Ausgangssituation:
Windows-Netzwerk mit mehreren W2k3 Servern an mehreren Standorten z.Z. über LANCOM 4000 ISDN-Router verbunden und DSL-Light Internet-Zugang über extra Router (D-Link DSL-562T), wobei die ISDN-Router und der DSL-Router in vollkommen verschiedenen IP-Adressräumen arbeiten und die Router, Server und Computer so konfiguriert sind, dass die Computer im Windows-Netzwerk keinerlei Internet-Zugang besitzen. Zusätzlich sind ISDN-Einwahlzugänge für das Windows-Netzwerk möglich. Funktioniert soweit alles seit Jahren problemlos.
Zielsetzung:
DSL-VPN Verbindung von zwei Standorten (Zentrale Z und Außenstelle A) über Kabel-(TV)-DSL mit möglichem ISDN-Backup der Verbindung und unter Beibehaltung der bisherigen IP-Adressräume (Z in der Zentrale, A in der Außenstelle und I für die Internet-Nutzung) sowie der ISDN-Einwahlzugänge. Ein direkter Internet-Zugang soll auch weiterhin für das gesamte Windows-Netzwerk nicht möglich sein, nur die VPN-Verbindung von Zentrale und Außenstelle.
Dieses sollte mit LANCOM 1611+ Routern in der Zentrale und in der Außenstelle so doch realisierbar sein?
Einschränkungen bei der Umsetzung:
Die Umstellung muss im laufenden Betrieb des Windows-Netzwerkes erfolgen und Unterbrechungen der Verbindung zwischen Zentrale und Außenstelle kann nur kurzzeitig (ca. 1 Stunde) vom Gesamtsystem toleriert werden.
1. Versuch der Umsetzung:
Konfiguration des LANCOM 1611+ für die Zentrale, ein Ethernet-Port (ETH-1) mit einer IP-Adresse aus dem Adressraum Z der Zentrale und ein zweiter Ethernet-Port (ETH-2) mit einer IP-Adresse aus dem Adressraum I für den Internet-Zugang. Beide Ports im "Private-Mode" und in der Firewall Ausschluss von Verbindungen aus dem Adressraum Z der Zentrale über die Default-Route in das Internet.
Konfiguration der ISDN-Verbindungen entsprechend dem bisherigen ISDN-Router in der Zentrale, so dass erstmal in der Zentrale der ISDN-Router (LANCOM 4000) und der DSL-Router (DSL-562T) gegen den LANCOM 1611+ ausgetauscht werden kann und der LANCOM 4000 ISDN-Router der Außenstelle ohne weitere Konfiguration wie bisher die ISDN-Verbindung zwischen Außenstelle und Zentrale herstellen kann, sowie die bisherigen ISDN-Einwahlen wie bisher funktionieren.
Probleme beim 1. Versuch der Umsetzung:
Die Internet-Verbindung und die ISDN-Verbindungen in der Zentrale funktionieren beide einzeln problemlos. Aber der gleichzeitige Betrieb der Internetverbindung und der ISDN-Verbindung mit der Außenstelle führt zu massiven Problemen. Insbesondere meldet die Firewall sporadisch "Intruder detections" aus dem Adressraum I auf öffentliche IPs, wobei die ISDN-Verbindung massiv gestört ist (ständige Verbindungsabbrüche).
Also den Ethernet-Port (ETH-2) für den Adressraum I deaktiviert und erstmal den alten DSL-Router am alten DSL-Light Anschluss wieder in Betrieb genommen, damit zumindest Internet-Verbindung und ISDN-Verbindung wieder funktionieren.
Offensichtlich ist die Konfiguration der LANCOM 1611+ in dem Fall nicht so einfach, wie man sich das so vorstellt. Da benötige ich dann doch wohl etwas Unterstützung und Denkanstöße, wie man das möglichst problemlos, einschließlich der DSL-VPN Verbindung zwischen Zentrale und Außenstelle, in Betrieb genommen bekommt und die LANCOM 1611+ richtig konfiguriert.
Über entsprechende Hinweise würde ich mich sehr freuen, sonst wird bei den "unendlich" vielen Konfigurations-Parametern der LANCOM 1611+ das wohl eine "unendliche Geschichte", ohne Aussicht auf Erfolg.
1611+ mit zwei unabhängigen Netzwerken betreiben?
Moderator: Lancom-Systems Moderatoren
Hi Karlchen
wieso nimmst du nicht einfach den WAN-Port um die Internetverbindung darüber laufen zu lassen.
Wieso nimmst du nicht einfach den Internet-Wizard um die Verbindung einzurichten (Bei der Frage nach dem Provider gibst du "Internetzugang über Plain Ethernet (IPoE)" an...
Gruß
Backslash
1. Versuch der Umsetzung:
Konfiguration des LANCOM 1611+ für die Zentrale, ein Ethernet-Port (ETH-1) mit einer IP-Adresse aus dem Adressraum Z der Zentrale und ein zweiter Ethernet-Port (ETH-2) mit einer IP-Adresse aus dem Adressraum I für den Internet-Zugang. Beide Ports im "Private-Mode" und in der Firewall Ausschluss von Verbindungen aus dem Adressraum Z der Zentrale über die Default-Route in das Internet.
wieso nimmst du nicht einfach den WAN-Port um die Internetverbindung darüber laufen zu lassen.
