Hallo,
ich habe mal noch ein kleines Problem mit unseren VPN Strecken.
Folgendes Szenario:
Ich habe 2 Standorte: Zentrale (7100+) mit 2x SDSL und je einer festen IP und eine Filiale (1781A-3G) mit ADSL Business und fester IP. Zusätzlich ist an der Filiale eine UMTS-Karte eingebaut, welche im Fehlerfall des ADSL eine Verbindung ins Internet aufbauen soll. (Und danach auch die Verbindung zur Zentrale)
Der Verbindungsaufbau ist mit Hilfe von Zertifikaten realisiert. In der Filiale ist als entferntes Gateway die 1. feste IP der Zentrale eingestellt. Unter weitere entfernte Gateways steht die 2. feste IP der Zentrale. Das funktioniert so wie es soll. Ist die erste Verbindung nicht erreichbar wird ein Tunnel über die 2. aufgebaut.
Das Leitungsbackup an der Filiale habe ich über "Kommunikation - Ruf-Verwaltung - Backup-Tabelle" eingestellt.
Das funktioniert auch soweit schon ganz gut. Bricht die ADSL-Leitung weg (217.x.x.x) - wird nach kurzer Zeit eine UMTS-Verbindung ins Internet hergestellt. Und der Standort hat eine neue (dynamische) IP (38.x.x.x). In der Aktions-Tabelle ist ein Eintrag vorhanden, der bei Verbindungsaufbau die dyndns Adresse updatet. (das funktioniert auch)
Leider geht so nicht sofort der Aufbau des VPN-Tunnels. Es dauert bis zu 10mins eh der LANCOM kapiert hat, dass es DNS-technisch eine neue IP gibt. Scheinbar wird dann erst eine neue DNS Auflösung gemacht. Bis dahin cached er die letzten Ergebnisse.
In der Zentrale bekomme ich immer die Meldung "No Configuration found for Peer 38.x.x.x"
In der Zentrale habe ich als entferntes Gateway den dyndns Namen (xyz.dnsme.de) reingeschrieben.
Scheinbar löst hier der LANCOM in der Zentrale die dyndns adresse noch nicht richtig auf (erst nach 10mins) und deswegen kommt die obere Meldung.
Wie kann ich das verhindern bzw beschleunigen.
Kann ich in der Zentrale "Entferntes Gateway" weglassen? Aber dann weiß der Router ja nicht welche Konfiguration er "laden" muss.
VPN mit UMTS-Backup
Moderator: Lancom-Systems Moderatoren
Re: VPN mit UMTS-Backup
Hi lolman,
Aber es sollte maximal 6 Minuten dauern, bis neu aufgelöst wird (zumindest bei einem dyndns-Namen)...
Gruß
Backslash
Das LANCOM zieht die DNS-Auflösung etwas in die Länge, damit es bei vielen Aussenstellen mit dyndns-Namen nicht den DNS-Server des Providers "flutet"...Leider geht so nicht sofort der Aufbau des VPN-Tunnels. Es dauert bis zu 10mins eh der LANCOM kapiert hat, dass es DNS-technisch eine neue IP gibt. Scheinbar wird dann erst eine neue DNS Auflösung gemacht. Bis dahin cached er die letzten Ergebnisse.
In der Zentrale bekomme ich immer die Meldung "No Configuration found for Peer 38.x.x.x"
In der Zentrale habe ich als entferntes Gateway den dyndns Namen (xyz.dnsme.de) reingeschrieben.
Scheinbar löst hier der LANCOM in der Zentrale die dyndns adresse noch nicht richtig auf (erst nach 10mins) und deswegen kommt die obere Meldung.
Aber es sollte maximal 6 Minuten dauern, bis neu aufgelöst wird (zumindest bei einem dyndns-Namen)...
du hast doch oben geschriebenWie kann ich das verhindern bzw beschleunigen.
Kann ich in der Zentrale "Entferntes Gateway" weglassen? Aber dann weiß der Router ja nicht welche Konfiguration er "laden" muss.
dann weiß das LANCOM eigentlich durch das Zertifikat, mit wem es redet, zumindest, solange du die Defaults im VPN nicht geändert hast (MainMode-Proposal-List-Default: IKE_RSA_SIG)Der Verbindungsaufbau ist mit Hilfe von Zertifikaten realisiert.
Gruß
Backslash
Re: VPN mit UMTS-Backup
Ok dann werde ich das mal testen.
Heißt also das der Tunnel theoretisch sofort wieder stehen müsste?
Heißt also das der Tunnel theoretisch sofort wieder stehen müsste?
Re: VPN mit UMTS-Backup
Ich hab dies nun mal getestet.
Das funktioniert wirklich.
Danke für die Hilfe.
Das funktioniert wirklich.
Danke für die Hilfe.
Re: VPN mit UMTS-Backup
Hallo backslash!
Die folgende Aussage von Dir finde ich ein wenig beunruhigend.
Bei einem solchen Hinauszögern der DNS-Abfragen muss man ja im Falle einer gewechselten IP-Adresse immer erst relativ lange warten, bis ein VPN-Tunnel wieder aufgebaut werden kann oder sehe ich das falsch? Das ist ungünstig bei instabilen WAN-Verbindungen, wenn man auf DynDNS angewiesen ist und keine Zertifikate verwenden kann (z. B. weil von Gegenseite nicht unterstützt). Vor allem: Wenn man nur einen einzelnen VPN-Tunnel in einem Gerät eingerichtet hat, handelt es sich ja nicht um sehr viele DNS-Auflösungen.
Die folgende Aussage von Dir finde ich ein wenig beunruhigend.
Kann man das per Konfiguration irgendwie beeinflussen? Trift das nur bei den großen VPN-Modellen wie dem 7100 zu oder auch bei den kleineren Routern wie 1780-Serie, 1781-Serie usw.?Das LANCOM zieht die DNS-Auflösung etwas in die Länge, damit es bei vielen Aussenstellen mit dyndns-Namen nicht den DNS-Server des Providers "flutet"...
Aber es sollte maximal 6 Minuten dauern, bis neu aufgelöst wird (zumindest bei einem dyndns-Namen)...
Bei einem solchen Hinauszögern der DNS-Abfragen muss man ja im Falle einer gewechselten IP-Adresse immer erst relativ lange warten, bis ein VPN-Tunnel wieder aufgebaut werden kann oder sehe ich das falsch? Das ist ungünstig bei instabilen WAN-Verbindungen, wenn man auf DynDNS angewiesen ist und keine Zertifikate verwenden kann (z. B. weil von Gegenseite nicht unterstützt). Vor allem: Wenn man nur einen einzelnen VPN-Tunnel in einem Gerät eingerichtet hat, handelt es sich ja nicht um sehr viele DNS-Auflösungen.
Re: VPN mit UMTS-Backup
Hi mme
nein, das kann man nicht ändern...
BTW: Wenn diene Internetverbindumng so instabil ist, daß ein 5-Minuten abgleich schon zum Problem wird, dann wird auch ein "ungebremster" Abgleich nach einer Minute (Standard bei dynDNS) zu einem Problem...
Gruß
Backslash
nein, das kann man nicht ändern...
BTW: Wenn diene Internetverbindumng so instabil ist, daß ein 5-Minuten abgleich schon zum Problem wird, dann wird auch ein "ungebremster" Abgleich nach einer Minute (Standard bei dynDNS) zu einem Problem...
Gruß
Backslash
Re: VPN mit UMTS-Backup
Vielen Dank für die Rückmeldung!