Ich möchte gerne bei DSL-Ausfall jeweils eines Standortes eine ISDN Backupverbindung ins Internet aufbauen auf der dann auch das VPN weiterläuft.
An beiden Standorten stehen Lancom 1722. Die DSL-Verbindung ins Internet wird jeweils über feste IP-Adressen realisiert.
Die reine ISDN-Backupverbindung ins Internet funktioniert problemlos. Jedoch habe ich dann das Problem, dass ich keine VPN-Verbindung mehr aufbauen kann, da die ISDN Wählverbindung nun andere IP-Adressen liefert, die sich natürlich von den festen DSL IP-Adressen unterscheiden.
Wie realisiere ich nun diese VPN-Backupverbindung über Internet? Eine Direkteinwahl per ISDN zum jeweils anderen Standort scheidet übrigens aus.
VPN Backupverbindung übers Internet
Moderator: Lancom-Systems Moderatoren
Das heisst ich muss die bisherige statische VPN-Verbindung in eine dynamische umwandeln?
Oder muss ich eine zusätzliche dynamische VPN-Verbindung für den Backupfall einrichten?
Geht das vielleicht über die Angabe in der Konfiguration unter "VPN | Weitere entfernte Gateways", oder ist diese Liste nur als Lastenausgleich gedacht?
Oder muss ich eine zusätzliche dynamische VPN-Verbindung für den Backupfall einrichten?
Geht das vielleicht über die Angabe in der Konfiguration unter "VPN | Weitere entfernte Gateways", oder ist diese Liste nur als Lastenausgleich gedacht?
Hi rrr
Wenn Backup auf beiden Seiten möglich sein soll, dann mußt du ISDN (B- oder D-Kanal) wählen.
Wenn das Backup nur auf einer Seite ist, dann hängt es davon ab, wer aufbaut:
- baut nur die Seite mit dem Backup auf, reicht ICMP/UDP
- soll auch von der anderen Seite aufgebaut werden, dann mußt du wieder auf ISDN zurückgreifen.
Du kannst es auch bei der "statischen" Konfiguration belassen, wenn du mit dynDNS-Namen arbeitest. Das hat nur den Nachteil, daß es bis zu 5 Minuten dauern kann, bis du den Tunnel wieder aufbauen kannst (solange kann es halt dauern, bis ein dynDNS-Name in allen Nameservern abgeglichen wurde)
Desweiteren mußt du darauf achten, daß du nicht zuviele Updates bei dynDNS machst, sonst wirst du geblockt.
Du kannst auch auf Zertifikate umsteigen, denn dann ist die IP-Adresse egal. Das geht natürlich nur solange der Tunnel von der Seite mit dem Backup aufgebaut wird und die andere Seite immer eine feste IP-Adresse hat.
Gruß
Backslash
genau - und zwar auf beiden Seiten. Ob du zur Adreßübermittlung ISDN oder ICMP/UDP verwendest, hängt davon ab, in welcher Richtung der Tunnel aufgebaut werden soll und ob ein Backup der Internetverbindung nur auf einer oder auf beiden Seiten erfolgt:Das heisst ich muss die bisherige statische VPN-Verbindung in eine dynamische umwandeln?
Wenn Backup auf beiden Seiten möglich sein soll, dann mußt du ISDN (B- oder D-Kanal) wählen.
Wenn das Backup nur auf einer Seite ist, dann hängt es davon ab, wer aufbaut:
- baut nur die Seite mit dem Backup auf, reicht ICMP/UDP
- soll auch von der anderen Seite aufgebaut werden, dann mußt du wieder auf ISDN zurückgreifen.
nein - eine VPN-Verbindung als Backup für eine VPN-Verbindung ist prinzipiell nicht möglich, da der IPSec-Regelsatz eindeutig sein muß - was er in diesem Fall nicht wäre: Du hättest zweimal die selbe Netzbeziehung für verschiedene VPN-Gateways...Oder muss ich eine zusätzliche dynamische VPN-Verbindung für den Backupfall einrichten?
dazu müßtest du doch die Adresse, die das LANCOM auf der Backupverbindung bekommt, kennen - aber die ist ja dynamisch.Geht das vielleicht über die Angabe in der Konfiguration unter "VPN | Weitere entfernte Gateways", oder ist diese Liste nur als Lastenausgleich gedacht?
Du kannst es auch bei der "statischen" Konfiguration belassen, wenn du mit dynDNS-Namen arbeitest. Das hat nur den Nachteil, daß es bis zu 5 Minuten dauern kann, bis du den Tunnel wieder aufbauen kannst (solange kann es halt dauern, bis ein dynDNS-Name in allen Nameservern abgeglichen wurde)
Desweiteren mußt du darauf achten, daß du nicht zuviele Updates bei dynDNS machst, sonst wirst du geblockt.
Du kannst auch auf Zertifikate umsteigen, denn dann ist die IP-Adresse egal. Das geht natürlich nur solange der Tunnel von der Seite mit dem Backup aufgebaut wird und die andere Seite immer eine feste IP-Adresse hat.
Gruß
Backslash
Zuletzt geändert von backslash am 09 Apr 2008, 18:04, insgesamt 1-mal geändert.
Hallo backslash,
ich habe soweit alles verstanden, bis auf die Sache mit dem VPN-Verbindungsaufbau. Nach allem was ich bislang weiss, darf eine VPN-Verbindung immer nur von einer Seite aufgebaut werden.
