Lancom 1711 VPN und 1781EF verbinden

[LAN-O-MATIC]

Hallo Xperten!

Eigentlich eine simple Konstellation:

1711 VPN (192.168.0.225) ist der zentrale Router unseres Netzwerks. Er hält Kontakt mit vier Subnetzen (192.168.3.* - 192.168.7.*). Ich möchte nun ein Teil des überfüllten Subnetz 192.168.0.* in einem neuen Subnetz unterbringen (192.168.2.*). Hierzu habe ich einen 1781EF (192.168.2.225) genommen, da dieser über einen SFP-Anschluss verfügt. Aber der wird momentan noch nicht genutzt.

Hinter dem neuen 1781EF habe ich zum Test mal einen Client (192.168.2.X per DHCP vom Router) gestellt. Sozusagen sind der neue Router und der Test-Client die einzigen beiden Teilnehmer im neuen Subnetz.
Der Client steckt im Router-Port ETH1, die Verbindung zum Subnetz 1711VPN/192.168.0.* (über einen Switch) steckt in Port ETH4. Im 1781EF ist die Firewall vorsichtshalber erst einmal abgeschaltet. Auf dem Hauptrouter ist sie weiterhin an.

Nun habe ich zuerst eine Route im Hauptrouter (1711) hinterlegt. IP-Router / Routing / Routingtabelle -> 192.168.2.0/255.255.255.0 und Router manuell eingetragen: 192.168.2.225, Maskierung aus.
Auf dem 1781EF genauso: 192.168.0.0/255.255.255.0, Router manuell: 192.168.0.225, Maskierung aus.

Das Problem ist:
Auf direkt angebundene Systeme (am gleichen Switch) kann ich per Eingabe von IP oder NetBIOS-Name zugreifen, ein Ping auf diese Geräte schlägt jedoch fehl, über LANConfig finden sich die Router gegenseitig nicht. Auf andere Bereiche oder Geräte, die über andere Switches angeschlossen sind, bekomme ich gar keinen Zugriff.

Habe ich etwas übersehen? Was kann ich falsch gemacht haben? Wer kann mir helfen?

Beste Grüße,
LOM

[backslash]

Hi LAN-O-MATIC,

einer der beiden Router muß in beiden Netzen stehen - der einfachheit halber stellst du den 1781EF zusätzlich ins 192.168.0.x-Netz. Dann brauchst du nur im 1711 eine Route, die sagt, daß das 192.168.2.x-Netz über die Adresse erreichbar ist, die der 1781EF im 192.168.0.x-Netz hat. Im 1781EF mußt du nichts eintragen, da er weiss, daß er mit einem Bein im 192.168.0.x-Netz steht.

Oder aber du machst ein Transfernetz auf, in dem dann beide Router stehen - dann mußt du auch auf beiden Routern passende Routen eintragen, mit denen du ihnen sagst, daß das jeweilige Netz über die IPs der Router, die sie im Transfernetz haben, erreichbar ist....

Sinnvollerweise bindest du das 192.168.0.x-Netz im 1781EF (bzw. im Transfernetz-Szenarion das Transfernetz auf beiden Routern) auch an ein eigenes LAN-Interface, da du sonst sämtliche Broadcasts aus dem einen ins andere Netz überträgst - und genau das will man ja mit Subnetzen verhindern....

Gruß
Backslash

[Bernie137]

Hi,

bei LAN-LAN Routing (und so klingt das hier) habe ich mich auch belehren lassen, sollte man besser einen 1781EF+ nehmen, weil er Hardware basiertes Routing unterstützt. Demnach sind ganz andere Datendurchsätze zu erwarten als mit 1711 oder 1781EF.
Kommt natürlich darauf an, was ihr für Daten routen wollt...

Gruß Heiko

[LAN-O-MATIC]

Hallo backslash!

Danke für Dein rasche Antwort.
Leider ist Routing nicht so richtig meine Lieblingsspielwiese, so dass Du es mir etwas für einen DAU erklären müsstest. Die anderen Standorte sind auf dem 1711er per WAN angebunden, was ehrlich gesagt viel einfacher war.

Wie bringe ich den 1781EF dazu in beiden Netzen zu stehen? Das könnte er, denn nur dafür haben wir ihn gekauft. Ich kann ihm doch nur einmal eine IP/Gateway geben. Wie "stelle" ich den zusätzlich nochmal in 192.168.0.x-Netz? Handbuch?

Woran erkenne ich die +-Version des 1781EF? Wir haben diesen http://www.computeruniverse.net/product ... 1781ef.asp gekauft.
...

[Bernie137]

Woran erkenne ich die +-Version des 1781EF?

eben am Plus
http://www.lancom-systems.de/produkte/s ... ck-1781ef/

Gruß Heiko

[LAN-O-MATIC]

Hallo Bernie!

