit gewählt und als IP Adresse
9.x.xxx.xxx.97 mit der vorgeschlagenen Netzmaske 255.255.255.248 angegeben. (Hier war ich mir schon unsicher, da ich die gleiche Adresse beim Standardgateway eingetragen habe.)
Wie gesagt Standardgateway 9.x.xxx.xxx.97 und zwei DNS Server.
Die Frage ob das DMZ-Netz vorkonfiguriert werden soll habe ich verneint und auch keine Verbindungsüberwachung ausgewählt da ich nicht wirklich weiß, ob ich damit unsere bestehende Verbindung per T_DSL Business störe und so unsere Verbindung zw. beiden Werken kappe.
Ich habe auch die bisherige Defaultroute so belassen, kann man ja noch manuell anpassen.
Schlußendlich wurde die WAN2 Verbindung erfolgreich aufgebaut. Durch temporäres anpassen der Dafaultroute konnte ich auch in Internet und kann auch von außen die IP 9.x.xxx.xxx.97 anpingen.
Jetzt weiß ich nicht mehr weiter! Was muss ich machen um den VPN Tunnel zu migrieren, also von der WAN1 Verbindung zur neuen WAN2 Verbindung. Bisher habe ich nur IP Adressen für das jeweilige VPN Gateway verwendet.
Die alte WAN1 ( T_DSL Business) Verbindung wird in zwei Wochen abgeschaltet, eventuell kann man schon jetzt eine neue, parallele VPN-Verbindung erzeugen. Mehr als eine Ping auf 9.x.xxx.xxx.97 bekomme ich derzeit nicht hin, obwohl ich in der 1900EF Konfiguration auch den Zugriff über WAN HTTPS zugelassen habe.
Bestimmt hat von den Lancom Profis jemand Hinweise wie ich diese Fragestellung lösen kann bzw. wo ich etwas erhellendes nachlesen kann.
Gruss AJMind
[gelöst] LANCOM 1900EF - Wechsel von T-DSL Business zu DeutschlandLAN connect IP - VPN Site2site
Moderator: Lancom-Systems Moderatoren
[gelöst] LANCOM 1900EF - Wechsel von T-DSL Business zu DeutschlandLAN connect IP - VPN Site2site
Zuletzt geändert von ajmind am 08 Apr 2019, 15:29, insgesamt 1-mal geändert.
-
- Beiträge: 967
- Registriert: 20 Nov 2013, 09:17
Re: LANCOM 1900EF - Wechsel von T-DSL Business zu DeutschlandLAN connect IP - VPN Site2site
Hallo!
Die beiden installierten IKEv1 - Instanzen lassen darauf schließen:
Bislang baut Ihr Euer VPN selbst.
Nun muß wohl ein Telekom-Trieftollensalesguy bei Euch aufgeschlagen sein.
Deutschland: Steht für "Totalschaden".
Kann aber auch bedeuten: "Nur innerhalb Deutschlands bieten wir das Produkt an, das läßt auf MPLS oder Schlimmes schließen. Auf jeden Fall ist es teuer und inkompatibel".
LAN:
Weil es ja offensichtlich ist, daß eine Weitverkehrsanbindung kein "Local Area Network" ist, kann nur gemeint sein: "Ihr könnt Ethernet-Frames darüber schicken. Also gern SNA/DLC, Novell IPX, IPv6 oder gern ein eigenes Protokoll".
IP:
Und das ist jetzt die 'contradictio in adiecto': IP ist Layer 3, LAN ist Layer 2.
Vielleicht klärt uns einer der hier mitlesenden Telekom-Leute auf, was Du nun hast.
Bis dahin gehe ich von drei Möglichkeiten aus:
a) Die Telekom realisiert das VPN zwischen den Standorten selbst, über eine Art "wirrtuelles LAN-Kabel", das aber nur IP mag.
Das haben einige Kunden von uns im Einsatz.
Der wahre Jakob ist es meistens nicht, denn es werden natürlich auch alle Broadcasts über das "LAN" geschunkelt.
b) Die Telekom routet zwischen Euren Standorten. Dann ist eine größere Konfigurationsänderung fällig.
c) Ihr habt einen stinknormalen Internetanschluß mit einem /29er Netz, sprich, mit 8 "festen" öffentlichen IPv4-Adressen, von denen Ihr 5 frei verwenden könnt. Im letzteren Fall solltet Ihr die Telekom wegen irreführender Werbung verklagen. Wäre etwas für Nikolaus Steinhöfel.
