Lancom mit 2 DSL-Anschlüssen ( 1xsdsl f. VPN, 1x ADSL f. Int

[therministrator]

Hallo Leute,

ich habe einen LANCOM der (über eine 2Mbit SDSL Leitung) VPNs zu 5 Aussenstellen unterhält. Ist kein Problem, da die Aussenstellen nur auf eine (textbasierte ) Anwendung in der Zentrale zugreifen.Problematisch ist die Geschwindigkeit des Internet-Zugangs ( der ja auch über diesen SDSL Zugang erfolgt)

Die Aussenstellen (und natürlich die Zentrale) haben feste IP Adressen.
Eigentlich sollte es ja kein Problem sein, einen 2. DSL Anschluss (ADSL) f. den Internetzugang zu nehmen, oder ?
Aus meiner Sicht müsste ich dann host-Routen für die externen (offiziellen) IPs der Aussenstellen auf DSL1 machen, und DSL2 als default-Route, oder ?

Mein Problem ist, dass ich
a) mit Lancom Routern nicht viel Erfahrung habe ( ich komme eher aus der Cisco-Welt) und
b) die VPNs eingerichtet sind und funktionieren.
Ich müsste die Umstellung also in der Zentrale machen, eine kurze Unterbrechung der Aussenstellen wäre kein Problem, was NICHT passieren darf, ist, dass das VPN nicht wieder aufgebaut wird.

Irgendwelche Tips zur Konfiguration der 2. Gegenstelle und der Routen ?
Irgendwelche Hinweise auf Stolperfallen ?
Bin f. jeden Tip dankbar

Gruss Hermann

[5624]

Du änderst in der Routingtabelle das Routingtag der SDSL-Verbindung von 0 auf 1 (oder irgendeinen anderen Wert ungleich 0), in den VPN-Verbindungen änderst du das Routingtag auf den gleichen Wert und dann legst du deine neue Internetverbindung an, die dann über das Routingtag 0 verfügen muss.

[Bernie137]

Hallo Hermann,

zur Antwort von 5624 ist noch zu ergänzen die Wichtigkeit, welche Seite den VPN-Tunnel aufbaut. Baut die Filiale den VPN-Tunnel zur Zentrale auf ist alles schick. Umgekehrt brauchst im Router der Zentrale zusätzlich Firewall Regeln folgender Form:
Prio 255, RoutingTag=<Das der SDSL-Verbindung>, Weitere Regeln beachten, Quelle=Localnet, Quellport=alle, Ziel=<Gegenstelle FILIALE1>, Zielports=alle

Eine andere Möglichkeit ist, anstatt an der SDSL Internetverbindung rumzuschrauben und zu riskieren, dass die VPN Tunnel nicht mehr laufen ist, es umgekehrt zu machen. Dazu gibt es eine Anleitung aus der KB, die sehr exakt auf Dein Vorhaben zutrifft: https://www2.lancom.de/kb.nsf/1275/5143 ... enDocument

vg Bernie

[5624]

Ich bin der Meinung, diese Regel ist nicht nötig, da du ja in der Routingtabelle hinterlegt hast, dass du das Subnetz der Filiale 1 über die Gegenstelle Filiale 1 erreichst und an der VPN-Definition ist ja das Routingtag hinterlegt. Ich lass mich aber gerne eines besseren belehren.

[therministrator]

hallo Leute,
erstmal danke für die antworten.
ich werde das am wochenende mal ausprobieren. (erstml heute bend testen, ob der 2. dsl anschluss richtig funktiniert).
gefühlsmässig glaube ich auch, dass ich host-routen für die (externen) adressen der aussenstelle brauche ( damit er weiss, dass er die ipsec- u.ä. pakete nicht über den default gw schicken muss.

nicht ganz klar ist mir die bedeutung des routing-tags.

in der cisco/unix welt hätte ich jeweils eine host-route auf die offiziellen/externen ip-der gegenstellen gemacht, dann ( über routen oder policies) dafür gesorgt, dass die vpn-netze in die entsprechenden tunnel-interfaces gehen, und alles andere geht in den def-gw (adsl).

wenn ich das jetzt nach "lancom" übersetze, müsste ich ja eigentlich nur den 2. dsl anlegen, dann wird er vermutlich (nach rückfrage) die default route ändern.
wenn ich dann noch die host-routen setze (die vpn-routen f. den verkehr zw. den lans hat er ja) sollte es eigentlich gehen, oder ????
geht das nicht auch ohne routing tags.
grüsse, hermann

[Bernie137]

Hallo Hermann,

gefühlsmässig glaube ich auch, dass ich host-routen für die (externen) adressen der aussenstelle brauche ( damit er weiss, dass er die ipsec- u.ä. pakete nicht über den default gw schicken muss.

Nein. Schau Dir die bestehende Konfig an, da gibt es keine Routen zu irgendwelchen öffentlichen IP Adressen. Im Lancom Router wird die öffentliche IP der Gegenstelle hinterlegt unter VPN -> Verbindungsliste -> <entsprechende Gegenstelle>.

nicht ganz klar ist mir die bedeutung des routing-tags.

Im Lancom Router darf es erst einmal von Haus aus nur eine Standard-Route geben. Diese trägt immer das Routing-Tag Null. Sämtlicher Traffic der nun ins Internet gelangen soll, verwendet diese Route und damit die öffentliche IP dieser Gegenstelle. Kommt nun ein zweiter Anschluss hinzu, muss die neue Default Route von Hand angelegt werden und zwar mit einem Routing Tag ungleich Null, z.B. 1. Nun kann man mit Hilfe der Firewall Regeln (Policies) erstellen, die den Traffic (Teile davon) behandeln und mit einem Routing Tag markieren, z.B. 1 um diesen Traffic somit über die andere Default Route zu schicken. (und verwendet somit die öffentliche IP dieser anderen Gegenstelle, wichtig bei VPN).

müsste ich ja eigentlich nur den 2. dsl anlegen, dann wird er vermutlich (nach rückfrage) die default route ändern.