Irgendwie war mir schon klar, dass diese Frage eine Steilvorlage sein würde. Aber mal ernsthaft, wo genau sind da die signifikanten Unterschiede. Sieht für den geübten Laien halbwegs gleich aus ...

[Bernie137]

lies mal hier: http://www.lancom-forum.de/aktuelle-lan ... %20routing
Hab im Moment den 1781EF, geroutet macht er in unserer Umgebung etwa ein Fünftel der Speed wie ohne Routing. Morgen bekomme ich den Plus, dann mal schauen.

Ist es denn bei Euch ein lokales Routing, oder doch per VPN?

Gruß Heiko

Edit: http://www2.lancom.de/kb.nsf/1275/7392C ... enDocument

[LAN-O-MATIC]

Ganz normales Routing soll er tun, zwischen (später) Netz A (192.168.2.X) mit LWL-Anbindung nach B (192.168.0.X).
Momentan sind sie noch eins: 192.168.0.X. Aus IP-Platzgründen muss jetzt eine Einrichtung (quasi von "nebenan") einen eigenen IP-Pool bilden.

[Bernie137]

Dann vielleicht mal den Datendurchsatz in der vorhandenen Umgebung testen. Am besten eine große Datei 10GB kopieren und dann die CPU Last vom Router mit im Auge behalten...

[LAN-O-MATIC]

Na ja, ich denke, die dauerhafte Last wird nicht so hoch sein, da die Anfragen nur aus einem Segmenet mit einem Server und ca. 20 Clients kommt, wovon ca. die Hälfte keinen Internet-Zugang hat und wenig Traffic erzeugt.
Die erste Frage für mich wäre jetzt: geht es mit dem 1781EF oder brauche ich unbedingt den 1781EF+? (zur Not hätte ich auch noch einen weiteren 1711)
Dann: Wie geht es? Ist doch simples Routing, eigentlich. Sollte doch einfach sein.

Einen SPF haben ja beide, was anschließend wichtig wird.

[LAN-O-MATIC]

Okay, ich habe mich jetzt mal etwas schlauer gemacht.

1. Über die Schnittstellenkonfiguration des 1781EF (192.168.0.228 und 192.168.2.225) habe ich ETH 1= LAN-1 und ETH 4 = LAN-4 zugeordnet. Alle anderen Schnittstellen habe ich vorübergehend auf "Ruhend" gesetzt.

2. Über TCP/IP / IP-Netzwerke habe ich dann ein 0-ER-NETZ angelegt, welches die IP 192.168.0.228 hat und über LAN-4 funktionieren soll. Der Anschluss geht (über einen Switch) an den 1711-er (192.168.0.225).

3. Und ein weiteres 2-ER-NETZ wurde auf dem 1781EF-er angelegt mit IP 192.168.2.225 mit dem Anschluss LAN-1. Der Anschluss geht (über einen anderen Switch als unter 2.) an die Clients, also das designierte 2-er Netz.

4. Auf dem 1711-er habe ich über IP-Routing/Routing eine Route hinterlegt, die IP-Adresse 192.168.2.0/255.255.255.0 an die 192.168.0.228 (als Router, IP-Adresse einfach eingegeben) verweist. Auf dem 1781EF habe ich keine Route gesetzt.


Das sollte doch so das gewesen sein, was Du meinst backslash, oder?

Jetzt sehe ich im LANconfig auf dem 0-er-Netz den 1781EF und alle anderen Router. Ein Aufruf von http://192.168.2.225 gelingt nicht. Ebenso wenig von http://192.168.0.228.
Aus dem 2-er-Netz (Test-Laptop an Switch unter 3.) sehe ich ausschließlich den 1781EF, habe keinen Zugriff auf das Netzwerk und Internet.

Was mache ich falsch? Kann mir jemand weiterhelfen?

Problem.jpg

[backslash]

Hi LAN-O-MATIC

Das sollte doch so das gewesen sein, was Du meinst backslash, oder?

ganz genau

Jetzt sehe ich im LANconfig auf dem 0-er-Netz den 1781EF und alle anderen Router. Ein Aufruf von http://192.168.2.225 gelingt nicht. Ebenso wenig von http://192.168.0.228.
Aus dem 2-er-Netz (Test-Laptop an Switch unter 3.) sehe ich ausschließlich den 1781EF, habe keinen Zugriff auf das Netzwerk und Internet.

Was mache ich falsch? Kann mir jemand weiterhelfen?

hast du irgendwelche Firewallregeln gesetzt, die den Zugriff unterbinden würden? Denn es müßte jetzt ohne Probleme funktionieren - mit der Ausnahme, daß du aus dem 2-er-Netz nicht ins Internet kommst (dafür brauchst du natürlich im 1781EF eine Defaultroute, die auf den 1711 zeigt)

Mach doch mal auf beiden Geräten einen IP-Router- und Firewall-Trace und schau, wo die Pakete verloren gehen...

Gruß
Backslash

[LAN-O-MATIC]

Hi backslash!