Im Falle c)
hast Du es ganz einfach: Verwende den "Wizard", sage ihm "unbekannter Provider" und wähle die EINFACHSTE Variante, nämlich "IP over Ethernet" resp "IPoE". Für den Router selbst magst Du die erste verfügbare Adresse nehmen, ansonsten trägst Du einfach die Daten der Telekom ein.
Als Netzmaske nimmst Du die 255.255.255.248.
Irgendwann wirst Du gefragt, ob die "Default-Route" ersetzt werden soll, da sagst Du NEIN, sonst ist Dein Zweigwerk abgehängt.
Bevor wir jetzt den Rest erledigen (kinderleicht eigentlich), sollten wir vllt. klären:
Sind die bestehenden Router mit dem zukünftigen VPN - Traffic ggfs. überfordert?
WAS für Pakete werden zwischen den Niederlassungen ausgetauscht?
Etwa VoIP?
Hat die Telekom Euch auch noch eine tolle Telephonielösung angeboten?
Welche Dienste möchtet Ihr extern anbieten?
Vorher ist eine seriöse Empfehlung schwierig -- außer natürlich für einen Telekom-Verkäufer.
Die beiden installierten IKEv1 - Instanzen lassen darauf schließen:
Bislang baut Ihr Euer VPN selbst.
Nun muß wohl ein Telekom-Trieftollensalesguy bei Euch aufgeschlagen sein.
Deutschland: Steht für "Totalschaden".
Kann aber auch bedeuten: "Nur innerhalb Deutschlands bieten wir das Produkt an, das läßt auf MPLS oder Schlimmes schließen. Auf jeden Fall ist es teuer und inkompatibel".
LAN:
Weil es ja offensichtlich ist, daß eine Weitverkehrsanbindung kein "Local Area Network" ist, kann nur gemeint sein: "Ihr könnt Ethernet-Frames darüber schicken. Also gern SNA/DLC, Novell IPX, IPv6 oder gern ein eigenes Protokoll".
IP:
Und das ist jetzt die 'contradictio in adiecto': IP ist Layer 3, LAN ist Layer 2.
Vielleicht klärt uns einer der hier mitlesenden Telekom-Leute auf, was Du nun hast.
Bis dahin gehe ich von drei Möglichkeiten aus:
a) Die Telekom realisiert das VPN zwischen den Standorten selbst, über eine Art "wirrtuelles LAN-Kabel", das aber nur IP mag.
Das haben einige Kunden von uns im Einsatz.
Der wahre Jakob ist es meistens nicht, denn es werden natürlich auch alle Broadcasts über das "LAN" geschunkelt.
b) Die Telekom routet zwischen Euren Standorten. Dann ist eine größere Konfigurationsänderung fällig.
c) Ihr habt einen stinknormalen Internetanschluß mit einem /29er Netz, sprich, mit 8 "festen" öffentlichen IPv4-Adressen, von denen Ihr 5 frei verwenden könnt. Im letzteren Fall solltet Ihr die Telekom wegen irreführender Werbung verklagen. Wäre etwas für Nikolaus Steinhöfel.
Im Falle c)
hast Du es ganz einfach: Verwende den "Wizard", sage ihm "unbekannter Provider" und wähle die EINFACHSTE Variante, nämlich "IP over Ethernet" resp "IPoE". Für den Router selbst magst Du die erste verfügbare Adresse nehmen, ansonsten trägst Du einfach die Daten der Telekom ein.
Als Netzmaske nimmst Du die 255.255.255.248.
Irgendwann wirst Du gefragt, ob die "Default-Route" ersetzt werden soll, da sagst Du NEIN, sonst ist Dein Zweigwerk abgehängt.
Bevor wir jetzt den Rest erledigen (kinderleicht eigentlich), sollten wir vllt. klären:
Sind die bestehenden Router mit dem zukünftigen VPN - Traffic ggfs. überfordert?
WAS für Pakete werden zwischen den Niederlassungen ausgetauscht?
Etwa VoIP?
Hat die Telekom Euch auch noch eine tolle Telephonielösung angeboten?
Welche Dienste möchtet Ihr extern anbieten?
Vorher ist eine seriöse Empfehlung schwierig -- außer natürlich für einen Telekom-Verkäufer.
Re: LANCOM 1900EF - Wechsel von T-DSL Business zu DeutschlandLAN connect IP - VPN Site2site
Hallo liebe(s)r Koppelfeld,
ich liebe deine Texte! Auch wenn ich sie nicht immer so ganz verstehe: Ich lese hier schon seit Jahren hin und wieder mit...
Die beiden 1900EF wurden, aus meiner Sicht gut begründeter Empfehlung in diesem Forum beschafft und haben jetzt die beiden Bintec ersetzt.