Ja, soweit erst mal richtig. Ab dem Überschreiben der Default Route könnten Stolperfallen losgehen (die alte Default Route existiert nicht mehr). Sämtlicher Traffic wird jetzt über den neuen Anschluss behandelt. Damit hat auch der VPN Traffic jetzt eine andere öffentliche IP (und nebenbei eine langsamere Upload Geschwindigkeit, kein SDSL), die vermutlich auf den Gegenseiten nachkonfiguriert werden muss. Mein Tipp: Belasse die Default Route wie sie ist (nicht überschreiben!) und rühre die VPN Konfig nicht an. Dann gib dem neuen Anschluss eine Default Route mit Routing Tag 1 und behandle per Policy-based-Routing den Surftraffic. Damit bist Du bei der oben geposteten KB Anleitung. Damit kannst Du stressfreier tüfteln

wenn ich dann noch die host-routen setze (die vpn-routen f. den verkehr zw. den lans hat er ja) sollte es eigentlich gehen, oder ????

Wie gesagt, sowas gibt es hier nicht.

geht das nicht auch ohne routing tags.

Im Prinzip schon, aber alles arbeitet über einen Anschluss, der 2. bleibt völlig ungenutzt.
Also eher NEIN, denn erst mit Routing Tags kann intern im Lancom Router der Traffic behandelt und nach Routing Tags (bzw. Default Routen) aufgeteilt werden, Stichwort Policy-based-Routing (Firewall Rules).

Bei allem was Du tust, sicher Dir vorher die Konfig der Router! Geht etwas schief, stellst einfach den Ausgangszustand wieder her. Viel Erfolg.

vg Bernie

[therministrator]

Hallo Bernie
erstmal vielen Dank f. Deine Geduld, und die Erklärungen.

Die Methode mit dem policy based Routing habe ich verstanden, da ist mir auch die Rolle des Tags klar (gibt's bei linux/iptables z.b. auch dass man Pakete an einer Stelle markiert, und an einer anderen Stelle in der Kette diesen Tag auswertet.
Das ist auch die Lösung, die ich wahrscheinlich wählen werde - es sei denn wir können uns doch noch "einigen" ( ich bin halt über 50, da ist man manchmal etwas stur...
(Dass ich vorher die Konfig sichere, versteht sich natürlich von selbst, mache ich vor JEDER Änderung

Daß es nur eine default route geben kann, ist mir auch klar.
Auch dass (normalerweise) keine host-routen für die VPN-Endpunkte notwendig sind (die werden ja über die default-Route geschickt)
Die Host-Routen brauche ich nur, wenn cih einen 2. DSL Anschluss habe (der NICHT default-route ist und den Verkehr für die VPN-Router darüber leiten will.

Genau hier beginnt mein Vertändnisproblem.
Nehmen wir mal an, Hauptsitz ist 192.168.100.0/24,
Filiale 1 sitzt hinder der (offiziellen) GW-IP a.b.c.d und das lan hat die 192.168.1.0/24
Filiale 2 sitzt hinter der IP x.y.z.w und das Lan hat die 192.168.2.0/24
Nehmen wir an, die im Router (zentrale) definierten Gegenstellen heissen SDSL und DSL1

wenn ich jetzt eine route für a.b.c.d mit netzwerkmaske 255.255.255.255 (host-route) einrichte (auf SDSL, mit tag 0) und eine für x.y.z.w ebenfalls,
dann müssten diese 2 Adressen (und damit auch der ganze ipsec-Traffic ) über SDSL gehen, alles andere geht über die default-route - und damit über DSL1
Und das ganze ohne Tags
Oder mache ich einen Denkfehler ?
Ich gehe halt davon aus, das bei LANCOM zwar die begrifflichkeiten ein wenig anders sind, aber die Routing-Konzepte gleich/ähnlich
Viele Grüße Hermann

[backslash]

Hi therministrator,

Genau hier beginnt mein Vertändnisproblem.
Nehmen wir mal an, Hauptsitz ist 192.168.100.0/24,
Filiale 1 sitzt hinder der (offiziellen) GW-IP a.b.c.d und das lan hat die 192.168.1.0/24
Filiale 2 sitzt hinter der IP x.y.z.w und das Lan hat die 192.168.2.0/24
Nehmen wir an, die im Router (zentrale) definierten Gegenstellen heissen SDSL und DSL1

wenn ich jetzt eine route für a.b.c.d mit netzwerkmaske 255.255.255.255 (host-route) einrichte (auf SDSL, mit tag 0) und eine für x.y.z.w ebenfalls,
dann müssten diese 2 Adressen (und damit auch der ganze ipsec-Traffic ) über SDSL gehen, alles andere geht über die default-route - und damit über DSL1
Und das ganze ohne Tags

ja das funktioniert - solange sich die IPs der Filialen nicht ändert. Mit den Routing-Tags macht man sich das Leben einfacher, denn dann brauchst du nur eine getaggte Default-Route und sagst dann bei der Definition der VPN-Verbindungen (VPN -> Allgemein -> Verbindungsliste -> Gegenstelle) welches Routung-Tag verwendet werden soll, um das Gateway der jeweiligen Filiale zu erreichen. Damit kannst du die Filalen auch mit dynamischen IPs betreiben (dynDNS vorrausgesetzt...)

Gruß
Backslash

[therministrator]

OK, jetzt glaube ich das ganze verstanden zu haben.
Nochmals vielen Dank, Ihr habt mir wirklich weitergeholfen.

Hermann