Hi,
bin mir nicht ganz sicher zwecks VLAN Konfiguration beim Hinzufügen von AccessPoints auf Zweigstellen.
Zur aktuellen Konfiguration:
Firewalls auf der Zentrale, eigenes Interface für VPN. Vom Interface geht es über Switche zu Lancom 7100er.
Die Firewall selber geht dann über Cisco Router ins Internet. Die Lancom 7100er machen nur VPN, keine WAN Anbindung.
Auf der Zweigstelle steht dann jeweils ein 1781VA4G. Der Lancom geht dann an einen Switch, der wiederum die Endgeräte anbindet. Hinzu kommen jetzt UniFi AccessPoints, auf denen ich bereits verschiedene SSID's mit VLAN's erstellt habe.
Die VLAN's habe ich zudem auch auf den Zweigstellen-Switch als TAGGED auf dem Port definiert. Das gleiche auch auf dem Switch in der Hauptzentrale und natürlich auch auf der Firewall auf der Hauptzentrale unter dem Interface VPN.
Bin mir leider nicht ganz sicher wie ich das ganze nun auf den LANCOM 1781VA4G und 7100er zu konfigurieren habe.
Ich nehme an ich muss es ohne VLAN Modul konfigurieren, z.B.
IP Netzwerke mit VLAN ID auf den Lancom 1781VA4G erstellen
Zudem noch Routing und Firewall Einträge auf den Lancom Routern/Gateways.
That's it ?
Danke schonmal im Voraus.
VLAN Konfiguration bei UniFi AP über LANCOM VPN
Moderator: Lancom-Systems Moderatoren
Re: VLAN Konfiguration bei UniFi AP über LANCOM VPN
Ok, es war etwas spät gestern.
Natürlich muss das ganze völlig anders konfiguriert werden.
Fehler Nr. 1: Die Netze müssen auf dem LANCOM Zweigstellen Router angelegt werden, und nicht auf dem Uplink der Firewall auf der Hauptstelle.
Grundsätzlich funktioniert bereits der Zugriff schon.
Hab das zusätzliche Netz einfach mit VLAN ID unter Netzwerke des LANCOM erstellt.
Muss noch herausfinden wie ich den Zugriff vom VLAN auf das normale LAN blockieren kann.
Natürlich muss das ganze völlig anders konfiguriert werden.
Fehler Nr. 1: Die Netze müssen auf dem LANCOM Zweigstellen Router angelegt werden, und nicht auf dem Uplink der Firewall auf der Hauptstelle.
Grundsätzlich funktioniert bereits der Zugriff schon.
Hab das zusätzliche Netz einfach mit VLAN ID unter Netzwerke des LANCOM erstellt.
Muss noch herausfinden wie ich den Zugriff vom VLAN auf das normale LAN blockieren kann.
Re: VLAN Konfiguration bei UniFi AP über LANCOM VPN
ok, das war über Schnittstellentag auch einfach realisierbar.
Ich denke es kann hier zu, außer jemand hat Verbesserungsvorschläge.
Danke.
Ich denke es kann hier zu, außer jemand hat Verbesserungsvorschläge.
Danke.
Re: VLAN Konfiguration bei UniFi AP über LANCOM VPN
Schnittstellentag funktioniert doch nicht.
Re: VLAN Konfiguration bei UniFi AP über LANCOM VPN
Hi vitaminc,
Gruß
Backslash
doch... Schnittstellen- (und RFouting-) Tags sind genau dafür gedacht... Du mußt nur bedenken, daß es bei den ARF-Sichtbarkeiten ein drei Dinge zu beachten gilt:Schnittstellentag funktioniert doch nicht.
- ARF-Netze mit Tag 0 sind "Supervisor"-Netze, d.h. sie sehen alle anderen Netze mit allen anderen Tags
- Netze vom Typ DMZ werden aus allen Tags gesehen
- Routen mit Routing-Tag 0 werden von allen Tags verwendet - so es keine mit passendem Tag gibt
Gruß
Backslash
Re: VLAN Konfiguration bei UniFi AP über LANCOM VPN
Ja, funktioniert jetzt auch, hatte die Routing Einträge vergessen 
Ist halt echt zu warm hier.
Mit Firewall-Regel im LANCOM Router habe ich es zuvor probiert, das hat nicht hingehauen.
Wie muss denn die Regel aussehen?
