Hallo,
ich habe folgendes Problem:
zentraler EDV-Standort mit Terminalservern soll per VPN mit mehreren Aussenstellen verbunden werden.
Die Aussenstellen haben verschiedene Lancom-Router (1621-1821) und unterschiedliche DSL-Anschlüsse.
Die Zentrale mit 1721 FW 6.32 hatte bisher 1 SDSL-Anschluss (T-DSL Business 2 MBit) mit fester IP und darauf die VPN-Verbindungen gelegt.
Neu hinzugekommen ist nun eine normale 6 MBit ADSL-Strecke am internen ADSL-Modem, welches für Internettraffic zuständig ist (HTTP, SMTP etc. werden über eine Firewall-Regel mit Routing-Tag versehen, in der Routing-Tabelle wird das dann auf die ADSL-Strecke geroutet).
Das klappt soweit auch.
Nun wurde noch eine 2. SDSL-Leitung (T-DSL Business 2 Mbit) mit fester IP geschaltet, da die bisher eingesetzten 2 MBit nicht mehr ausreichend sind um ausreichend schnell von den Aussenstellen auf die Zentrale zuzugreifen. Schneller als 2 Mbit ist leider nicht möglich am zentralen Standort, da 2 x 2MBit statt ne 4 oder 6 MBit Leitung.
Ich dachte mir nun, das ist ja kein Problem, ein LAN-Port als DSL2-Schnittstelle geschaltet, mit dem Internet-Assistent einen weiteren Internetzugang eingerichtet und einige der Aussenstellen so konfigurieren, dass diese die VPN-Verbindung über die neue 2. Leitung (mit neuer 2. fester IP) aufbauen.
Allerdings klappt das nicht richtig.
Routing-Regeln sind:
255.255.255.255 mit Subnetz 0.0.0.0 und RoutingTag 0 geht zu SDSL1 mit festerIP1
255.255.255.255 mit Subnetz 0.0.0.0 und RoutingTag 1 geht zu ADSL 6 Mbit
weitere Routingregeln habe ich keine.
Wenn ich versuche, die SDSL2 Strecke manuell zu verbinden (Telnet auf den Router, dann "do o/m/c SDSL2) versucht er die Verbindung aufzbauen (im Lanmonitor "Protokollverhandlung"), bringt dann aber die Fehlermeldung "DSL Kanal 2: Kein NCP verfügbar[0x80F0]"
Leider finde ich zu dieser Meldung nichts passendes und weiss mir im Moment nicht weiter zu helfen. Vielleicht könnt ihr mir ja einen Tip geben.
Optimal wäre auch die Möglichkeit (das hatte ich mir als Extrawurst noch überlegt, falls es geht), dass ich den Aussenstellen 2 mögliche VPN-Gateway nenne, falls eine SDSL-LEitung mal ausfallen sollte....
Bin für jede Hilfe dankbar,
Grüße
Dirk
Lancom 1721 mit 2xSDSL und VPN-Verbindungen zu Aussenstellen
Moderator: Lancom-Systems Moderatoren
Hi ianeo
Du hast zwei Möglichkeiten:
1. du legst eine z.b. mit 2 getaggte Defaultroute auf SDSL2 oder
2. du definierst einen Loadbalancer aus SDSL2 und SDSL2 und weist diesen der mit 0 getaggten Route zu.
Gruß
Backslash
die Meldung kommt, weil du keine Route auf SDSL2 liegen hastz. du schreibst ja selbst, daß die mit 0 getaggte Route auf SDSL1 und die mit 1 auf ADSL liegt. Und wo ist SDSL2?Wenn ich versuche, die SDSL2 Strecke manuell zu verbinden (Telnet auf den Router, dann "do o/m/c SDSL2) versucht er die Verbindung aufzbauen (im Lanmonitor "Protokollverhandlung"), bringt dann aber die Fehlermeldung "DSL Kanal 2: Kein NCP verfügbar[0x80F0]"
Du hast zwei Möglichkeiten:
1. du legst eine z.b. mit 2 getaggte Defaultroute auf SDSL2 oder
2. du definierst einen Loadbalancer aus SDSL2 und SDSL2 und weist diesen der mit 0 getaggten Route zu.