Wieso nimmst du nicht einfach den Internet-Wizard um die Verbindung einzurichten (Bei der Frage nach dem Provider gibst du "Internetzugang über Plain Ethernet (IPoE)" an...
Die Firewall meldet das nicht umsonst.... Laß dir eine Mail von der Firewall schicken, denn da steht genau drin, was warum sie das Paket abgelehnt hat.Insbesondere meldet die Firewall sporadisch "Intruder detections" aus dem Adressraum I auf öffentliche IPs
das wage ich irgendwie zu bezweifeln...wobei die ISDN-Verbindung massiv gestört ist (ständige Verbindungsabbrüche).
also, wenn du die Wizards nimmst, dann ist dein Szenario trivial...Offensichtlich ist die Konfiguration der LANCOM 1611+ in dem Fall nicht so einfach, wie man sich das so vorstellt.
Gruß
Backslash
Erstmal danke für die schnelle Reaktion.
Die WAN-Verbindung zum Internet-Provider (Kabel-(TV-)Internet läuft natürlich über den WAN-Port, wurde mit dem Wizard eingerichtet und funktioniert auch. Da habe ich mich wohl mit "Internet-Zugang" etwas unklar ausgedrückt, sorry. Internet-Zugang für die Computer an ETH-2, die im IP-Adressbereich I liegen, war damit gemeint.
Das Problem sind die zwei Firmen-Netzwerke an ETH-1/LAN-1 und ETH-2/LAN-2, wobei das Netzwerk an ETH-1/LAN-1 das Windows-Netzwerk ist und z.Z. für sich auch mit dem ISDN-Routing problemlos funktioniert. Genauso funktioniert für sich die Internet-Verbindung der Computer an ETH-2/LAN-2. Aber nicht beides gleichzeitig.
Wie kann es sein, dass die Firewall ohne gleichzeitige ISDN-Router-Verbindung zur Außenstelle keine "Intruder detections" für Zugriffe von Computern an ETH-2/LAN-2 auf öffentliche Internet-IPs meldet, aber sporadisch sobald die ISDN-Router-Verbindung für die Computer an ETH-1/LAN-1 zur Außenstelle (oder umgekehrt) hergestellt ist?
Sobald beide Verbindungen (ISDN-Router und Internet-WAN) akrtiv sind, behindern sich beide massiv. Die ISDN-Router-Verbindung wird ständig getrennt und die Internet-Verbindung ist auf Grund der Firewall auch gestört.
Naja, werde es nochmal versuchen den LANCOM 1611+ nur über die Wizards zu konfigurieren. Kann man da überhaupt zwei getrennte Netzwerke an einzelnen Ethernet-Ports (eines für die ISDN-Router-Verbindung und eines für die Internet-Verbindung) getrennt konfigurieren?
Die WAN-Verbindung zum Internet-Provider (Kabel-(TV-)Internet läuft natürlich über den WAN-Port, wurde mit dem Wizard eingerichtet und funktioniert auch. Da habe ich mich wohl mit "Internet-Zugang" etwas unklar ausgedrückt, sorry. Internet-Zugang für die Computer an ETH-2, die im IP-Adressbereich I liegen, war damit gemeint.
Das Problem sind die zwei Firmen-Netzwerke an ETH-1/LAN-1 und ETH-2/LAN-2, wobei das Netzwerk an ETH-1/LAN-1 das Windows-Netzwerk ist und z.Z. für sich auch mit dem ISDN-Routing problemlos funktioniert. Genauso funktioniert für sich die Internet-Verbindung der Computer an ETH-2/LAN-2. Aber nicht beides gleichzeitig.
Wie kann es sein, dass die Firewall ohne gleichzeitige ISDN-Router-Verbindung zur Außenstelle keine "Intruder detections" für Zugriffe von Computern an ETH-2/LAN-2 auf öffentliche Internet-IPs meldet, aber sporadisch sobald die ISDN-Router-Verbindung für die Computer an ETH-1/LAN-1 zur Außenstelle (oder umgekehrt) hergestellt ist?
Sobald beide Verbindungen (ISDN-Router und Internet-WAN) akrtiv sind, behindern sich beide massiv. Die ISDN-Router-Verbindung wird ständig getrennt und die Internet-Verbindung ist auf Grund der Firewall auch gestört.
Naja, werde es nochmal versuchen den LANCOM 1611+ nur über die Wizards zu konfigurieren. Kann man da überhaupt zwei getrennte Netzwerke an einzelnen Ethernet-Ports (eines für die ISDN-Router-Verbindung und eines für die Internet-Verbindung) getrennt konfigurieren?