Ist halt echt zu warm hier.
Mit Firewall-Regel im LANCOM Router habe ich es zuvor probiert, das hat nicht hingehauen.
Wie muss denn die Regel aussehen?
Re: VLAN Konfiguration bei UniFi AP über LANCOM VPN
Mist, noch läuft es nicht rund.
Komme zwar ins eigene LAN, aber nicht ins Internet, trotz dass der Routing-Tag mit 255.255.255.255 gesetzt ist.
Komme zwar ins eigene LAN, aber nicht ins Internet, trotz dass der Routing-Tag mit 255.255.255.255 gesetzt ist.
Re: VLAN Konfiguration bei UniFi AP über LANCOM VPN
Also, hat wohl nichts mit den Schnittstellentags zu tun.
Ich komme generell nicht über das VLAN ins Internet, insofern ich 255.255.255.255 durch den VPN-Tunnel schicke.
Zugriff auf eigene LAN-Netze in der Zentrale funktionieren hingegen problemlos über den VPN-Tunnel.
Und auch das INTRANET (VLAN:0) funktioniert mit Internet und allem durch den Tunnel.
Muss ich weitersuchen..
Ich komme generell nicht über das VLAN ins Internet, insofern ich 255.255.255.255 durch den VPN-Tunnel schicke.
Zugriff auf eigene LAN-Netze in der Zentrale funktionieren hingegen problemlos über den VPN-Tunnel.
Und auch das INTRANET (VLAN:0) funktioniert mit Internet und allem durch den Tunnel.
Muss ich weitersuchen..
Re: VLAN Konfiguration bei UniFi AP über LANCOM VPN
Man sollte einfach ins Schwimmbad gehen und nicht arbeiten..
NAT-Regel auf der Firewall hat natürlich gefehlt.
NAT-Regel auf der Firewall hat natürlich gefehlt.
Re: VLAN Konfiguration bei UniFi AP über LANCOM VPN
Nachdem alles funktioniert hat, habe ich den Lancom Router neu gestartet, plötzlich ging es nicht mehr.
Habe nun rausbekommen warum es mal funktioniert, und mal nicht, es hat jedenfalls nichts mit den Schnittstellen-Tags zu tun hat.
Ich habe zwei 7100er auf der Zentrale die per RIP-2 die Routen an die zentrale Firewall propagieren. Dort läuft BIRD als dynamisches Routing.
Wenn sich nun der Zweigstellen-Router (Lancom 1781VA4G) mit dem ersten 7100er verbindet, funktioniert alles, d.h. Ping ins VLAN g
eht aus dem LAN problemlos. Sobald aber der Router sich an den zweiten 7100er verbindet, findet kein Routing statt so dass keine Pings aus dem LAN durchgehen.
Die beiden 7100er laufen im Sync, habe die Einstellungen geprüft, sieht soweit auch alles gut aus. Wenn ich direkt von den 7100er die Pings absetze, dann funktioniert auch alles, d.h. die beiden 7100er haben die Routen untereinander ausgetauscht. Auch Pings direkt von der Firewall funktionieren. Sobald ich aber aus dem LAN dahinter pinge, funktioniert es nicht mehr. Laut Traceroute verwendet er jedoch die richtige Route.
Ich befürchte ich muss den Lancom Support bemühen, da weiß ich aktuell nicht wo ich noch suchen soll.
Habe nun rausbekommen warum es mal funktioniert, und mal nicht, es hat jedenfalls nichts mit den Schnittstellen-Tags zu tun hat.
Ich habe zwei 7100er auf der Zentrale die per RIP-2 die Routen an die zentrale Firewall propagieren. Dort läuft BIRD als dynamisches Routing.
Wenn sich nun der Zweigstellen-Router (Lancom 1781VA4G) mit dem ersten 7100er verbindet, funktioniert alles, d.h. Ping ins VLAN g
eht aus dem LAN problemlos. Sobald aber der Router sich an den zweiten 7100er verbindet, findet kein Routing statt so dass keine Pings aus dem LAN durchgehen.
Die beiden 7100er laufen im Sync, habe die Einstellungen geprüft, sieht soweit auch alles gut aus. Wenn ich direkt von den 7100er die Pings absetze, dann funktioniert auch alles, d.h. die beiden 7100er haben die Routen untereinander ausgetauscht. Auch Pings direkt von der Firewall funktionieren. Sobald ich aber aus dem LAN dahinter pinge, funktioniert es nicht mehr. Laut Traceroute verwendet er jedoch die richtige Route.