Gruß
Backslash
Hallo backslash,
habe jetzt eine Route mit Tag 2 eingerichtet auf SDSL 2 (allerdings keine Firewall-Regel angelegt für Tag2 zu vergeben).
Jetzt versucht er auch zu Verbinden, bringt aber genau so als ob ich die Verbindung manuell auslöse im Lanmonitor die Meldung "Abgehender Ruf zu SDSL2" - "Protokollverhandlung mit SDSL2" - "Kein NCP verfügbar"...
Woran könnte es noch liegen ?
Hätte dazu auch noch ne Frage:
Es ist so dass ich 1 Terminalserver habe mit IP-Adresse 192.168.100.8, Subetz 255.255.255.0 und Gateway 192.168.100.250 (Lancom-Router).
Die Aussenstellen (ca. 20, mit IP-Bereichen wie 192.168.101.x, 192.168.102.x etc.)) sind per VPN momentan auf die externe IP des SDSL1 als VPN-Gateway geschaltet.
Wenn ich einer Aussenstelle als Gateway jetzt die fest IP von SDSL 2 als VPN-Gateway eintrage, funktioniert das dann dennoch ?
Klappen dann die Zugriff auf den Terminalserver, wird das alles richtig geroutet ?
Naja, aber Hauptproblem ist ja noch "kein NCP verfügbar"... das wäre zuerst zu lösen, da wäre ich für einen weiteren Tip dankbar....
Grüße
Dirk
habe jetzt eine Route mit Tag 2 eingerichtet auf SDSL 2 (allerdings keine Firewall-Regel angelegt für Tag2 zu vergeben).
Jetzt versucht er auch zu Verbinden, bringt aber genau so als ob ich die Verbindung manuell auslöse im Lanmonitor die Meldung "Abgehender Ruf zu SDSL2" - "Protokollverhandlung mit SDSL2" - "Kein NCP verfügbar"...
Woran könnte es noch liegen ?
Hätte dazu auch noch ne Frage:
Es ist so dass ich 1 Terminalserver habe mit IP-Adresse 192.168.100.8, Subetz 255.255.255.0 und Gateway 192.168.100.250 (Lancom-Router).
Die Aussenstellen (ca. 20, mit IP-Bereichen wie 192.168.101.x, 192.168.102.x etc.)) sind per VPN momentan auf die externe IP des SDSL1 als VPN-Gateway geschaltet.
Wenn ich einer Aussenstelle als Gateway jetzt die fest IP von SDSL 2 als VPN-Gateway eintrage, funktioniert das dann dennoch ?
Klappen dann die Zugriff auf den Terminalserver, wird das alles richtig geroutet ?
Naja, aber Hauptproblem ist ja noch "kein NCP verfügbar"... das wäre zuerst zu lösen, da wäre ich für einen weiteren Tip dankbar....
Grüße
Dirk
Hi ianeo
Gruß
Backslash
hast du auch im zugehörigen PPP-Eintrag IP-Routing erlaubt (Kommunikation -> Protokolle -> PPP-Liste -> SDSL2 -> IP-Routing aktivieren)?Jetzt versucht er auch zu Verbinden, bringt aber genau so als ob ich die Verbindung manuell auslöse im Lanmonitor die Meldung "Abgehender Ruf zu SDSL2" - "Protokollverhandlung mit SDSL2" - "Kein NCP verfügbar"...
Woran könnte es noch liegen ?
ja, wenn du in der Zentrale für die Gegenstelle auch das Routing-Tag 2 setzt (VPN -> Allgemein -> Verbindungsliste -> Gegenstelle -> Routing-Tag).Wenn ich einer Aussenstelle als Gateway jetzt die fest IP von SDSL 2 als VPN-Gateway eintrage, funktioniert das dann dennoch ?
