Routing-Problem

[Heigo]

Hallo,

kennt sich hier Jemand mit IPv4 Routing aus? Ich habe 2 Internetzugänge ohne Load Balancing.

Was ich vorhabe:
Der Client soll von der Mobilfunk-Schnittstelle zur Glasfaser-Schnittstelle geleitet und anschließend zum VPN-Tunnel geleitet werden.

Code: Alles auswählen

Mobilfunk = Tag 0
Glaserfaser über WAN = Tag 1
VPN-Tunnel = Tag 3

Unter IP-Router > Routing > IPv4-Routing-Tabelle ist folgendes Festgelegt:

Code: Alles auswählen

255.255.255.255 0.0.0.0 MOBILFUNK Tag 0 maskiert
255.255.255.255 0.0.0.0 GLASFASER Tag 1 maskiert
255.255.255.255 0.0.0.0 VPN Tag 3 maskiert

Über eine IPv4 Firewall Regel leite ich den Client 192.168.178.20 von Tag 0 (Mobilfunk) zu Tag 1 (Glasfaser), also Mobilfunk zu Glasfaser, da ansonsten der Client standardmäßig über Mobilfunk, ansatt über die Glasfaser Router laufen würde. Wenn ich nun aber eine zusätzliche Regel hinzufüge, Tag 1 (Glasfaser) zu Tag 3 (VPN), dann wird diese Regel leider ignoriert und die Tag 1 (Glaserfaser)-Route wird beibehalten.

Wie muss ich die Regel festlegen?

Viele Grüße,
Heigo

[5624]

Hä? Ich versteh deine Beschreibung nicht.

Wenn ich raten müsste, willst du, dass die Mobilfunkverbindung immer genutzt werden soll, wenn diese ausfällt die Glasfaserverbindung und wenn die ausfällt, die VPN-Verbindung.

Oder willst du es so konfigurieren, wie es bintec-elmeg-Router mach(t)en? Also mit Metriken, es soll eigentlich alles über VPN laufen, mit Glasfaser als primärer und Mobilfunk als sekundärer Verbindung?

[Heigo]

Nein.

Ich nutze 2 Internetverbindungen gleichzeitig, aber ohne Loadbalancing oder Backup. Mobilfunk ist aktiv und Glasfaser über WAN ist aktiv.

Nicht alle Clients sollen über Mobilfunk laufen. Deshalb tagge ich diese über eine Firewall Regel von Tag 0 (Mobilfunk) auf Tag 1 (Glasfaser).

Wenn ich den Client von Mobilfunk auf VPN über die Firewall tagge, nutzt der Client das Internet vom VPN-Tunnel. Nun will ich aber, dass der Client nicht Mobilfunk, sondern Glasfaser nutzt und dann über den VPN-Tunnel geleitet wird.

Aktuell sieht es so aus:

Client -> Mobilfunk -> VPN

Ich will aber

Client -> Glasfaser -> VPN

Keine Ahnung was das für ein Router sein soll, jedenfalls geht‘s hier um Lancom. Du sollst nicht raten, deshalb habe ich für dich nochmal erläutert, wie es laufen soll.

[5624]

Also du willst steuern, welcher Client welche Internetverbindung UNTER dem VPN-Tunnel nutzen soll? Also Client 1 nutzt VPN über Mobilfunk und Client 2 den gleichen VPN-Tunnel über Glasfaser?

[sebsch134]

Der VPN Tunnel baut aber immer über ein bestimmtes Medium auf. Dann bräuchte man einen VPN über den Glasfaser und einen über Mobilfunk.

Wenn das Paket über die Glasfaser den Router verlässt ist das Paket weg. genauso über Mobilfunk wie auch VPN

[Heigo]

Also du willst steuern, welcher Client welche Internetverbindung UNTER dem VPN-Tunnel nutzen soll? Also Client 1 nutzt VPN über Mobilfunk und Client 2 den gleichen VPN-Tunnel über Glasfaser?

Fast richtig. Nur der Client 192.168.178.20 soll den VPN-Tunnel über Glasfaser nutzen.

Wenn ich für die Schnittstelle Mobilfunk ein Schnittstellen-Tag festlegen könnte und für Glasfaser, das als DSL1 erkannt wird ebenfalls ein Schnittstellen-Tag festlegen könnte, wäre denke ich alles einfacher. Bei dem VPN-Tunnel kann ich ein Schnittstellen-Tag festlegen. Dieser Wer steht auf 2.

Ich erkläre einmal in Worten was hier aktuell passiert.

IP Routing:

192.168.178.0 255.255.255.0 VPN-TUNNEL Tag 2 nicht-maskiert
255.255.255.255 0.0.0.0 VPN-Tunnel Tag 3 maskiert
255.255.255.255 0.0.0.0 Glasfaser Tag 1 maskiert
255.255.255.255 0.0.0.0 Mobilfunk Tag 0 maskiert

Firewallregel 1:

Quell-Tag: 0
Ziel-Tag: 3
Quell-IP: 192.168.178.20
Ziel-IP: alle
Aktion: accept

Firewallregel 2:

Quell-Tag: 3
Ziel-Tag: 2
Quell-IP: alle
Ziel-IP: alle
Aktion: accept


Wenn ich Firewallregel 1 deaktiviere, wird der Client über 255.255.255.255 0.0.0.0 Mobilfunk geleitet. Wenn ich nun

Firewallregel 3 festlege:

Quell-Tag: 0
Ziel-Tag: 1
Quell-IP: 192.168.178.20
Ziel-IP: alle
Aktion: accept

dann ist der Client auf Glasfaser und nun will ich ihn mit

Firewallregel 4:

Quell-Tag: 1
Ziel-Tag: 3
Quell-IP: alle
Ziel-IP: alle
Aktion: accept

über den VPN-Tunnel leiten. Doch leider bleibt es auf Routing

255.255.255.255 0.0.0.0 Tag 1
statt
255.255.255.255 0.0.0.0 Tag 3


Warum das Ganze? Das Ziel ist irgendwann Mobilfunk zu trennen. Der Client ist auf die Geo Location des VPN angewiesen, diese sich vom Glasfaser unterscheidet. Meine Befürchtung: Wenn ich die SIM entferne, würde dem Client die Route fehlen, weil er ohne VPN die Mobilfunkverbindung verwenden würde oder ist hier ein Denkfehler? So sieht es zumindest aus, wenn ich Firewallregel 1 deaktiviere. Dann sehe ich, dass die Ziem-Route „Mobilfunk“ verwendet wird.

[5624]

Das klappt so nicht.

Die VPN-Verbindung nutzt nicht die Firewall, um die zu verwendende Internetverbindung zu ermitteln. Diese wird pro Tunnel über das Routingtag festgelegt.
Für deine Konstruktion wären zwei unterschiedliche VPN-Tunnel nötig, die sich soweit unterscheiden müssen, dass diese parallel aufgebaut werden können und die Gegenseite muss vermutlich auch entsprechend umkonfiguriert werden.

Ist aber kein LANCOM-Problem, sondern ein Grundlegendes. Mir ist kein VPN-Router bekannt, der es so kann, wie du es aktuell versuchst.

[Dr.Einstein]

DPS zwischen den beiden Lancoms nutzen und dann entsprechend mit Prioritäten die Verteilung regeln.