Gelöst:Zeitplan für 2 versch. Internetverb. am gleichen Port

[Bernie137]

Hallo zusammen,

ich stehe gerade vor der Überlegung, ob man oben genanntes Problem relativ einfach umsetzen kann?
Hintergrund: An dem Standort gibt es keine gescheite schnelle Internet Anbindung. Also werden 2 DSL Anschlüsse über Provider xy gebündelt für VPN (eine öffentliche IP mit 2 Bündel). Leider überschreiten wir sehr häufig das inkl. Datenvolumen und zahlen pro Monat drauf.
Nun ist die Idee, diesen Zugang nur tagsüber zuverwenden und nachts oder WE das erste DSL Bündel über Telekom Zugangsdaten einwählen zu lassen und da die Datensicherung usw. zu fahren.

Wie könnte man das am elegantesten umsetzen?
Geschäftszeit -> Modem 1 + 2 Einwahl über Bündelprovider
Nachtzeit -> nur Modem 1 Einwahl über TDSL
Lancom 1781EF LCOS 8.82
Beide Verbindungen sind schon eingerichtet und die Einwahl über Modem 1 mit TDSL ist als Backup für die Hauptverbindung hinterlegt. VPN funktioiniert auch schon im Backup Fall.

vg Bernie

[Jirka]

Hallo Bernie,

die Einwahl über Modem 1 mit TDSL ist als Backup für die Hauptverbindung hinterlegt.

das müsste man ändern, denn wenn eine Verbindung als Backup definiert ist, wird sie wieder abgebaut, sobald die Hauptverbindung wieder verfügbar ist.
Nehme ich richtig an, dass die Verbindungen auch gleichzeitig aufgebaut werden können?
Dann nimmst Du zwei Default-Routen mit unterschiedlichem Routing-Tag (Hauptverbindung 0) und machst dann per Firewall-Regeln Policy-based-Routing... Die Firewall-Regeln aktivierst (bzw. deaktivierst (mit no)) Du dann zu den entsprechenden Uhrzeiten in der Cron-Tabelle mit dem Befehl
set /2/8/10/2/NAME_DER_REGEL {Firewall-Rule} yes

Viele Grüße,
Jirka

[garfield0815]

Sowass könntest ru aber auch allgemein in den firewallregeln definieren

Z.b die schnelle Anbindung nur für VPN
Die langsame für email Internet etc .....

[Bernie137]

Hallo Jirka,

Nein, die Verbindungen können nich zeitgleich gewählt werden. Es hängt ein Modem an ETH1 und eines an ETH2. Die Hauptverbindung nutzt beide Modems, Backup nur das an ETH1. Ich bin am überlegen, ob ich über zeitgesteuerten Eintrag unter Kommunikation PPP bei der Hauptverbindung IP4 Routing gegen 16 Uhr ausknipse und morgens wieder auf aktiv. Müsste da nicht zwischenzeitlich das Backup anspringen?

Vg Bernie

Nachtrag: nüchtern betrachtet ist es kein "echtes" Backup, da jedesmal die gleiche DSL Leitung im Spiel ist, nur mit versch. Providerdaten.

[Jirka]

Hallo Bernie,

Nein, die Verbindungen können nich zeitgleich gewählt werden. Es hängt ein Modem an ETH1 und eines an ETH2. Die Hauptverbindung nutzt beide Modems, Backup nur das an ETH1.

Das ist aber kein Grund, warum die Verbindungen nicht auch gleichzeitig aufgebaut werden können! Ein LANCOM kann das, und so wie es sich anhört, geht das bei Dir auch...

Ich bin am überlegen, ob ich über zeitgesteuerten Eintrag unter Kommunikation PPP bei der Hauptverbindung IP4 Routing gegen 16 Uhr ausknipse und morgens wieder auf aktiv. Müsste da nicht zwischenzeitlich das Backup anspringen?

Nö. Es sei denn Du hast ein Polling eingerichtet. Vermute ich jedenfalls so.
Nun könnte man z. B. den PPP-Eintrag ganz wegnehmen (umbennen) und dann aber noch eine Verbindungstrennung machen, aber schlussendlich gibt es sinnvollere Möglichkeiten, als so rumzueiern...

Viele Grüße,
Jirka

[Bernie137]

Hallo Jirka,

Das ist aber kein Grund, warum die Verbindungen nicht auch gleichzeitig aufgebaut werden können! Ein LANCOM kann das, und so wie es sich anhört, geht das bei Dir auch...

Ah, das wusste ich nicht.

Nö. Es sei denn Du hast ein Polling eingerichtet. Vermute ich jedenfalls so.

Für die VPN-Verbindung ja, sonst nicht.

