Kopplung zweier Router über IPoE Patchkabel fuer VPN

[Wolfram-]

Hallo zusammen,

kann mir jemand für folgenden Anwendungsfall Tips geben ?

Zwei "Rechenzentren", jedes mit einem Router 1781 und den LANs 192.168.1.1 bzw. 192.168.2.1, sollen über Ethernetkabel per IPoE (und später VPN) verbunden werden.

Klar ist:
* jeweils ETH-3 dem DSL-3 zuzuordnen
* DSL-3 aktivieren
* Gegenstelle mit IPoE und DSL-3 anlegen

Muss man dafür auf Router1 ein Transfernetz, z.B. LAN 82.82.82.1/255.255.255.0 an LAN-3 mit/ohne DHCP, anlegen?
Nur auf Router1 ?

Was trägt man auf Router1 in die IP-Parameter für das IPoE ein ?
IP..... = 82.82.82.10 ???
Mask... = 255.255.255.0 ???
Gateway = 82.82.82.1 ???
DNS.... = 82.82.82.1 ??? (nötig ?)

Was trägt man auf Router2 in die IP-Parameter für das IPoE ein ?
IP..... = 82.82.82.20 ???
Mask... = 255.255.255.0 ???
Gateway = 82.82.82.1 ???
DNS.... = 82.82.82.1 ??? (nötig ?)

Braucht man jeweils IPv4-Routen, die das Transfernetz 82.82.82.0/255.255.255.0 an die IPoE-Gegenstelle schicken?

Das ICMP-Polling, vermute ich, ist im ersten Schritt nicht zwingend nötig?

In den Firewall habe ich vorsorglich ALLOW-ALL-Regeln in der obersten Zeile.

Die VPN-Verbindung konnte ich gemäss Doku inkl. DPD gegen die DSL-3-Gegenstelle konfigurieren, aktivieren, KeepAlive etc.

Mit ist die Logik bei der IPoE-Kopplung über Patchkabel noch nicht ganz klar. Alle beschriebenen Fälle beziehen sich nur auf den Anschluss an einen Provider, der z.B. die IP-Parameter für die eine Seite vorgibt. Alle meine bisherigen Versuche mit allen möglichen Kombinationen führten nur dazu, dass in Router1 eine grüne WAN-Verbindung erschien, die nur Packete gesendet aber nicht empfangen hat. Das VPN liefert "Error for peer VPN: IFC-I-Connection-timeout-IKE-IPSEC" weil DSL-3 zwar anfangs grün ist, aber keine Packets empfängt und bei Ping auf "No channel available" springt. Der Router2 zeigt das DSL-3 im LANMONITOR überhaupt nicht und VPN meldet Timeout beim Vebindungsaufbau wegen "Kein Übertragungskanal verfügbar".

Irgendwie scheint schon die Kopplung über IPoE Patchkabel nicht zu funktionieren....

Vielen Dank !
Wolfram

[garfield0815]

wiso willst du iPoe uberhaubt nutzen Bau doch gleich die VPN Verbindung
iPoe ist doch gleich unsicher

und die lancom haben doch alles was du für VPN brauchst!

wobei die Frage ob du uberhaubt VPN iPod oder so was brauchst
wenn du ein eigenes LAN kabel hast
da wurde ein einfaches routing ausreichen

[Wolfram-]

iPod ?!? Klar verwende ich ein LAN-Kabel. Ja, ich weiss, dass LANCOM VPN kann - das versuche ich ja über IPoE einzurichten.
Ich verstehe den Einwurf nicht.

[Dr.Einstein]

Was trägt man auf Router1 in die IP-Parameter für das IPoE ein ?
IP..... = 82.82.82.10 ???
Mask... = 255.255.255.0 ???
Gateway = 82.82.82.1 ???
DNS.... = 82.82.82.1 ??? (nötig ?)

Was trägt man auf Router2 in die IP-Parameter für das IPoE ein ?
IP..... = 82.82.82.20 ???
Mask... = 255.255.255.0 ???
Gateway = 82.82.82.1 ???
DNS.... = 82.82.82.1 ??? (nötig ?)

Gateway ist einfach die gegenüberliegende IP-Adresse, also .10 bzw. 20 in deinem Beispiel. Routing Einträge sind nicht notwendig. DHCP auch nicht, da du mit IPoE sagst, dass du die Werte fest einträgst. IPoDHCP wäre dann per DHCP beziehen.