Ich befürchte ich muss den Lancom Support bemühen, da weiß ich aktuell nicht wo ich noch suchen soll.
Re: VLAN Konfiguration bei UniFi AP über LANCOM VPN
Habe es jetzt in den Abendstunden, nach einer Pause, doch noch hinbekommen.
Schuldig war die SA Regel bzw. das Stations Object. Ich hatte zuvor ein bestehendes Stations Object um das weitere IP Netzwerk erweitert.
Der erste 7100er hat es geschluckt, der zweite 7100er NICHT. Nachdem ich also das IP Netzwerk als separates Stations Object angelegt und der SA hinzugefügt habe, hat es auch auf dem zweiten 7100er funktioniert.
Also ich möchte Lancom jetzt nicht zu Nahe treten, aber ganz ehrlich, was soll das eigentlich, gibt es ne Beschränkung auf den Objekten?
Ich kann mich daran erinnern dass ich damit schon öfters Probleme hatte.
Schuldig war die SA Regel bzw. das Stations Object. Ich hatte zuvor ein bestehendes Stations Object um das weitere IP Netzwerk erweitert.
Der erste 7100er hat es geschluckt, der zweite 7100er NICHT. Nachdem ich also das IP Netzwerk als separates Stations Object angelegt und der SA hinzugefügt habe, hat es auch auf dem zweiten 7100er funktioniert.
Also ich möchte Lancom jetzt nicht zu Nahe treten, aber ganz ehrlich, was soll das eigentlich, gibt es ne Beschränkung auf den Objekten?
Ich kann mich daran erinnern dass ich damit schon öfters Probleme hatte.
Re: VLAN Konfiguration bei UniFi AP über LANCOM VPN
Hi vitamic,
Gruß
Backslash
nein... Das erste 7100 hat es ja auch geschluckt... Da muß also noch ein anderes Problem vorliegen...Also ich möchte Lancom jetzt nicht zu Nahe treten, aber ganz ehrlich, was soll das eigentlich, gibt es ne Beschränkung auf den Objekten?
Gruß
Backslash
Re: VLAN Konfiguration bei UniFi AP über LANCOM VPN
Ich muss das Thema leider nochmals aufgreifen, weil ich diverse Probleme habe.
Wenn ich mir auf den 1781VA4G (Zweigstellen-Router) unter Network-List die Netze hinzufüge mit VLAN-ID und Rtg-tag, z.B.
add "GUEST" {IP-Address} 192.80.46.100 {IP-Netmask} 255.255.255.0 {VLAN-ID} 80 {Interface} LAN-1 {Src-check} loose {Type} Intranet {Rtg-tag} 3 {Comment} ""
Dann unter IP-Routing-Table schicke ich den gesamten Traffic durch den VPN:
add 10.101.1.0 255.255.255.0 3 {Peer-or-IP} "VPN" {Distance} 0 {Masquerade} No {Active} Yes {Comment} ""
add 10.102.1.0 255.255.255.0 3 {Peer-or-IP} "VPN" {Distance} 0 {Masquerade} No {Active} Yes {Comment} ""
add 255.255.255.255 0.0.0.0 3 {Peer-or-IP} "VPN" {Distance} 0 {Masquerade} No {Active} Yes {Comment} ""
Dann noch die SA's in der Firewall und dann noch DHCP-Relay.
Auf der Gegenseite, also den Zentralen Router (7100er), füge ich ebenfalls die SA's und das Routing hinzu.
Funktioniert soweit alles Bestens, bis auf das die 7100er plötzlich bei der CPU-Last in die Höhe schießen.
Wir haben insgesamt 45 Zweigstellenrouter auf 2 x Lancom 7100er per VPN angebunden.
Normalerweilse liegen die beiden 7100er zwischen 15-20% CPU-Last im Durchschnitt.
Als ich gestern auf 5 Zweigstellen-Routern jeweils 4 VLAN's konfiguriert habe, war die CPU-Last bei den 7100er bei 50-60%.
Bei "show job" habe ich nur gesehen, dass Diffie-Hellman-Precalc immer wieder auf fast 100% hochgeht.