Dann nimmst Du zwei Default-Routen mit unterschiedlichem Routing-Tag (Hauptverbindung 0) und machst dann per Firewall-Regeln Policy-based-Routing... Die Firewall-Regeln aktivierst (bzw. deaktivierst (mit no)) Du dann zu den entsprechenden Uhrzeiten in der Cron-Tabelle mit dem Befehl
set /2/8/10/2/NAME_DER_REGEL {Firewall-Rule} yes

Die Idee ist prinzipiell nicht schlecht. Aber bin ich recht in der Annahme, dass mir dann die eigentliche Backupmöglichkeit verloren geht? Ich schrieb zwar, es ist kein "echtes" Backup. Das war aber bezogen auf die Leitung, ist ja physikalische immer die Gleiche. Bezogen auf die Provider Einwahl brauche ich aber das Backup, weil es hin- und wieder vorkommt dass beim Bündelprovider "PPP Einwahl abgelehnt" kommt. Den Spaß habe ich ca. 1 bis 2 mal im Quartal

@garfield

Sowass könntest ru aber auch allgemein in den firewallregeln definieren

Z.b die schnelle Anbindung nur für VPN
Die langsame für email Internet etc .....

Es gibt nur VPN Traffic, nix email Internet...

vg Bernie

[Jirka]

Hallo Bernie,

Für die VPN-Verbindung ja, sonst nicht.

Dann geht es nicht. Da dieses Polling dann beim Fehlschlagen auch nur die VPN-Verbindung abbauen würde. Die Internet-Verbindung bleibt davon unberührt.

Aber bin ich recht in der Annahme, dass mir dann die eigentliche Backupmöglichkeit verloren geht?

Natürlich, habe ich ja auch schon mehr oder weniger geschrieben. Das macht man dann auch über Aktions-Tabellen-gesteuertes Policy-based-Routing.

Viele Grüße,
Jirka

[Bernie137]

Hallo Jirka,

ich habe schon mal das Polling für die reinen Internetverbindungen eingerichtet. Inzwischen habe ich auch wieder Zugriff per ISDN Fernwartung und kann mich jetzt der Sache widmen. TDSL kann ich zusätzlich einwählen, dass habe ich gerade mal getestet und funktioniert vom Prinzip her.

Dann nimmst Du zwei Default-Routen mit unterschiedlichem Routing-Tag (Hauptverbindung 0) und machst dann per Firewall-Regeln Policy-based-Routing... Die Firewall-Regeln aktivierst (bzw. deaktivierst (mit no)) Du dann zu den entsprechenden Uhrzeiten in der Cron-Tabelle mit dem Befehl
set /2/8/10/2/NAME_DER_REGEL {Firewall-Rule} yes

Das habe ich jetzt begriffen und TDSL hat das Routing Tag 1. Auch eine beispielhafte Firewall Rule für Policy-based-Routing habe ich mal erstellt - aber gleich wieder deaktiviert. Weil hier jetzt meine Frage kommt:

Ich habe eine Deny-All Strategie und verstehe gerade nicht, wie ich die zusätzliche Firewall Regel einrichten muss. Es soll über keinem der Internetzugänge gesurft werden. Kann ich die Policy-based-Rule so verstehen, dass sie die Pakete nur tagged oder ist sie gleichzeitig auch eine Firewall Rule? Will heißen, wenn ich von allen Quellen an alle Ziele alle Ports zulasse mit Routing-Tag=1, dann ist erst mal alles offen oder tagged er nur und meine restlichen Rules ohne Tag Angabe kommen zum tragen?

vg Bernie

[Bernie137]

Hi,

ich habe mich einmal gestern und heute mit dem Thema weiter beschäftigt und kann mir die Frage inzwischen selbst beantworten. Ich muss also pro Routing Tag separate Firewall Regeln konfigurieren. Damit bin ich nicht so glücklich, da ich jetzt schon 12 Regeln habe - diese müsste ich jetzt verdoppeln und dann noch zeitgesteuert über cron ansprechen Bringt es was, mit dem Routing Tag bei der VPN-Verbindung zu arbeiten anstatt Firewall?

Ich bin aber noch auf eine andere Möglichkeit gestoßen, nur funktioniert diese irgendwie nicht. Unter IP-Router -> Routing -> Zeitsteuerung dachte ich, trage ich es mal so ein wie gewünscht. Aber es "greift" nicht und ich habe gerade keine Ahnung warum.

vg Bernie

[Jirka]

Hallo Bernie,

doch, Du kannst ja z. B. eine Firewall-Regel erstellen (die den Routing-Tag ändert und möglichst allgemein gefasst ist), wo angehakt ist "nachfolgende Regeln beachten".
Du musst also definitiv nicht pro Routing-Tag separate Firewall-Regeln erstellen. Das funktioniert schon...