Wenn du jetzt testweise einen VPN aufbauen willst, nimmst du als Gateway die gegenüberliegende "WAN"-IP Adresse. Wichtig, du benötigst eine Route, um das Ziel zu erreichen. Am besten machst du dir eine weitere Default Route mit einem Routing-Tag != 0, falls du bereits einen echten Internetzugang auf den Routern hast. In der VPN Verbindung gibst du dann auf beiden Seiten das Routing-Tag an.

Gruß Dr.Einstein

[Wolfram-]

Ich habe hier mal die Settings zusammengestellt. Bei den "IP-Settings" habe ich schon alle möglichen Kombinationen versucht. Bei den Routen habe ich spezifische Routen für die IPoE-Verbindung eingetragen. Ohne die versucht er das VPN fälschlicherweise über die Default-Route ins öffentliche Internet aufzubauen.

Der Router 1 (Office) sagt "DSL channel 1: Protocol negotiation with COUPLING".
Der Router 2 (Data Center) muckst sich überhaupt nicht, weder bzgl. WAN DSL noch bzgl. VPN.

[Dr.Einstein]

Öhm, schau dir mal deine IP-Adressen an. Laut IP Subnetting können sich die Netze nicht sehen.

Machs so:

Router 1:

80.80.80.1
GW: 80.80.80.2

Router 2:

80.80.80.2
GW: 80.80.80.1

Änderungen an einer IPoE Verbindung gehen erst nach Trennung der WAN Verbindung zB über den Monitor.

[Wolfram-]

Hallo Dr.Einstein,

vielen Dank für den Hinweis ! Das klingt plausibel und ich habe es sowohl mit den vorgeschlagenen Werten versucht als auch mit ein paar weiteren Variationen.

Seit ich die VPN-Verbindung mit einem ARP Tag versehen habe und dafür eine Default-Regel im Routing habe, sieht man im Status etwas mehr. Das Patchkabel habe ich getauscht. Die ETH zeigen im LANMONITOR ein erfolgreiches physikalisches Handshake. Router habe ich vor jedem Test restartet.

Eine Verbindung kommt leider immer noch nicht zustande - Statusmeldungen am Ende der Grafik
Springt jemandem noch ein offensichtlicher Fehler ins Auge ?

[Dr.Einstein]

In deinem Fall kein Line Polling verwenden.

Beide Seiten sollten außerdem 9999 als Haltezeit für die IPoE Verbindung haben (hat aber nix mit der Meldung zutun).

mMn kommt dann im nächsten Schritt ein VPN Regel-ID Fehler.

[Wolfram-]

Weitere Hinweise erhalten:

"Hey,
ich hab mir die Konfigurationen mal angesehen.
Dazu fallen mir einige Punkte auf (sind zum Teil nicht direkt Fehlerrelevant):
1) Im COUPLING Netz sollten beide Router IPs aus dem gleichen Netz (82.82.82.0/24 oder 217.217.217.0/24) haben.
2) Die Haltezeit sollte bei beiden auf 9999 sein, damit die Verbindung bei beiden generell aktiv bleibt
3) Die Routen zum 217 bzw 82 Netz kannst du dir sparen (weil das Coupling Netz bei beiden anliegt
4) NAT-T brauchst du nicht (weil du ja in der Firewall nichts blockierst)
5) IPSec-over-HTTPs benötigst du auch nicht (IPSec läuft dann bei dir über das 'normale' Protokoll.
6) Das entfernte Gateway muss entsprechend deinem COUPLING Netzwerk angepasst werden"

Vielen Dank !
Wolfram-

[Wolfram-]

Die VPN-Verbindung mit Patchkabel über IPoE zwischen den beiden LANCOM-Routern läuft !

Bisher hatten sich die Router sehr unterschiedlich verhalten. Speziell Router 2 hat die IPoE-Verbindung nicht aufgebaut und sein VPN hat immer gemeldet, dass kein Channel verfügbar sei. Alle manuellen Korrekturen und Variationen an Router 2 haben die Situation nicht wirklich verbessert.

Den Durchbruch hat gebracht, die gut funktionierende Konfiguration des Router 1 als lcf-Datei in Router 2 einzuspielen und Anpassungen daran zu machen.

