Hallo Zusammen,
ich hab eine Problem mit meinem VPN Aufbau auf unserem Lancom 1681V.
Aus Redundanzgründen habe ich zwei VPN Verbindungen auf dem Router konfiguriert, über die der Verkehr zu bestimmten Adresse über den Load-Balancer verteilt werden soll. Grundlegend ja alles kein Problem. Die Verbindungen sind auch korrekt konfiguriert, erfolgreich aufgebaut und der gewünschte Verkehr wird auch ohne Probleme über jede Verbindung einzeln geleitet.
Habe ich nun aber beide Verbindungen gleichzeitig konfiguriert (und erfolgreich verbunden) funtkioniert die Weiterleitung immer nur über einen der Tunnel. Beim LoadBalancing bedeutet das, etwa jede zweiter Request wird zum Timeout, da für den LoadBalancer ja die Verbindungen erfolgreich stehen und beide genutzt werden.
Welcher Tunnel der funtkionstüchtige ist liegt immer daran, welcher als letztes aufgebaut wurde. Trenne ich VPN1 Verbindung (dass diese sofort neu aufgebaut wird) funktioniert nur die Weiterleitung darüber und Trenne ich kurz VPN2, habe ich das ganze Spiel umgekehrt und kein Verkehr geht mehr durch VPN1. Der Verkehr verlässt den Router garnicht, es kommt nichts bei dem jeweils zuerst aufgebauten VPN Server an, soviel steht fest.
Anbei noch ein paar Fakten zu meinem Aufbau:
VPN Verbindungen (Erfolgreich aufgebaut ohne Fehler, funktionieren ja auch unabhängig voneinander):
VPN1.EXAMPLE.TLD: Haltezeit: 9999, DPB: 60, Extranet: 0.0.0.0, Gateway: 1.1.1.1
VPN2.EXAMPLE.TLD: Haltezeit: 9999, DPB: 60, Extranet: 0.0.0.0, Gateway: 2.2.2.2
Load Balancer:
VPN-LOADBALANCE: VPN1.EXAMPLE.TLD, VPN2.EXAMPLE.TLD
Routing Tabelle:
Gesamtes Internet hinter beiden VPN verfügbar. Geroutet werden sollen beliebige Internet Adressen über die Tags in der Firewall.
255.255.255.255/0, Router: INET-PROVIDER, Routing Tag: 0, Mask: An
255.255.255.255/0, Router: VPN1.EXAMPLE.TLD, Routing Tag: 5, Mask: Aus
255.255.255.255/0, Router: VPN2.EXAMPLE.TLD, Routing Tag: 6, Mask: Aus
255.255.255.255/0, Router: VPN-LOADBALANCE, Routing Tag: 7, Mask: Aus
Firewall Config (Verkehr zu Adresse 3.3.3.3 mit 7 für das VPN taggen):
Objekt: VPN-SITE1 %a3.3.3.3
Regel: VPN-SITE1 Quelle: Beliebig, Ziel: VPN-SITE1, Dienst: alle, ACCEPT, Routing Tag: 7
Wäre dankbar, wenn jemand ein Tip oder Ansatz für mich hätte, wo ich weiter forschen kann.
Viele Grüße
DerAdmin
1681V Parallele VPN's Routing Probleme
Moderator: Lancom-Systems Moderatoren
Re: 1681V Parallele VPN's Routing Probleme
Hi DerAdmin,
hier läuftst du in das Problem, daß VPN-Regeln eindeutig sein müssen... Ein Loadbalancing über VPN-Verbindungen klappt nur, wenn sie als Extranet-Verbindungen mit unterschiedlichen IP-Adressen als Endpunkte für darüber gestapelte PPTP-Verbindungen eingerichet sind.
Hier findest du ein Beispiel mit 4 Leitungen: http://www.lancom-forum.de/fragen-zum-t ... 11642.html
Gruß
Backslash
hier läuftst du in das Problem, daß VPN-Regeln eindeutig sein müssen... Ein Loadbalancing über VPN-Verbindungen klappt nur, wenn sie als Extranet-Verbindungen mit unterschiedlichen IP-Adressen als Endpunkte für darüber gestapelte PPTP-Verbindungen eingerichet sind.
Hier findest du ein Beispiel mit 4 Leitungen: http://www.lancom-forum.de/fragen-zum-t ... 11642.html
Gruß
Backslash
Re: 1681V Parallele VPN's Routing Probleme
Vielen Dank für deine schnelle Rückmeldung.
Ich habe das ganze jetzt gelöst indem ich nur eine VPN Verbindung eingerichtet habe und den zweiten VPN Server in die Liste weiterer entferner Gateways für die VPN Verbindungen eingetragen habe. Habe dadurch kein Loadbalancing aber definitiv die Redundanz und bei Ausfall einen Aufbau der Backup VPN Route. Erwähnen sollte man vielleicht noch für andere die das erreichen wollen, dass die Authentifizierung an beiden VPN Servern mit den gleichen Zertifikat erfolgen muss.
Gruß
DerAdmin
Ich habe das ganze jetzt gelöst indem ich nur eine VPN Verbindung eingerichtet habe und den zweiten VPN Server in die Liste weiterer entferner Gateways für die VPN Verbindungen eingetragen habe. Habe dadurch kein Loadbalancing aber definitiv die Redundanz und bei Ausfall einen Aufbau der Backup VPN Route. Erwähnen sollte man vielleicht noch für andere die das erreichen wollen, dass die Authentifizierung an beiden VPN Servern mit den gleichen Zertifikat erfolgen muss.
Gruß
DerAdmin