Die Zeitsteuerung funktioniert schon, nur greift die nur in dem Moment der Einwahl, d. h. nicht wenn Deine Internetverbindung schon besteht. Du müsstest sie dann auch noch manuell abbauen. Das Feature stammt halt noch aus (ISDN-)Einwahlzeiten, wo es zu unterschiedlichen Tageszeiten verschiedene Anbieter und Tarife gab.

Viele Grüße,
Jirka

[Bernie137]

Hallo Jirka,

Die Zeitsteuerung funktioniert schon, nur greift die nur in dem Moment der Einwahl, d. h. nicht wenn Deine Internetverbindung schon besteht. Du müsstest sie dann auch noch manuell abbauen. Das Feature stammt halt noch aus (ISDN-)Einwahlzeiten, wo es zu unterschiedlichen Tageszeiten verschiedene Anbieter und Tarife gab.

Das mit dem manuellen Abbauen hatte ich inzwischen schon herausgefunden. Aber leider passiert dann Murks, d.h. es wird die Einbündel- "TDSL" -Verbindung eingewählt, aber auch zeitgleich die Zweibündel- "INTERNET" -Verbindung - und das ohne dass es zwei DEFAULT Routen mit unterschiedlichen Routing Tags gäbe und auch der Zeitplan "INTERNET" gerade nicht vorsieht!. Der VPN Tunnel ist dann wieder über "INTERNET" verbunden, was ich nicht erreichen wollte.

doch, Du kannst ja z. B. eine Firewall-Regel erstellen (die den Routing-Tag ändert und möglichst allgemein gefasst ist), wo angehakt ist "nachfolgende Regeln beachten".
Du musst also definitiv nicht pro Routing-Tag separate Firewall-Regeln erstellen. Das funktioniert schon...

In der Theorie habe ich es verstanden, aber nun stehe ich vor meinen Rules und komme ins Grübeln wie die allgemeine Regel aussehen soll und ob sie dann nicht doch wieder die DENY-ALL Strategie aushebelt. Hier mal meine Rules, vielleicht hast Du ja einen Tipp für mich...

Code: Alles auswählen

QOS_RDP	ANY	ANYHOST	RDP ANYHOST	%Lcds0 %A %Qgtds384 %Qgrds2048	An	Aus	Aus	An	4	0	0	RDP Upload 384 kBit/s reservieren
MIN_BANDWIDTH_DOWN	ANY	ANYHOST	RDP ANYHOST	%Lcds0 %A %Qcrds128	An	Aus	Aus	An	3	0	0	RDP pro Session 128 kBit/s
MAX_UP_TO_EXCHANGE	ANY	LOCALNET	EXCHANGE	%Lgds200 @v %D	An	Aus	Aus	An	3	0	0	
MODEMS_ALLOW	ANY	ANYHOST	%A192.168.1.1-192.168.1.4	ACCEPT	An	Aus	Aus	An	3	0	0	
MAX_DOWN_FROM_EXCHANGE	ANY	EXCHANGE	LOCALNET	%Lgds200 @v %D	An	Aus	Aus	An	2	0	0	
LOCAL_SERVICES	ANY	%LINTRANET	DNS NTP %A10.11.0.1	%Lcds0 %A	An	Aus	Aus	An	1	0	0	
HD_EXTERN	ANY	%LINTRANET	%A10.10.0.0 %M255.255.0.0	%Lcds0 %A	An	Aus	Aus	An	1	0	0	
EXTERN_HD	ANY	%A10.10.0.0 %M255.255.0.0	%LINTRANET	%Lcds0 %A	An	Aus	Aus	An	1	0	0	
WINS	TCP UDP	%S137-139 ANYHOST	ANYHOST	%Lcds0 @i %R	An	Aus	Aus	An	0	0	0	block NetBIOS/WINS name resolution via DNS
ALLOW_ICMP	ICMP	LOCALNET	ANYHOST	ACCEPT	An	Aus	Aus	An	0	0	0	
DENY_ALL	ANY	ANYHOST	ANYHOST	%Lcds0 %R	An	Aus	Aus	An	0	0	0	Alles verbieten

Da eine Regel ANY ANYHOST to ANY ANYHOST mit Routing Tag 1 und einer Prio 5 dann über allen Regeln steht, bin ich der Meinung erlaubt sie dann doch wieder den kompletten Internetverkehr, egal welche Regeln noch danach kommen.

vg Bernie

[Bernie137]

OK, dank der wieder gut funktionierenden Forumssuche habe ich die Antwort gefunden http://www.lancom-forum.de/fragen-zum-t ... 20beachten mit "nachfolgende Regeln beachten".