Wenn die neuen Leitungen stehen und wie gewünscht funktionieren, sollen natürlich auf IKEv2 umgestellt werden. Das kann aber auch jetzt schon geschehen, wenn ich wüsste wie ich diesen
Aber halt, ein, zwei Mitarbeiter sollen sich von zuhause aus per Shrewsoft VPN Client einwählen können. Dass funktioniert auf dem bisherigen T-DSL Anschluss alles wunderbar. (Alles nur RDP)
VoIP wird über einen separaten VDSL Anschluß je Werk abgewickelt. Du ahnst es schon, Telekom Deutschland mit einem R884VA und einem R883VAW.
Testweise läuft über die beiden Telekom VoIP Router bereits ein IKEv2 Site2Site Tunnel. Wenn ich am Wochenende das statische Routing der beiden Netze umleite, klappt alles so wie es soll, die VoIP Router dienen später lediglich als Notlösung / Backupleitung.
ich liebe deine Texte! Auch wenn ich sie nicht immer so ganz verstehe: Ich lese hier schon seit Jahren hin und wieder mit...
Deine Vermutung ist richtig, wir haben bisher zwei simple T-DSL Business mit 2Mbit synchron. IKEv1 deshalb, weil wir daran schon 10 Jahre Bintec VPN ACCESS 25 Router betreiben, und diese können noch kein IKEv2. (Simpler site2Site Tunnel" zum routen der beiden lokalen Netze auf die jeweils andere Seite).Bislang baut Ihr Euer VPN selbst.
Die beiden 1900EF wurden, aus meiner Sicht gut begründeter Empfehlung in diesem Forum beschafft und haben jetzt die beiden Bintec ersetzt.
Wenn die neuen Leitungen stehen und wie gewünscht funktionieren, sollen natürlich auf IKEv2 umgestellt werden. Das kann aber auch jetzt schon geschehen, wenn ich wüsste wie ich diesen
Anschluss sauber zum laufen bekomme. Es sollen bis auf weiteres keine Dienste an diesem Anschluss laufen. Die Bandbreite reicht für unsere Zwecke vollkommen aus. (Es werden lediglich E-Mails und ISAM DB Tickets ausgetauscht, ab und an mal RDP Sessions zwischen beiden Werken, das war es.)c) Ihr habt einen stinknormalen Internetanschluss mit einem /29er Netz, sprich, mit 8 "festen" öffentlichen IPv4-Adressen, von denen Ihr 5 frei verwenden könnt.
Aber halt, ein, zwei Mitarbeiter sollen sich von zuhause aus per Shrewsoft VPN Client einwählen können. Dass funktioniert auf dem bisherigen T-DSL Anschluss alles wunderbar. (Alles nur RDP)
VoIP wird über einen separaten VDSL Anschluß je Werk abgewickelt. Du ahnst es schon, Telekom Deutschland mit einem R884VA und einem R883VAW.
Testweise läuft über die beiden Telekom VoIP Router bereits ein IKEv2 Site2Site Tunnel. Wenn ich am Wochenende das statische Routing der beiden Netze umleite, klappt alles so wie es soll, die VoIP Router dienen später lediglich als Notlösung / Backupleitung.
-
- Beiträge: 967
- Registriert: 20 Nov 2013, 09:17
Re: LANCOM 1900EF - Wechsel von T-DSL Business zu DeutschlandLAN connect IP - VPN Site2site
Hallo,
dann ist es doch recht übersichtlich:
IPOE anlegen mit
- der *.98 als Router-IP mit Netzmaske 255.255.255.248
- der *.97 als Gateway und
- zwei der angegebenen Nameserver.
Dann testweise kurz die default-Route auf den neuen Internetzugang legen - schon sollte es funtionieren.
dann ist es doch recht übersichtlich:
IPOE anlegen mit
- der *.98 als Router-IP mit Netzmaske 255.255.255.248
- der *.97 als Gateway und
- zwei der angegebenen Nameserver.
Dann testweise kurz die default-Route auf den neuen Internetzugang legen - schon sollte es funtionieren.
Re: LANCOM 1900EF - Wechsel von T-DSL Business zu DeutschlandLAN connect IP - VPN Site2site
- IPOE wie beschreiben angelegt.
- Default Route kopiert und mit Tag 10 versehen
Beide WAN Verbindungen stehen und mein bisheriger IKEv1 Tunnel bleibt bestehen.
Was muss ich beachten, wenn ich jetzt einen neuen IKEv2 Tunnel über die getaggte Schnittstelle zu dem gleichen Ziel mit gleicher Ziel IP Adresse wie der bestehende IKEv1 Tunnel aufbauen möchte?