Der Lancom-Support teilte mir dann auch mit, dass nur eine Seite für den verbindungsaufbau konfiguriert sein darf.
ich habe soweit alles verstanden, bis auf die Sache mit dem VPN-Verbindungsaufbau. Nach allem was ich bislang weiss, darf eine VPN-Verbindung immer nur von einer Seite aufgebaut werden.
Ich hatte auch mal vor einiger Zeit irrtümlicherweise beiden Gegenstellen erlaubt eine VPN-Verbindung aufzubauen und zu halten (Haltezeit: 9999 Sek.). Das Ergebnis war dann das die VPN-Verbindung ständig auf und abgebaut wurde.Wenn das Backup nur auf einer Seite ist, dann hängt es davon ab, wer aufbaut:
- baut nur die Seite mit dem Backup auf, reicht ICMP/UDP
- soll auch von der anderen Seite aufgebaut werden, dann mußt du wieder auf ISDN zurückgreifen.
Der Lancom-Support teilte mir dann auch mit, dass nur eine Seite für den verbindungsaufbau konfiguriert sein darf.
Hi rrr
Gruß
Backslash
nein, es ist nur mehr als sinnvoll - vor allem bei einer Haltezeit von 9999. Wenn du eine "normale" Haltezeit konfigurierst, der Tunnel also irgendwann wieder abgebaut wird, dann mußt du letztendlich den Aufbau von beiden Seiten zulassen.Nach allem was ich bislang weiss, darf eine VPN-Verbindung immer nur von einer Seite aufgebaut werden.
Gruß
Backslash
Hallo Backslash,
eigentlich hatte ich es vor, damit bei einem DSL-Ausfall an einem Standort dieser Router den jeweils anderen noch erreichen kann um eine VPN-Verbindung (dann über ISDN) herzustellen. Wenn ich den Verbindungsaufbau auf einen Standort festlege, dann würde ich den Tunnel bei einem DSL-Ausfall des anderen Standortes nicht mehr herstellen können.
Aber ich glaube da war ich wohl auf dem Holzweg. Da ich ja bislang feste IP-Adressen bei der VPN-Verbindung benutzt habe, funktioniert das nicht so wie gedacht. Es reicht ja nicht nur wenn die "gerufene" IP-Adresse noch "existiert", es muss ja auch die "rufende" IP-Adresse noch erreichbar sein.
Wenn ich nun alles korrekt verstanden hab, ist es beim dynamischen VPN (IP-Übermittlung per ISDN) ja nun egal welche IP-Adressen die jeweiligen Standorte haben, und es ist auch unwichtig das nur ein Standort die Verbindung initiiert, da sich selbst beim DSL-Ausfall an beiden Standorten der VPN-Tunnel noch herstellen lässt.
Korrigiere mich bitte, wenn ich falsch liege.
Oder gibt es nun noch einen Vorteil, wenn ich den Verbindungsaufbau auf beiden Gegenstellen einrichte und die Haltezeit runtersetze?
eigentlich hatte ich es vor, damit bei einem DSL-Ausfall an einem Standort dieser Router den jeweils anderen noch erreichen kann um eine VPN-Verbindung (dann über ISDN) herzustellen. Wenn ich den Verbindungsaufbau auf einen Standort festlege, dann würde ich den Tunnel bei einem DSL-Ausfall des anderen Standortes nicht mehr herstellen können.
Aber ich glaube da war ich wohl auf dem Holzweg. Da ich ja bislang feste IP-Adressen bei der VPN-Verbindung benutzt habe, funktioniert das nicht so wie gedacht. Es reicht ja nicht nur wenn die "gerufene" IP-Adresse noch "existiert", es muss ja auch die "rufende" IP-Adresse noch erreichbar sein.
Wenn ich nun alles korrekt verstanden hab, ist es beim dynamischen VPN (IP-Übermittlung per ISDN) ja nun egal welche IP-Adressen die jeweiligen Standorte haben, und es ist auch unwichtig das nur ein Standort die Verbindung initiiert, da sich selbst beim DSL-Ausfall an beiden Standorten der VPN-Tunnel noch herstellen lässt.
Korrigiere mich bitte, wenn ich falsch liege.
Oder gibt es nun noch einen Vorteil, wenn ich den Verbindungsaufbau auf beiden Gegenstellen einrichte und die Haltezeit runtersetze?
Hi rrr
"Wenn Backup auf beiden Seiten möglich sein soll, dann mußt du ISDN (B- oder D-Kanal) wählen. "
Gruß
Backslash
du hast es erfasst - daß entspricht ja auch dem "ersten" Szenario:Wenn ich nun alles korrekt verstanden hab, ist es beim dynamischen VPN (IP-Übermittlung per ISDN) ja nun egal welche IP-Adressen die jeweiligen Standorte haben, und es ist auch unwichtig das nur ein Standort die Verbindung initiiert, da sich selbst beim DSL-Ausfall an beiden Standorten der VPN-Tunnel noch herstellen lässt.
"Wenn Backup auf beiden Seiten möglich sein soll, dann mußt du ISDN (B- oder D-Kanal) wählen. "
nun ja, wenn im Backupfall der ISDN-Internetzugang nach Minuten abgerechnet wird der VPN-Tunnel dann diese Verbindung unnötig offen hält, kostet das halt... Wenn du auch eine ISDN-Flatrate hast, dann ist das völlig egal...Oder gibt es nun noch einen Vorteil, wenn ich den Verbindungsaufbau auf beiden Gegenstellen einrichte und die Haltezeit runtersetze?
Gruß
Backslash