VPN über eine andere WAN-Verbindung

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

RalphT
Beiträge: 268
Registriert: 23 Mai 2005, 20:40
Wohnort: Bremen

VPN über eine andere WAN-Verbindung

Beitrag von RalphT »

Moin,

nachdem ich am Lancom 1783 VAW ein weiteres DSL-Modem (Vigor 130) angeschlossen habe, wollte ich die bestehende VPN-Verbindung über die neue WAN-Verbindung herstellen. Das Vigor 130 arbeitet als reines DSL-Modem. Der Lancom macht die Einwahl. Das funktioniert soweit.
Derzeit habe ich zwei Defaultrouten: 0=Telekom und 1=EWE. Beide Anbieter haben feste IP-Adressen.

Ich habe dazu in den VPN-Einstellungen folgendes verändert:

Auf diesem Lancom:
- in der VPN Verbindungliste das Routing-Tag auf die neue WAN-Verbindung gesetzt. Also von 0 auf 1.
- unter IKE-Schlüssel und Identitäten die lokale Identität verändert.

Auf der Gegenseite
- In der VPN Verbindungliste die neue IP-Adresse (WAN) der Gegenseite angepasst.

Auf beiden Seiten scheitert es in der Phase 1. Es gibt einen Timeout.

Zum Testen der zweiten Verbindung habe ich in der Firewall die Regel für HTTP, usw. das Routimg-Tag von 0 auf 1 gesetzt. Dann mit einem PC in das Internet gegangen und einen Speedtest durchgeführt. Dieser nimmt dann, so wie es auch sein soll, die zweite Internetverbindung.

Habe ich bei der VPN-Konfiguration etwas vergessen?

PS:
Die zweite Internetverbindung habe ich nach folgendem Muster eingerichtet:
lancom-umts-lte-router-f33/vigor-130-al ... 15267.html
RalphT
Beiträge: 268
Registriert: 23 Mai 2005, 20:40
Wohnort: Bremen

Re: VPN über eine andere WAN-Verbindung

Beitrag von RalphT »

Ich nochmal,

es sieht wohl so aus, dass das hier gar kein VPN-Problem ist.

Ich habe mal von extern versucht die WAN-IP (EWE) vom zweiten Internetzugang anzupingen. Hier gibt es keine Antwort. Versuche ich einen Ping auf die erste WAN-IP (Telekom) abzusetzen, dann gibt es eine Antwort.
Ein Trace auf die zweite WAN-IP durchläuft einige Server und bei irgendeinen Server, wahrscheinlich vom Provider EWE bleibt die Antwort aus.
RalphT
Beiträge: 268
Registriert: 23 Mai 2005, 20:40
Wohnort: Bremen

Re: VPN über eine andere WAN-Verbindung

Beitrag von RalphT »

Nun hatte ich den Fehler gefunden. Die VPN-Verbindung wird jetzt über die zweite WAN-Verbindung hergestellt.
Allerdings bin ich mit dem Ergebnis nicht zufrieden. Die Geschwindigkeit scheint immer noch die alte zu sein. Also die von der ersten Verbindung (Telekom).

Ich habe für beide WAN-Verbindung den Lancom einwählen lassen.
Dann habe ich in der IPv4-Routingtabelle einen weiteren Eintrag mit 255.255.255.255 erstellt. Hier habe ich das Routing-Tag "1" gesetzt. Und die richtige Gegenstelle dafür ausgewählt.

In den VPN Einstellungen habe einmal natürlich die neue WAN-IP-Adresse angepasst. Auf der Gegenseite auch. Weiterhin habe ich in der Verbindungsliste dort das Routing-Tag von "0" auf "1" gesetzt.
Jetzt gibt es ja noch die Möglichkeit, dass ich in den Firewallregeln für die beiden VPN-Netzbeziehungen das Routing-Tag dort verändere. Weiterhin sind unter den IPv4-Routen ja noch Einträge für die Netze der Gegenseite. Auch dort hätte ich die Möglichkeit, die Routing-Tags von "0" auf "1" anzupassen. Das habe ich aber in beiden Fällen nicht gemacht.

Jetzt müsste doch der VPN-Datenverkehr über die zweite WAN-Verbindung laufen? Oder liege ich da falsch?
RalphT
Beiträge: 268
Registriert: 23 Mai 2005, 20:40
Wohnort: Bremen

Re: VPN über eine andere WAN-Verbindung

Beitrag von RalphT »

Vielleicht frage ich mal anders:

Wenn ich eine bestehende VPN-Verbindung über eine zweite WAN-Verbindung leiten möchte, welche Schritte sind dafür notwendig?

Reicht es aus, dass unter VPN in der Verbindungsliste bei der betreffenden VPN-Verbindung das Routing-Tag von "0" auf "1" verändert wird?
Oder muss das Routing-Tag auch in den Firewallregeln der VPN-Verbindung und in der Routingtabelle für die entfernten Netze von "0" auf "1" geändert werden?
Benutzeravatar
hyperjojo
Beiträge: 801
Registriert: 26 Jul 2009, 02:26

Re: VPN über eine andere WAN-Verbindung

Beitrag von hyperjojo »

hallo,

das Tag in der Verbindungsliste reicht aus.