Gruß
Backslash
Hallo backslash,
vielen Dank für deine Hilfe, das wars, es klappt !
Jetzt habe ich noch zwei andere Ideen, die man vielleicht umsetzen kann:
1. Idee (falls eine SDSL-Strecke ausfällt):
Kann ich eine "Ausfallsicherheit" hinbekommen, indem ich der Aussenstelle irgendwie beibringe, dass sie falls SDSL1 nicht erreichbar ist, die VPN-Verbindung über SDSL2 versucht ?
Und was tut dann der Router in der Zentrale (der hat ja dann das Routing-Tag auf SDSL1, welche nicht mehr erreichbar wäre) ?
2. Idee (falls ein Router ausfällt):
Könnte ich einen möglichen Hardware-Ausfall des Routers irgendwie mit einem 2. Router abfangen (ein weiterer 1721 aufzustellen wäre kein Problem) ?
-W ie kann ich die SDSL-Modems an beiden Routern verfügbar machen OHNE Kabel umzustöpseln ? (Geht das überhaupt ?)
- Kann ich mithilfe von VRRP die Router irgendwie zu "einem" Router machen ? Habe versucht mir das anzulesen, steige aber noch nicht ganz durch in der Praxis)
Ist nicht dringend, aber wenn da jemand einen guten Vorschlag hat würde ich mich sehr freuen.
Viele Grüße
Dirk
vielen Dank für deine Hilfe, das wars, es klappt !
Jetzt habe ich noch zwei andere Ideen, die man vielleicht umsetzen kann:
1. Idee (falls eine SDSL-Strecke ausfällt):
Kann ich eine "Ausfallsicherheit" hinbekommen, indem ich der Aussenstelle irgendwie beibringe, dass sie falls SDSL1 nicht erreichbar ist, die VPN-Verbindung über SDSL2 versucht ?
Und was tut dann der Router in der Zentrale (der hat ja dann das Routing-Tag auf SDSL1, welche nicht mehr erreichbar wäre) ?
2. Idee (falls ein Router ausfällt):
Könnte ich einen möglichen Hardware-Ausfall des Routers irgendwie mit einem 2. Router abfangen (ein weiterer 1721 aufzustellen wäre kein Problem) ?
-W ie kann ich die SDSL-Modems an beiden Routern verfügbar machen OHNE Kabel umzustöpseln ? (Geht das überhaupt ?)
- Kann ich mithilfe von VRRP die Router irgendwie zu "einem" Router machen ? Habe versucht mir das anzulesen, steige aber noch nicht ganz durch in der Praxis)
Ist nicht dringend, aber wenn da jemand einen guten Vorschlag hat würde ich mich sehr freuen.
Viele Grüße
Dirk
Hi ianeo
dann MUSST du in der Zentrale einen Loadbalancer aus SDSL1 und SDSL2 zusammenstellen. Wenn du das getan hast, dann erstellst du in der Filiale für die VPN-Verbindung einfach unter VPN -> Allgemein -> weitere entfernte Gateways einen Eintrag und trägst die andere Adresse ein. Den Schalter "Anfangen mit Gateway" stellst du auf "Erstem".
Dann wird bei Ausfall der Haupt-SDSL-Strecke die andere genommen. Nach jedem Abbau der VPN-Verbindung wird dann beim nächsten Aufbau immer erst die Hauptverbindung versucht, und wenn das nicht klappt, wird auf die andere umgeschaltet.
Der Router der Master ist, baut nun die WAN-Verbindung auf. Alle Slaves blockieren den Aufbau der WAN-Verbindung. Fällt nun der Master aus, wird einer der Slaves zum neuen Master (der mit der dann höchsten Priorität) und baut die WAN-Verbindung auf (bzw. blockiert den Aufbau nicht mehr...).
Wenn nun der Huptrouter wieder aktiv wird, dann wird er aufgrund der höchsten Priorität zum Master, woraufhin der Slave die WAN-Verbindung abbaut...