Wenn es klappt würde ich den bisherigen Tunnel natürlich nicht mehr verwenden, da ja dort auch nach der Umstellung die gleiche Situation besteht wie an dem hiesigen Standort.
- Default Route kopiert und mit Tag 10 versehen
Beide WAN Verbindungen stehen und mein bisheriger IKEv1 Tunnel bleibt bestehen.
Was muss ich beachten, wenn ich jetzt einen neuen IKEv2 Tunnel über die getaggte Schnittstelle zu dem gleichen Ziel mit gleicher Ziel IP Adresse wie der bestehende IKEv1 Tunnel aufbauen möchte?
Wenn es klappt würde ich den bisherigen Tunnel natürlich nicht mehr verwenden, da ja dort auch nach der Umstellung die gleiche Situation besteht wie an dem hiesigen Standort.
-
- Beiträge: 1054
- Registriert: 19 Aug 2014, 22:41
Re: LANCOM 1900EF - Wechsel von T-DSL Business zu DeutschlandLAN connect IP - VPN Site2site
Entsprechende VPN-Anleitung unter:
fragen-zum-thema-vpn-f14/vpn-via-androi ... tml#p97795
"abarbeiten".
Re: [gelöst] LANCOM 1900EF - Wechsel von T-DSL Business zu DeutschlandLAN connect IP - VPN Site2site
Update 08.04.2019:
Der Link zu einer ganzen Batterie von weiteren Links war für mich nicht zielführend, auch wen Sie inhaltlich wohl richtig sind.
Meine Problemstelle ist ja das Vorhandensein von zwei WAN-Verbindungen. Durch das Forum und probieren mit "Routing Tags" bin ich mittlerweile dahinter gestiegen, dass ich meinen WAN-Verbindungen, VPN-Verbindungen, Routen bzw. Routern und gaaaanz wichtig IP Netzen entsprechende "Tags" mitgeben kann und muss!
Wie im Anfangsposting beschrieben, soll ja der Netzwerkverkehr zwischen statisch konfigurierten Netzwerken mittels statisch konfigurierten Routen abgewickelt werden. In meinem Setup gab es bisher nur eine WAN-Verbindung und einen VPN-Tunnel, ein "Tagging" war daher überflüssig.
Das ist jetzt anders. Mit den Routings Tags "10" Klappt die Verbindung über die entsprechende WAN-Verbindung zum entsprechenden PEER. Eine Sache fehlte allerdings noch, das "IP-Netzwerk" benötigt ebenfalls das passende Schnittstellen Tag "10":
so habe ich meine Aufgabenstellung gelöst.
Mein Dank gilt insbesondere
Gruß AJmind
Der Link zu einer ganzen Batterie von weiteren Links war für mich nicht zielführend, auch wen Sie inhaltlich wohl richtig sind.
Meine Problemstelle ist ja das Vorhandensein von zwei WAN-Verbindungen. Durch das Forum und probieren mit "Routing Tags" bin ich mittlerweile dahinter gestiegen, dass ich meinen WAN-Verbindungen, VPN-Verbindungen, Routen bzw. Routern und gaaaanz wichtig IP Netzen entsprechende "Tags" mitgeben kann und muss!
Wie im Anfangsposting beschrieben, soll ja der Netzwerkverkehr zwischen statisch konfigurierten Netzwerken mittels statisch konfigurierten Routen abgewickelt werden. In meinem Setup gab es bisher nur eine WAN-Verbindung und einen VPN-Tunnel, ein "Tagging" war daher überflüssig.
Code: Alles auswählen
IP-Address IP-Netmask Rtg-tag Peer-or-IP Distance Masquerade Active Comment
===========================================-----------------------------------------------------------------------------------------------------------------
192.168.2.0 255.255.255.0 0 BINTEC 0 No Semi
192.168.2.0 255.255.255.0 10 K21900EF 0 No Yes
255.255.255.255 0.0.0.0 10 TKOM_C_IP 0 on Yes Internetverbindung via AdTran 4660
255.255.255.255 0.0.0.0 0 INTERNET 0 on Yes Diese Route wurde durch den Internet-Assistenten erzeugt
Code: Alles auswählen
Network-name INFO: INTRANET
IP-Address VALUE: 192.168.1.254
IP-Netmask VALUE: 255.255.255.0
VLAN-ID VALUE: 0
Interface VALUE: LAN-1
Src-check VALUE: loose
Type VALUE: Intranet
Rtg-tag VALUE: 10
Mein Dank gilt insbesondere
der mich auf die richtige "Fährte" gebracht hat.Koppelfeld hat geschrieben:
Gruß AJmind