Gruß hyperjojo
RalphT
Beiträge: 268
Registriert: 23 Mai 2005, 20:40
Wohnort: Bremen

Re: VPN über eine andere WAN-Verbindung

Beitrag von RalphT »

Danke für deine Antwort!

Dann habe ich das leider richtig gemacht. Schade.

Wie gesagt, der Tunnel ist funktionsfähig. Nur die Geschwindigkeit sollte eigentlich der Geschwindigkeit der zweiten WAN-Verbindung entsprechen.
Das ist hier nicht der Fall. Ich habe daraufhin mit PRTG bei beiden Eingänge vom Lancom überwacht.
Also einmal das interne VDSL-Modem und den einen ETH-Eingang, wo das externe DSL-Modem angeschlossen ist.

Bei einem Dateitransfer durch den VPN-Tunnel zeigt sich, dass viel Traffik durch das interne DSL-Modem und über den einen ETH-Anschluss, wo das externe DSL-Modem hängt, fließt.

Das sollte doch nicht richtig sein. Ich erwarte eigentlich, dass bei einem VPN-Traffik auch nur der Datenstrom über den einen ETH-Anschluss geht.

Wo könnte ich denn noch nachsehen?
Benutzeravatar
Bernie137
Beiträge: 1700
Registriert: 17 Apr 2013, 21:50
Wohnort: zw. Chemnitz und Annaberg-Buchholz

Re: VPN über eine andere WAN-Verbindung

Beitrag von Bernie137 »

Falls das noch aktuell ist...
An der zugrundeliegenden DSL2??? Schnittstelle. Da lassen sich Up- und Download Geschwindigkeit hinterlegen. Steht da vielleicht etwas Verkehrtes?

Gruß Bernie

Gesendet von meinem HTC U12 life mit Tapatalk

Man lernt nie aus.
RalphT
Beiträge: 268
Registriert: 23 Mai 2005, 20:40
Wohnort: Bremen

Re: VPN über eine andere WAN-Verbindung

Beitrag von RalphT »

Falls das noch aktuell ist...
An der zugrundeliegenden DSL2??? Schnittstelle. Da lassen sich Up- und Download Geschwindigkeit hinterlegen. Steht da vielleicht etwas Verkehrtes?

Gruß Bernie
Hallo Bernie, da habe ich auch nachgesehen. Die Werte stimmen. Denn die normale Bandbreite direkt über das Internet passt soweit. Ich hatte mich von einem Speedmesser etwas blöffen lassen. Zwei weitere Speedtests und weitere Datei-Downloads passten von der Bandbreite.

Ja leider ist das Thema noch aktuell. Allerdings bin ich inzwischen einen kleinen Schritt weiter gekommen:
Es scheint nicht an dieser Zweitverbindung zu liegen. Das scheint alles ok und richtig konfiguriert zu sein.

Ich hatte mal testweise bei einer anderen Firma mit nur einem klassichen T-DSL50 und einer VPN-Verbindung auch einen Up- und Downloadtest gestartet. Hier ist das gleiche Problem. An die Raten für 10 MBit/s komme ich nicht annähernd ran. Das ist mir noch nie aufgefallen.
An beiden Endpunkten habe ich den T-DSL 50 MBit/s von der Telekom. Wenn ich einen Dateidownload von A nach B starte, dann müsste die Geschwindigkeit bei knappe 10 MBit/s liegen. Denn der Upload liegt ja bei 10 MBit/s. Da liege ich aber nur bei 1 oder 2 MBit/s. Das sollte doch eigentlich nicht sein.
Benutzeravatar
Bernie137
Beiträge: 1700
Registriert: 17 Apr 2013, 21:50
Wohnort: zw. Chemnitz und Annaberg-Buchholz

Re: VPN über eine andere WAN-Verbindung

Beitrag von Bernie137 »

Hallo RalphT,

sind bei Deinen "Tests" WLAN-Verbindungen involviert? Ich würde es gänzlich ohne WLAN testen.
Welche Up-und Downloadraten sind im Vigor Modem zu sehen? Den Zugriff auf das Modem kannst Du Dir bequem einrichten: viewtopic.php?f=5&t=12430
Ich habe daraufhin mit PRTG bei beiden Eingänge vom Lancom überwacht.
Also einmal das interne VDSL-Modem und den einen ETH-Eingang, wo das externe DSL-Modem angeschlossen ist.
Nimm nicht ETH sondern die konkreten beiden Internet Gegenstellen!
In den VPN Einstellungen habe einmal natürlich die neue WAN-IP-Adresse angepasst. Auf der Gegenseite auch.
Das verstehe ich nicht. Wenn überhaupt muss es nur auf der Gegenseite angepasst werden. Und da ergibt sich gleich das nächste...

Wie stellst Du sicher, welche Seite den VPN-Tunnel aufbaut? Nur wenn Dein 1783 VAW den VPN Tunnel aufbaut, greift das Routing Tag 1 in der VPN Verbindungsliste. Baut die Gegenseite den VPN Tunnel zu Dir auf, ist dieses Tag wurscht. Denn dann kommt die Gegenseite mit der konkreten IP zur passenden WAN-Verbindung. Haben beide Seiten eine Haltzeit von 9999? Dann gewinnt eine Seite per Zufall den VPN-Tunnelaufbau. Was ist überhaupt auf der Gegenseite, feste IP, welcher Router, was für eine Internetleitung?

Gruß Bernie
Man lernt nie aus.
RalphT
Beiträge: 268
Registriert: 23 Mai 2005, 20:40
Wohnort: Bremen

Re: VPN über eine andere WAN-Verbindung

Beitrag von RalphT »

Wie stellst Du sicher, welche Seite den VPN-Tunnel aufbaut?
Darüber hatte ich nicht nachgedacht, da mir auch nicht bewusst war, wenn der Tunnel von der Gegenseite aufgebaut wird, dass das Routing Tag 1 nicht greift.
Das habe ich geändert, sodass Lancom jetzt immer die Verbindung aufbaut. Allerdings sind die Raten immer noch nicht gut.

Ich habe das mal mit der Geschwindigkeit an einer anderen VPN-Verbindung an einen anderen Standort probiert. Diese beiden neuen Standorte haben mit dem Post in #1 nichts zu tun. Hier habe ich jeweils nur eine WAN-Verbindung und es besteht zwischen den beiden Standorten auch nur eine VPN-Verbindung. Also hier ganz einfach aufgebaut. An den Gegenstellen ist ein Lancom 1783VAW und ein 1794VAW.
Beide Standorte sind jeweils mit einem T-DSL 50-Anschluss verbunden. Auch hier liegt bei einem Dateitransfer die Rate nur so bei 1 bis 2 MBit/s.
Es sieht so aus, dass die schlechte Rate mit dem Problem der WAN-Adressen nichts zu tun hat.

Wo kann ich denn da noch nachsehen?
Benutzeravatar
Bernie137
Beiträge: 1700
Registriert: 17 Apr 2013, 21:50
Wohnort: zw. Chemnitz und Annaberg-Buchholz

Re: VPN über eine andere WAN-Verbindung

Beitrag von Bernie137 »

Auch hier liegt bei einem Dateitransfer die Rate nur so bei 1 bis 2 MBit/s.
Und wie testest Du das?
Man lernt nie aus.
RalphT
Beiträge: 268
Registriert: 23 Mai 2005, 20:40
Wohnort: Bremen

Re: VPN über eine andere WAN-Verbindung

Beitrag von RalphT »

Ich kopiere eine größere Datei von einem PC am Standort A auf einen Server nach Standort B. Das Fenster beim Kopieren zeigt mir unter Windwos 10 die Geschwindigkeit an. Und das probiere mehrmals.
Zeitgleich in PRTG lasse ich mir die Geschwindigkeit von der WAN-Verbindung anzeigen. Auch das kommt ungefähr der Anzeige von Win 10 gleich.
Au beiden Seiten werden keine Transfers oder in einer anderen Art und Weise das Internet benutzt. (Kein weiterer Nutzer vorhanden)
Benutzeravatar
Bernie137
Beiträge: 1700
Registriert: 17 Apr 2013, 21:50
Wohnort: zw. Chemnitz und Annaberg-Buchholz

Re: VPN über eine andere WAN-Verbindung

Beitrag von Bernie137 »

Und was sagt PRTG bzw. LANmonitor bei einem Speedtest der jeweiligen einzelnen Internetverbindung?
Man lernt nie aus.
RalphT
Beiträge: 268
Registriert: 23 Mai 2005, 20:40
Wohnort: Bremen

Re: VPN über eine andere WAN-Verbindung

Beitrag von RalphT »

Speedtest auf beiden Seiten zeigt jeweils gut 50 im Download an und 10 im Upload. Also sehr gut. Gleichzeitig zeigt der Lanmonitor auch diese Werte an. Auf der anderen Seite habe ich das mit PRTG gemessen. Auch hier stimmen die Werte.
Auch der tatsächliche Dateidownload aus dem Internet (Linux ISO) geht sehr flott. Das passt wohl von der Downloadzeit.
Benutzeravatar
Bernie137
Beiträge: 1700
Registriert: 17 Apr 2013, 21:50
Wohnort: zw. Chemnitz und Annaberg-Buchholz

Re: VPN über eine andere WAN-Verbindung

Beitrag von Bernie137 »

Hast Du mal die MTU durch den VPN Tunnel bestimmt von Windows zu Windows? Ping aaa.bbb.ccc.ddd -f - l <MTU-Größe>

Gruß Bernie
Man lernt nie aus.
Antworten