Unten die aktuelle Konfiguration, wie sie zu einer erfolgreichen VPN-Verbindung geführt hat. Es gibt noch ein paar Unschärfen an Firewall und Routing - bisher kann ich wechselseitig die Router durch das VPN anpingen und Web Browser-Zugriffe auf Server im anderen Intranet klappen.

Vielen Dank an Euch für die Hilfestellungen !!!


Router 1 ("OFFICE"):


Hat mehrere Modems zum öffentlichen Internet, hat Intranet 192.168.1.1, WLAN, zusätzlich das VPN zu Router 2.

Zuordnung Buchse ETH3 zu Interface DSL3

Interface DSL-3 aktiv

Gegenstelle (DSL):
Name = COUPLING
Haltezeit = 9999
Layername = IPoE
DSL-Ports = 3

IP-Paremeter dazu:
Gegenstelle = COUPLING
IP-Adresse = 80.80.80.10
Netzmaske = 255.255.255.0
Standard-Gateway = 80.80.80.20

IP-Netzwerke, unter anderem:
Netzwerkname = INTRANET
IP-Adresse = 192.168.1.1
Netzmaske = 255.255.255.0
Netzwerktyp = Intranet
VLAN-ID = 0
Schnittstelle = BRG-1
Adressprüfung = flexibel
Tag = 0
(An der Bridge Group BRG-1 hängt LAN-1, WLAN-1, ETH1.)

DHCP-netzwerke aktiviert:
Netzwerkname = INTRANET
DHCP-Server aktiviert = ja

IPv4-Routing Tabelle:
192.168.1.0 / 255.255.255.0 / 0 / An... / 0.0.0.0 / 0 / Aus
192.168.2.0 / 255.255.255.0 / 0 / An... / VPN_DATACENTER / 0 / Aus
224.0.0.0 / 224.0.0.0 / 0 / An... / 0.0.0.0 / 0 / Aus
255.255.255.255 / 0.0.0.0 / 50 / An... / COUPLING / 0 / Aus
255.255.255.255 / 0.0.0.0 / 0 / An... / INTERNETMODEM / 0 / An
(Die weiteren Konfigurationen für INTERNETMODEM hier nicht aufgeführt.)

Diverse Firewall-Regeln, unter anderem:
DATACENTER,OFFICE --Accept--> DATACENTER,OFFICE
Am Ende eine Deny-All-Regel.
(Noch nicht ausgereift !)

IPSec-Proposal:
Bezeichnung = VPN_IPS_PROP
Modus = Tunnel
ESP-Verschlüsselung = AES-CBC
ESP-Schlüssel-Länge = 256
ESP-Authentifizierung = HMAC-SHA2-256
AH-Authentifizierung = Kein AH
IPCOMP-Kompression = Kein IPCOMP
Gültigkeit = 43200 Sekunden / 10000000 kBytes

IPSec-Proposal-Liste:
Bezeichnung = VPN_IPS_LIST
Proposal = VPN_IPS_PROP

IKE-Proposal:
Bezeichnung = VPN_IKE_PROP
Verschlüsselung = AES-CBC
Schlüssel-Länge = 256
Hash = SHA2-256
Authentifizierung = Preshared Key
Gültigkeit = 28800 Sekunden / 7000000 kBytes

IKE-Proposal-Liste:
Bezeichnung = VPN_IKE_LIST
Proposal = VPN_IKE_PROP

IKE-Schlüssel und Identitäten:
Bezeichnung = VPN_IKE_KEY
Preshared-Key = -Hier einen komplexen Key generieren lassen-
Lokaler Identität-Typ = Keine Identität
Entfernter Identität-Typ = Keine Identität
(Den komplexen Schlüssel per Copy&Paste auch in Router 2 übertragen.)

Verbindungs-Parameter:
Bezeichnung = VPN_PARAM
PFS-Gruppe = 14...
IKE-Gruppe = 14...
IKE-Proposals = VPN_IKE_LIST
IKE-Schlüssel = VPN_IKE_KEY
IPSec-Proposals = VPN_IPS_LIST

Verbindungs-Liste:
Name der Verbindung = VPN_DATACENTER
Haltezeit = 0
Dead Peer Detection = 0
Extranet-Adresse = 0.0.0.0
Entferntes Gateway = 80.80.80.20
Verbindungsparameter = VPN_PARAM
Regelerzeugung = Automatisch
(x) Kein Dynamisches VPN
(x) Main Mode
IKE-CFG = Aus
XAUTH = Aus
IPSec-over-HTTPS = Aus
Routing-Tag = 50

Virtual Private Network = Aktiviert
( ) NAT-traversal aktiviert
( ) IPSec-over-HTTPS annehmen
Aufbau Netzbeziehung = Gemeinsam für KeepAlive



Router 2 ("DATACENTER"):


Hat Intranet 192.168.2.1, ist nur über das VPN an Router 1 angebunden.

