Zusammenhang PPTP, Loadbalancing, Firewall und IP-Routen

[Carli]

Hallo zusammen,

nachdem ich mir diverse Abende mit Probieren und Recherchieren um die Ohren geschlagen habe, muss ich nun doch mal fragen, da ich es einfach nicht ganz durchschaue.

Ich habe den Lancom an 2 DSL-Leitungen hängen und wollte gern eine PPTP (ja, unverschlüsselt) aufbauen, um damit auf die Rechner im LAN zuzugreifen oder ggf. mal eine Spiele-Session abzuhalten.

Nachdem ich alles so eingestellt hatte wie auf http://www2.lancom.de/kb.nsf/0/1f3a4eb3 ... enDocument beschrieben, konnte ich mich direkt von außen einwählen, bekam sauber eine IP aus dem definiertem Pool in meinem LAN und die Verbindung ins Internet wurde auch über den Lancom geroutet. ABER ich kam auf keine einzige Station im LAN.
Nach diversen Beiträgen hier bin ich zu den Erkenntnissen gekommen, dass ich z.B. eine Route für eine Station anlegen kann oder über 2 Firewall-Regeln die Gegenstelle mit einbinden kann - was auch beides funktionierte. Bei letzterem musste ich jedoch feststellen, dass ich entweder den LOAD-Balancer verwenden kann oder die VPN-Stationen in mein Netz bekomme - beides geht scheinbar nicht.

Nun stellt sich für mich die Frage, muss das so kompliziert sein? Ich glaube nicht, denn in dem zuerst genannten Knowledge-Base-Eintrag steht ja weder etwas von der Route noch von den Firewall-Regeln. Warum geht es bei mir nur mit einer dieser Krücken? Liegt es an den 2 DSL-Routen?

Kann mir mal bitte jemand diese Zusammenhänge (laiengerecht) erklären.

Vielen Dank und viele Grüße
Christoph

[backslash]

Hi radtke

ABER ich kam auf keine einzige Station im LAN.

hast du ach das Häkchen bei "IP-Router -> Allgemein -> entfernte Stationen mit Proxy-ARP einbinden" gesetzt?

Oder hat der Pool bei dir Adressen, die außerhalb deines LANs liegen? Dann muß das LANCOM für die Rechner im LAN das Defaultgateway sein.

Nach diversen Beiträgen hier bin ich zu den Erkenntnissen gekommen, dass ich z.B. eine Route für eine Station anlegen kann oder über 2 Firewall-Regeln die Gegenstelle mit einbinden kann - was auch beides funktionierte

Eine Route ist nur nötig, wenn du feste Adressen vergeben willst. Wenn eine Adresse aus dem Pool vergeben werden soll, dann darfst du keine Route setzen.

Die Firewallregeln sind auch nur nötig, wenn du eine Deny-All Regel in der Firewall hast. I.A. brauchst du dann auch nur eine Regel (Quelle: RAS-Client, Ziel alle Stationen), es sei denn du willst auch vom LAN aus auf den Client zugreifen - dann brauchst du auch die "Spiegelregel"...

Nun stellt sich für mich die Frage, muss das so kompliziert sein?

nein, du machst es dir vermutlich selbst kompliziert...

Gruß
Backslash

[Carli]

Hi Backslash,

hast du ach das Häkchen bei "IP-Router -> Allgemein -> entfernte Stationen mit Proxy-ARP einbinden" gesetzt?

ja, hab alles exakt wie in dem Knowledge-Base-Eintrag.

Oder hat der Pool bei dir Adressen, die außerhalb deines LANs liegen? Dann muß das LANCOM für die Rechner im LAN das Defaultgateway sein.

nein, sowohl mein LAN als auch der Einwahl-Pool ist im Bereich 192.168.1.x

Die Firewallregeln sind auch nur nötig, wenn du eine Deny-All Regel in der Firewall hast. I.A. brauchst du dann auch nur eine Regel (Quelle: RAS-Client, Ziel alle Stationen), es sei denn du willst auch vom LAN aus auf den Client zugreifen - dann brauchst du auch die "Spiegelregel"...

ich habe keine Deny-All-Regel, aber meine letzte Regel sorgt dafür, dass alle nicht bereits behandelten Verbindungen über die 2. DSL-Leitung (Routing-Tag 1) abgewickelt werden.
Lass mich raten, genau da ist das Problem? Wenn ich die DSL-Leitungen umdrehen (also Routing-Tag 0 und 1 vertauschen und die Firewall-Regeln entsprechend drehen) würde, wäre es sofort gegangen?

nein, du machst es dir vermutlich selbst kompliziert...

Daran besteht gar kein Zweifel, ich möchte es nur verstehen.

Viele Grüße
Christoph