Ich möchte das ganze jetzt nochmal auf meinen Test-Zweigstellen-Router testen, wo kann ich am Besten ansetzen um herauszufinden woher die Last kommt?
ps, der Artikel auf https://www2.lancom.de/kb.nsf/1275/7183 ... enDocument zu "ARF: Abgrenzen lokaler Netze durch Nutzung des Schnittstellentags (bei Geräten ohne WLAN)" existiert seltsamerweise nicht mehr. Ich bin mir jetzt nicht ganz sicher ob mich zwecks Konfigurartion nicht sogar an dieses Dokument gehalten habe.
Wenn ich mir auf den 1781VA4G (Zweigstellen-Router) unter Network-List die Netze hinzufüge mit VLAN-ID und Rtg-tag, z.B.
add "GUEST" {IP-Address} 192.80.46.100 {IP-Netmask} 255.255.255.0 {VLAN-ID} 80 {Interface} LAN-1 {Src-check} loose {Type} Intranet {Rtg-tag} 3 {Comment} ""
Dann unter IP-Routing-Table schicke ich den gesamten Traffic durch den VPN:
add 10.101.1.0 255.255.255.0 3 {Peer-or-IP} "VPN" {Distance} 0 {Masquerade} No {Active} Yes {Comment} ""
add 10.102.1.0 255.255.255.0 3 {Peer-or-IP} "VPN" {Distance} 0 {Masquerade} No {Active} Yes {Comment} ""
add 255.255.255.255 0.0.0.0 3 {Peer-or-IP} "VPN" {Distance} 0 {Masquerade} No {Active} Yes {Comment} ""
Dann noch die SA's in der Firewall und dann noch DHCP-Relay.
Auf der Gegenseite, also den Zentralen Router (7100er), füge ich ebenfalls die SA's und das Routing hinzu.
Funktioniert soweit alles Bestens, bis auf das die 7100er plötzlich bei der CPU-Last in die Höhe schießen.
Wir haben insgesamt 45 Zweigstellenrouter auf 2 x Lancom 7100er per VPN angebunden.
Normalerweilse liegen die beiden 7100er zwischen 15-20% CPU-Last im Durchschnitt.
Als ich gestern auf 5 Zweigstellen-Routern jeweils 4 VLAN's konfiguriert habe, war die CPU-Last bei den 7100er bei 50-60%.
Bei "show job" habe ich nur gesehen, dass Diffie-Hellman-Precalc immer wieder auf fast 100% hochgeht.
Ich möchte das ganze jetzt nochmal auf meinen Test-Zweigstellen-Router testen, wo kann ich am Besten ansetzen um herauszufinden woher die Last kommt?
ps, der Artikel auf https://www2.lancom.de/kb.nsf/1275/7183 ... enDocument zu "ARF: Abgrenzen lokaler Netze durch Nutzung des Schnittstellentags (bei Geräten ohne WLAN)" existiert seltsamerweise nicht mehr. Ich bin mir jetzt nicht ganz sicher ob mich zwecks Konfigurartion nicht sogar an dieses Dokument gehalten habe.
Re: VLAN Konfiguration bei UniFi AP über LANCOM VPN
Könnte ggf. an der Anzahl der SA's liegen.
Die beiden 7100er haben aktuell bereits über je 500 SA's, mit den VLAN's wären die bei über 3000. Ich denke das könnte die CPU in die Knie zwingen.
Weiss jemand, wie ich SA Netzwerkbeziehungen auf ANY stellen kann, so dass ich diese drastisch verringern kann?
Vielleicht hat da jemand ne Beispielkonfig.
Danke.
Die beiden 7100er haben aktuell bereits über je 500 SA's, mit den VLAN's wären die bei über 3000. Ich denke das könnte die CPU in die Knie zwingen.
Weiss jemand, wie ich SA Netzwerkbeziehungen auf ANY stellen kann, so dass ich diese drastisch verringern kann?
Vielleicht hat da jemand ne Beispielkonfig.
Danke.
Re: VLAN Konfiguration bei UniFi AP über LANCOM VPN
Du kannst die Regelerzeugung der VPN-Verbindung auf 'manuell' stellen und als IPv4 Regeln RAS-WITH-NETWORK-SELECTION auswählen - oder du kannst diese kopieren (die IPv4/v6 Regeln befinden sich unter VPN -> Allgemein) und kannst der Regel einen für deinen Verwendungszweck passenden Namen geben und diesen Verwenden, damit man auch später versteht warum die Regel verwendet wurde.