Gruß
Backslash
1. Idee (falls eine SDSL-Strecke ausfällt):
Kann ich eine "Ausfallsicherheit" hinbekommen, indem ich der Aussenstelle irgendwie beibringe, dass sie falls SDSL1 nicht erreichbar ist, die VPN-Verbindung über SDSL2 versucht ?
Und was tut dann der Router in der Zentrale (der hat ja dann das Routing-Tag auf SDSL1, welche nicht mehr erreichbar wäre) ?
dann MUSST du in der Zentrale einen Loadbalancer aus SDSL1 und SDSL2 zusammenstellen. Wenn du das getan hast, dann erstellst du in der Filiale für die VPN-Verbindung einfach unter VPN -> Allgemein -> weitere entfernte Gateways einen Eintrag und trägst die andere Adresse ein. Den Schalter "Anfangen mit Gateway" stellst du auf "Erstem".
Dann wird bei Ausfall der Haupt-SDSL-Strecke die andere genommen. Nach jedem Abbau der VPN-Verbindung wird dann beim nächsten Aufbau immer erst die Hauptverbindung versucht, und wenn das nicht klappt, wird auf die andere umgeschaltet.
prinzipiell geht das, solange nur einer jeweils die DSL-Verbindung aufgebaut hat.2. Idee (falls ein Router ausfällt):
Könnte ich einen möglichen Hardware-Ausfall des Routers irgendwie mit einem 2. Router abfangen (ein weiterer 1721 aufzustellen wäre kein Problem) ?
-Wie kann ich die SDSL-Modems an beiden Routern verfügbar machen OHNE Kabel umzustöpseln ? (Geht das überhaupt ?)
Das ist der Sinn des VRRP... Zudem ist auch VRRP genau die Methode, mit der du dafür sorgst, daß immer nur ein Router die Verbindung(en) aufgebaut hat. Auch hier brauchst du wieder den Load-Balancer, da im LANCOM über das VRRP immer nur eine WAN-Verbindung je virtuellem Router gesteuert werden kann - und diese eine wäre dann der Load-Balancer- Kann ich mithilfe von VRRP die Router irgendwie zu "einem" Router machen ?
Du vergibst eine Router-ID zwischen 1 und 255 und ordnest dieser eine IP-Adresse zu. Unter dieser Adresse ist der virtuelle Router dann zu erreichen. Dies trägst du auf beiden Routern gleich ein. Nun vergibst du noch die Prioritäten: Der Haupt-Router bekommt dabei eine höhere Priorität als der Backup-Router. Die Priorität darf dabei zwischen 1 und 254 liegen. Als letztes trägst du noch die zu überwachende/zu steuernde WAN-Verbindung ein. In deinem Fall also den Load-Balancer.Habe versucht mir das anzulesen, steige aber noch nicht ganz durch in der Praxis)
Der Router der Master ist, baut nun die WAN-Verbindung auf. Alle Slaves blockieren den Aufbau der WAN-Verbindung. Fällt nun der Master aus, wird einer der Slaves zum neuen Master (der mit der dann höchsten Priorität) und baut die WAN-Verbindung auf (bzw. blockiert den Aufbau nicht mehr...).
Wenn nun der Huptrouter wieder aktiv wird, dann wird er aufgrund der höchsten Priorität zum Master, woraufhin der Slave die WAN-Verbindung abbaut...
Gruß
Backslash
Hallo Backslash,
vielen Dank für deine Infos, hört sich ja soweit nicht allzu kompliziert an... Ich werde das nächste Woche mal ausprobieren (erst noch einen 1721 besorgen) und bei Problemen weiss ich ja an wen ich mich wenden kann !
Spass bei seite, vielen Dank nochmal, du hast mir sehr weitergeholfen !
Grüße
Dirk
vielen Dank für deine Infos, hört sich ja soweit nicht allzu kompliziert an... Ich werde das nächste Woche mal ausprobieren (erst noch einen 1721 besorgen) und bei Problemen weiss ich ja an wen ich mich wenden kann !
Spass bei seite, vielen Dank nochmal, du hast mir sehr weitergeholfen !
Grüße
Dirk