Hi Karlchen
ich kenne dein Netz und deine im LANCOM konfigurierten Routen nicht, aber wie gesagt: Die Firewall macht das nicht "umsonst". Sie schlägt immer dann Alarm, wenn ein Paket über ein Interface empfangen wird, über das die Absenderadresse des Pakets laut Routing-Tabelle nicht ereichbar ist...
Nochmal: Laß dir von der Firewall eine Mail schicken, da ist dann ganz genau aufgeschlüsselt, warum sie das Paket angemeckert hat.
Gruß
Backslash
Code: Alles auswählen
Wie kann es sein, dass die Firewall ohne gleichzeitige ISDN-Router-Verbindung zur Außenstelle keine "Intruder detections" für Zugriffe von Computern an ETH-2/LAN-2 auf öffentliche Internet-IPs meldet, aber sporadisch sobald die ISDN-Router-Verbindung für die Computer an ETH-1/LAN-1 zur Außenstelle (oder umgekehrt) hergestellt ist?
Nochmal: Laß dir von der Firewall eine Mail schicken, da ist dann ganz genau aufgeschlüsselt, warum sie das Paket angemeckert hat.
ja, hier lautet das Stichwort ARF... Du kannst es darüber sogar so konfigurieren, daß jedes Netz meint, einen eigenen Router für sich alleine zu haben, d.h. das andere Netz und auch die zugehörigen Routen werden gar nicht gesehen (das nennt man dann "Routervirtualisierung")Kann man da überhaupt zwei getrennte Netzwerke an einzelnen Ethernet-Ports (eines für die ISDN-Router-Verbindung und eines für die Internet-Verbindung) getrennt konfigurieren?
Gruß
Backslash
Nochmald danke für die ausführlichen Antworten.
Wie gesagt, werde am Wochenende (da stört das noch am wenigsten) nochmal nach einem Werks-Reset des LANCOM 1611+ die Konfiguration versuchen. Glaube auch, dass ich da etwas "verkonfiguriert" habe, was ich so nicht wollte.
Und wenn die Mail von der Firewall ausführlichere Informationen enthält, werde ich das auch gleich in der Konfiguration einstellen.
Den Hinweis zur "Router-Virtualisierung" mit Hilfe von ARF schau ich mir dann mal in der Dokumentation genau an. Die Funktion könnte sicherlich hilfreich sein.
Schönes Wochenende
Wie gesagt, werde am Wochenende (da stört das noch am wenigsten) nochmal nach einem Werks-Reset des LANCOM 1611+ die Konfiguration versuchen. Glaube auch, dass ich da etwas "verkonfiguriert" habe, was ich so nicht wollte.
Und wenn die Mail von der Firewall ausführlichere Informationen enthält, werde ich das auch gleich in der Konfiguration einstellen.
Den Hinweis zur "Router-Virtualisierung" mit Hilfe von ARF schau ich mir dann mal in der Dokumentation genau an. Die Funktion könnte sicherlich hilfreich sein.
Schönes Wochenende
Kurze Rückmeldung:
Nach dem die Router mit einem Werks-Reset in den Urzustand versetzt wurden und nochmal vollkommen neu Konfiguriert wurden (hauptsächlich über die Assistenten), funktioniert es erstmal.
Der Gedankenanstoß, mich doch nochmal mit ARF auseinanderzusetzen, war sehr hilfreich. Ich wusste schon, warum ich auch vorher die beiden Netzwerkinterfaces mit verschiedenen Schnittstellen-Tags versehen habe, habe dann aber wohl den "Überblick" verloren und insbesondere in den Routing-Tabellen und in der Firewall die dazu passenden Tags vergessen einzutragen (soweit ich mich recht erinnere, standen da alle Tags noch auf dem Standardwert 0 und nicht auf 1 bzw. 2 für die verschiedenen Netzwerke).
Jetzt kann dann die Einrichtung der VPN-Verbindung erfolgen. Mal sehen, was da für "Hürden" zu nehmen sind.
Vielen Dank für den "Denkanstoß", der zu einer Lösung des Problems geführt hat.
Gruß
Karlchen
Nach dem die Router mit einem Werks-Reset in den Urzustand versetzt wurden und nochmal vollkommen neu Konfiguriert wurden (hauptsächlich über die Assistenten), funktioniert es erstmal.
Der Gedankenanstoß, mich doch nochmal mit ARF auseinanderzusetzen, war sehr hilfreich. Ich wusste schon, warum ich auch vorher die beiden Netzwerkinterfaces mit verschiedenen Schnittstellen-Tags versehen habe, habe dann aber wohl den "Überblick" verloren und insbesondere in den Routing-Tabellen und in der Firewall die dazu passenden Tags vergessen einzutragen (soweit ich mich recht erinnere, standen da alle Tags noch auf dem Standardwert 0 und nicht auf 1 bzw. 2 für die verschiedenen Netzwerke).
Jetzt kann dann die Einrichtung der VPN-Verbindung erfolgen. Mal sehen, was da für "Hürden" zu nehmen sind.
Vielen Dank für den "Denkanstoß", der zu einer Lösung des Problems geführt hat.
Gruß
Karlchen