Die Firewall auf beiden Routern ist aus (auch IPv6). Auf dem 1711-er sind da zwar Regeln definiert, aber die FW ist ja aus.
Ebenso auf dem Client.

Ich verzweifle hier. Kann ich so dumm sein?

Wie müsste die Default-Route für den 1781EF für den Internetzugang aussehen?

Auf dem 1781er passiert beim IP-Trace dauern nur dies:

Code: Alles auswählen

[IP-Router] 2013/06/11 14:20:48,655  Devicetime: 2013/06/11 14:22:37,596
IP-Router Rx (LAN-1, 2-ER-NETZ, RtgTag: 0): 
DstIP: 192.168.0.8, SrcIP: 192.168.2.227, Len: 52, DSCP/TOS: 0x00
Prot.: TCP (6), DstPort: 443, SrcPort: 58160, Flags: S
Seq: 1767946749, Ack: 0, Win: 8192, Len: 0
Option: Maximum segment size = 1460
Option: NOP
Option: Window scale = 8 (multiply  by 256)
Option: NOP
Option: NOP
Option: SACK permitted
Route: LAN-4 Tx (0-ER-NETZ): 

Während der 1711er einiges abdaddelt:

Code: Alles auswählen

[IP-Router] 2013/06/11 14:20:57,465  Devicetime: 2013/06/11 14:20:52,160
IP-Router Rx (BERGFIDEL, RtgTag: 0): 
DstIP: 192.168.0.2, SrcIP: 192.168.3.21, Len: 83, DSCP/TOS: 0x00
Prot.: TCP (6), DstPort: 139, SrcPort: 2373, Flags: PA
Seq: 726648524, Ack: 3057564547, Win: 64314, Len: 43
Route: LAN-1 Tx (INTRANET): 

... uvm. zu den anderen VPN-Stationen

Im FW-Trace passiert bei beiden -erwartungsgemäß - gar nichts.
...

Hier nochmals die Einstellungen:

Schnittstellen1781EF.jpg

Die Bindung der Schnittstellen auf dem 1781EF.

Netzwerke1781EF.jpg

Die Netzwerke auf dem 1781EF.

Routing1711.jpg

Die Route auf dem 1711.


Es muss mir auch niemand umsonst helfen: Wer mit mir das Problem lösen kann (ggf. auch über Teamviewer o.ä.), dem spendiere ich gerne einen Wunsch aus seiner Amazon-Wunschliste oder sowas.

[backslash]

Hi LAN-O-MATIC

Auf dem 1781er passiert beim IP-Trace dauern nur dies:

Code: Alles auswählen

[IP-Router] 2013/06/11 14:20:48,655  Devicetime: 2013/06/11 14:22:37,596
IP-Router Rx (LAN-1, 2-ER-NETZ, RtgTag: 0):
DstIP: 192.168.0.8, SrcIP: 192.168.2.227, Len: 52, DSCP/TOS: 0x00
Prot.: TCP (6), DstPort: 443, SrcPort: 58160, Flags: S
Seq: 1767946749, Ack: 0, Win: 8192, Len: 0
Option: Maximum segment size = 1460
Option: NOP
Option: Window scale = 8 (multiply  by 256)
Option: NOP
Option: NOP
Option: SACK permitted
Route: LAN-4 Tx (0-ER-NETZ):

Das ist doch vollkommen korrekt so... Jetzt sollte der 1781EF einen ARP-Request für die 192.168.0.8 abschicken und sobald eine Antwort kommt das Paket zustellen

Danach müßte der PC 192.168.0.8 die Antwort generieren und an das 1711 schicken (d.h. sie muß dort im Router-Trace auftauchen), welcher sie an das 1781EF weiterleitet und ggf. ein redirect schickt, so daß alle weiteren Pakete direkt an das 1781EF geschickt werden.

Während der 1711er einiges abdaddelt:

du kannst den Router-Trace einschränken, z.b. auf alles aus dem 2-er Netz: trace # ip-router @ 192.168.2

Hier nochmals die Einstellungen:

Die Konfiguration der Router sieht vollkommen korrekt aus

Hast du vielleicht eine irgendwie geartete physikalische Trennung zwischen deinem LAN und dem LAN-4 des 1781EF? Schalte mal auf dem 1781EF zusätzlich den ARP-Trace ein und prüfe ob der ARP-Request rausgeht und ob eine Antwort kommt (schau aber vorher nach, ob die Adresse nicht schon in der ARP-Tabelle steht - unter /Status/TCP-IP/ARP/Table-ARP)

Gruß
Backslash

[LAN-O-MATIC]

Ich eliminiere morgen mal den 3com und die Strecke (50 m) dazwischen und schließe direkt über nur einen Switch den 1781 an das Netz des 1711ers an.
Komisch nur, dass ja jetzt in der direkten Anbindung j auch 30 PCs und drei Server (noch im 0-er-Netz) damit kein Problem haben.
...