Hallo Forum,
ich möchte meinen Eingangspost gleichmal eine Frage Stellen die mir sehr am Herzen liegt.
Und zwar habe ich folgende Konstellation:
Wir haben unsere Geschäftstelle mit einem Lancom 1721+ ausgerüstet, auf diesem wählen sich 2 Sattelitenstandorte mit jeweils einem weiteren 1721+ ein.
Jetzt hab ich vor 2 Wochen einen weiteren DSL Anschluss bekommen und betreibe in der Geschäftsstelle mit dem 1721+ der auch die 2 anderen VPN "annimmt" noch zusätzlich ein WAN Loadbalancing. Alles funktioniert wie erwartet gut.
Das Problem jedoch ist das ich nicht steuern kann über welchen WAN Anschluss der Router in der Geschäftsstelle die VPN Verbindung zu den Satelliten Standort aufbaut. Je nach Auslastung wählt der Lancom ja jedesmal beim Aufbau die Leitung aus die momentan am wenigsten belastet ist, das möchte ich aber nicht. Ich möchte das die VPNs zu den Satteliten ausschließlich über WAN1 aufgebaut wird, extern kann ich das ja steuern indem ich den Satteliten 1721+ nur die IP als Gegenstelle für WAN1 gebe, initiiert jedoch der 1721+ in der Geschäftsstelle die Verbindung tritt oben genanntes Verhalten auf.
Wie kann ich das also nun steuern? Ich habe schon mit den Firewallregeln experementiert, hatte aber bis jetzt noch keinen Erfolg, ich hab auch auf dem Geschaftsstellen 1721+ in den Gegenstellen die Gegenstelle der entsprechenden VPN Verbindung entfernt so dass ein ausgehendes wählen auf die anderen Geräte gar nicht möglich ist, jedoch kommt dann auch keine VPN Verbindung mehr zustande. Was muss ich also tun? Ich hab schon ein wenig rum gesucht, aber anscheinend ist das ein "besonderes" Problem, obwohl ich das nicht glauben kann.
Vielen Dank schonmal!
Lan2Lan Kopplung und WAN Loadbalancer
Moderator: Lancom-Systems Moderatoren
Hi,
klassischerweise lässt du die Außenstellen die Verbindung aufbauen, also Haltezeit in der Zentrale auf 0 und in den Außenstellen auf 9999, Verbindung bleibt also immer aufgebaut.
Wenn du unbedingt von der Zentrale aus aufbauen möchtest, kannst du zusätzlich zu der auf den Loadbalancer zeigenden Defaultroute noch eine getaggte Defaultroute anlegen, die direkt auf deine WAN1-Gegenstelle zeigt. In der VPN-Verbindungsliste dann noch für die Verbindungen ebenfalls dieses Tag eintragen, und schon wird das VPN immer über diese getaggte Route aufgebaut.
klassischerweise lässt du die Außenstellen die Verbindung aufbauen, also Haltezeit in der Zentrale auf 0 und in den Außenstellen auf 9999, Verbindung bleibt also immer aufgebaut.
Wenn du unbedingt von der Zentrale aus aufbauen möchtest, kannst du zusätzlich zu der auf den Loadbalancer zeigenden Defaultroute noch eine getaggte Defaultroute anlegen, die direkt auf deine WAN1-Gegenstelle zeigt. In der VPN-Verbindungsliste dann noch für die Verbindungen ebenfalls dieses Tag eintragen, und schon wird das VPN immer über diese getaggte Route aufgebaut.
Hi, danke für den Hinweis, ich hab das jetzt mit den Haltezeiten mal so eingestellt, in der Zentrale auf 0 und in dem Sattelit auf 9.999. Scheint zu klappen, hab jetzt schon paar mal getestet indem ich die Verbindungen getrennt und wieder aufbauen lassen habe. Soll das alles gewesen sein? Dazu hab ich mir seit Montag fast die Zähne ausgebissen 
. Danke sehr.
Haltezeit 0 bedeutet wohl soviel wie nicht wählen?
Deine 2. Idee ist genau das was ich nicht will. Ich will eben das nur die Aussenstellen sich einwählen und nicht die Zentrale die Aussenstellen.
Wie gesagt, danke dir. Scheint´s schon gewesen zu sein!
. Danke sehr.Haltezeit 0 bedeutet wohl soviel wie nicht wählen?
Deine 2. Idee ist genau das was ich nicht will. Ich will eben das nur die Aussenstellen sich einwählen und nicht die Zentrale die Aussenstellen.
Wie gesagt, danke dir. Scheint´s schon gewesen zu sein!
Hi kajakaja
1. die Aussenstelle benutzt dynamic VPN und du löscht in der Zentrale die Adresse des "remote Gateway"
2. Du erstellst eine in der Zentrale Firewallregel, die Traffic an die Filiale blockt, wenn die Verbindung nicht aufgebaut ist:
Gruß
Backslash
nein, Haltezeit 0 bedeutet nur, daß nicht abgebaut wird. Wenn die Zentrale nicht aktiv aufbauen soll hast du zwei Möglichkeiten.Haltezeit 0 bedeutet wohl soviel wie nicht wählen?
1. die Aussenstelle benutzt dynamic VPN und du löscht in der Zentrale die Adresse des "remote Gateway"
2. Du erstellst eine in der Zentrale Firewallregel, die Traffic an die Filiale blockt, wenn die Verbindung nicht aufgebaut ist:
Code: Alles auswählen
Aktion: [x] wenn Verbindung nicht besteht
Zurückweisen
Quelle: alle Stationen im lokalen Netz
Ziel: VPN-Gegenstelle, die nicht aufgebaut werden soll
Dienste: alle DiensteBackslash
Hallo backslash,
vielen Dank für die weiteren Hinweise. Ich hab eine Firewallregel anhand deiner Vorgabe eingerichtet und es scheint zu funktionieren (habs donnerstag eingerichtet).
Die Lösung mit dem entfernen der Gegenstellen (also ddns namen oder IPS) hat nicht funktioniert. Wenn im Hauptstellenrouter die Gegenstelle leer ist werden die VPNs überhaupt nicht mehr aufgebaut (oder ich bin zu ungeduldig).
Wie dem auch sei. Vielen Dank, hat alles geklappt.
vielen Dank für die weiteren Hinweise. Ich hab eine Firewallregel anhand deiner Vorgabe eingerichtet und es scheint zu funktionieren (habs donnerstag eingerichtet).
Die Lösung mit dem entfernen der Gegenstellen (also ddns namen oder IPS) hat nicht funktioniert. Wenn im Hauptstellenrouter die Gegenstelle leer ist werden die VPNs überhaupt nicht mehr aufgebaut (oder ich bin zu ungeduldig).
Wie dem auch sei. Vielen Dank, hat alles geklappt.