Zuordnung Buchse ETH4 zu Interface DSL4

Interface DSL-4 aktiv

Gegenstelle (DSL):
Name = COUPLING
Haltezeit = 9999
Layername = IPoE
DSL-Ports = 4

IP-Paremeter dazu:
Gegenstelle = COUPLING
IP-Adresse = 80.80.80.20
Netzmaske = 255.255.255.0
Standard-Gateway = 80.80.80.10

IP-Netzwerke, unter anderem:
Netzwerkname = INTRANET
IP-Adresse = 192.168.2.1
Netzmaske = 255.255.255.0
Netzwerktyp = Intranet
VLAN-ID = 0
Schnittstelle = BRG-1
Adressprüfung = flexibel
Tag = 0
(An der Bridge Group BRG-1 hängt LAN-1, das an ETH1 bis ETH3.)

DHCP-netzwerke aktiviert:
Netzwerkname = INTRANET
DHCP-Server aktiviert = ja

IPv4-Routing Tabelle:
192.168.1.0 / 255.255.255.0 / 0 / An... / VPN_OFFICE / 0 / Aus
192.168.2.0 / 255.255.255.0 / 0 / An... / 0.0.0.0 / 0 / Aus
224.0.0.0 / 224.0.0.0 / 0 / An... / 0.0.0.0 / 0 / Aus
255.255.255.255 / 0.0.0.0 / 50 / An... / COUPLING / 0 / Aus
(Hier nicht sicher, ob noch etwas ergänzt werden sollte.)

Firewall-Regeln:
Allow-All

IPSec-Proposal:
Bezeichnung = VPN_IPS_PROP
Modus = Tunnel
ESP-Verschlüsselung = AES-CBC
ESP-Schlüssel-Länge = 256
ESP-Authentifizierung = HMAC-SHA2-256
AH-Authentifizierung = Kein AH
IPCOMP-Kompression = Kein IPCOMP
Gültigkeit = 43200 Sekunden / 10000000 kBytes

IPSec-Proposal-Liste:
Bezeichnung = VPN_IPS_LIST
Proposal = VPN_IPS_PROP

IKE-Proposal:
Bezeichnung = VPN_IKE_PROP
Verschlüsselung = AES-CBC
Schlüssel-Länge = 256
Hash = SHA2-256
Authentifizierung = Preshared Key
Gültigkeit = 28800 Sekunden / 7000000 kBytes

IKE-Proposal-Liste:
Bezeichnung = VPN_IKE_LIST
Proposal = VPN_IKE_PROP

IKE-Schlüssel und Identitäten:
Bezeichnung = VPN_IKE_KEY
Preshared-Key = -Hier den komplexen Key aus Router 1 übernehmen-
Lokaler Identität-Typ = Keine Identität
Entfernter Identität-Typ = Keine Identität

Verbindungs-Parameter:
Bezeichnung = VPN_PARAM
PFS-Gruppe = 14...
IKE-Gruppe = 14...
IKE-Proposals = VPN_IKE_LIST
IKE-Schlüssel = VPN_IKE_KEY
IPSec-Proposals = VPN_IPS_LIST

Verbindungs-Liste:
Name der Verbindung = VPN_OFFICE
Haltezeit = 9999
Dead Peer Detection = 30
Extranet-Adresse = 0.0.0.0
Entferntes Gateway = 80.80.80.10
Verbindungsparameter = VPN_PARAM
Regelerzeugung = Automatisch
(x) Kein Dynamisches VPN
(x) Main Mode
IKE-CFG = Aus
XAUTH = Aus
IPSec-over-HTTPS = Aus
Routing-Tag = 50

Virtual Private Network = Aktiviert
( ) NAT-traversal aktiviert
( ) IPSec-over-HTTPS annehmen
Aufbau Netzbeziehung = Gemeinsam für KeepAlive



Ergebnis: