Liebe Gemeinde,
folgendes Problem tritt bei einem Kunden auf:
Die Zentrale (ein 7100) ist mit insgesamt 16 Stück 1781A via VPN verbunden.
Überall ist die Firmware 8.80.0135 im Einsatz.
Über die Internetverbindung von zwei der Filial-Router soll jeweils von der Zentrale aus eine bestimmte
öffentliche IP eines Webservers geroutet werden:
PC im Zentralnetz > Zugriff auf IP 1.1.1.1 > Zentralrouter > Filialrouter1 > Internet
PC im Zentralnetz > Zugriff auf IP 2.2.2.2 > Zentralrouter > Filialrouter2 > Internet
Das "restliche" Internet soll ganz normal über die Internerverbindung der Zentrale laufen:
PC im Zentralnetz > Zugriff auf IP x.x.x.x > Zentralrouter > Internet
Wir haben uns soweit zutreffend an den KB-Artikel http://www2.lancom.de/kb.nsf/1275/BA3CD ... enDocument gehalten (nur halt anders herum, also Zentrale > Filiale).
Da nicht sämtlicher Verkehr über die Filialen laufen soll gibt es zwei
Routen: Routing-Tag 4 mit Gegenstelle Filiale1 und Routing-Tag 5 mit Gegenstelle Filiale2.
Die Entscheidung welche IP über welche Route geleitet werden soll läuft über zwei Firewall-Regeln mit dem jew. Routing-Tag (ACCEPT, Quelle: INTRANET, Ziel: die IP des jew. Webservers, Routing-Tag: 4 bzw. 5).
Wenn die Gegenstellen beider Routing-Tags auf eine Filiale lauten (also Routing-Tag 4 auf Filiale1 und Routing-Tag 5 auf Filiale1 ODER Routing-Tag 4 auf Filiale2 und Routing-Tag 5 auf Filiale2) läuft alles soweit wunderbar - nur halt über eine Filiale.
Wenn dann allerdings Routing-Tag 4 auf Filiale1 und Routing-Tag 5 auf Filiale 2 lautet funktioniert der Zugriff auf eine der externen IPs via der jew. Route nicht mehr (die Route deren VPN-Verbindung sich zuerst aufgebaut hat funktioniert nicht).
Wird jetzt die VPN-Verbindung der Route die nicht funktioniert getrennt und
wieder aufgebaut funktioniert diese Route, dafür die andere nicht mehr.
Wird jetzt die VPN-Verbindung der Route die vorher funktioniert hat aber
nach dem Trennen nicht mehr funktioniert getrennt und wieder aufgebaut
funktioniert wieder diese Route, dafür aber wieder die andere nicht mehr ...
usw ...
Der VPN-Zugriff auf die Geräte und den Router in den Filialen funktioniert
immer einwandfrei, auch wenn das Routing einer der IPs über eine der zusätzlichen Routen nicht funktioniert.
Ich freue mich auf eure Rückmeldung!
Vielen Dank und viele Grüße
Michael
2 Internet-IPs via 2 verschiedene VPN-Gegenstellen routen
Moderator: Lancom-Systems Moderatoren
-
lordmike1503
- Beiträge: 16
- Registriert: 03 Okt 2012, 12:18
Hi lordmike1503
du dürftest da in das Problem rennen, daß IPSec-Regeln eindeutig sein müssen... Leider ist das in deinem Aufbau nicht der Fall, denn du hast jedesmal die Kombinsation lokales-Netz <-> "Internet"...
In diesem Fall solltest du statt das "Internet" auf die Filialen zu routen einfach nur die beiden IP-Adressen der Server - dadurch wird das Ganze wieder eindeutig und es sollte funktionieren
Gruß
Backslash
du dürftest da in das Problem rennen, daß IPSec-Regeln eindeutig sein müssen... Leider ist das in deinem Aufbau nicht der Fall, denn du hast jedesmal die Kombinsation lokales-Netz <-> "Internet"...
In diesem Fall solltest du statt das "Internet" auf die Filialen zu routen einfach nur die beiden IP-Adressen der Server - dadurch wird das Ganze wieder eindeutig und es sollte funktionieren
Gruß
Backslash
-
lordmike1503
- Beiträge: 16
- Registriert: 03 Okt 2012, 12:18