Ich habe einfach eine ANV ANYHOST to ANY ANYHOST Regel dafür her genommen. Per cron baut sich dann um die Uhrzeit auch die TDSL Verbindung auf und bleibt dann eingewählt. Nur den VPN Tunnel kratzt das überhaupt nicht. Selbst nach manuellem Trennen des Tunnel baut er danach wieder über "INTERNET" auf und nicht "TDSL".

Muss ich jetzt die VPN-Verbindung noch per cron Auftrennen und extra noch das Routing Tag beibringen? Ich suche schon mal nach der Syntax...

vg Bernie

[Bernie137]

Hallo,

irgendwie klemmt es noch gewaltig beim Policy Based Routing. Ich bin erst mal davon abgekommen, es zeitgesteuert zu realisieren - das mache ich erst, wenn es prinzipiell läuft.

Status:
- Hauptverbindung INTERNET mit Routing Tag 0
- 2. Verbindung TDSL mit Routing Tag 1
- FW Rule (LOCALNET+10.10.0.0/16) ANY zu (LOCALNET+10.10.0.0/16) ANY mit TAG 1 markieren, höchste Priorität, weitere Rules beachten
- VPN Verbindung in VPN Verbindungsliste auf Routing Tag 1 umgestellt
- 10.10.0.0/16 ist die Zentrale
- Route 10.10.0.0/16 an Gegenstelle Zentrale mit Routing Tag 0 (mit 1 schon probiert)

Was passiert:
- VPN Tunnel steht, Zugriff von diesem LAN in die Zentrale geht, Zugriff von Zentrale in die Außenstelle geht nicht mehr, nur noch der Lancom Router ist erreichbar
- laut LANmonitor sei der VPN Tunnel über "TDSL" verbunden
- der VPN-Paket Trace verrät, dass die Pakete nach wie vor über die Hauptverbindung laufen, nicht TDSL
- lösche ich die Default Route für die Hauptverbindung, dann erst geht der Traffic über TDSL, aber Zugriffe sind nicht mehr möglich

Irgendwo mache ich noch was falsch. Bin gerade ratlos.

vg Bernie

[Jirka]

Hallo Bernie,

bei den VPN-Verbindungen gibst Du das Routing-Tag in der Verbindungs-Liste an. Bzw. unter weitere entferne Gateways, falls Du dort Einträge hast.
Bei Deinen VPN-Verbindungen musst Du natürlich darauf achten, dass Du je nach WAN-Verbindung unterschiedliche IPs hast, die Du dann auch dementsprechend mit DynDNS-Adressen versorgen musst (wenn keine feste IP) und entsprechend ansprechen musst (wenn keine Dynamic VPN mit Übertragung der IP von der Zentrale).

Viele Grüße,
Jirka

[Bernie137]

Hallo Jirka,

bei den VPN-Verbindungen gibst Du das Routing-Tag in der Verbindungs-Liste an. Bzw. unter weitere entferne Gateways, falls Du dort Einträge hast.

Richtig, ich schrieb ja schon: "- VPN Verbindung in VPN Verbindungsliste auf Routing Tag 1 umgestellt"

Bei Deinen VPN-Verbindungen musst Du natürlich darauf achten, dass Du je nach WAN-Verbindung unterschiedliche IPs hast, die Du dann auch dementsprechend mit DynDNS-Adressen versorgen musst (wenn keine feste IP) und entsprechend ansprechen musst (wenn keine Dynamic VPN mit Übertragung der IP von der Zentrale).

Die Filiale hat nur einen VPN-Tunnel zur Zentrale. War das so gemeint, dass ich einen zweiten Tunnel einrichten soll? Beide WANs haben eine feste IP. Vorher hatte ich ja das TDSL als Backup Verbindung hinterlegt, damit funktioniert es ja auch im Fehlerfall von WAN1, d.h. die IP wird an die Zentrale ordnungsgemäß übermittelt und schaltet auch ordnungsgemäß wieder zurück in den Normalbetrieb.

Irgendwie "sehe" das Problem nicht, warum ich den Tunnel über die 2.WAN Verbindung "TDSL" statisch nicht ans Laufen bekomme. Wobei ich gerade rätsle, ist das Problem in der Zentrale zu suchen? Dort ist ja für diese Filiale bei weitere entfernte Gateways auch die 2. WAN IP hinterlegt. Warum sollte also die Zentrale auf die zweite IP wechseln, wenn die Hauptverbindung im Router der Filiale immer online ist?

vg Bernie