ich habe ein Routing-Problem nach einem Hardwaretausch. Eine Kette aus vier Lancoms verbinden sich via VPN, einer wurde nun gegen ein neueres Modell ausgetauscht, die Konfiguration importiert. Seitdem scheint der ausgetauschte Router keine Pakete zwischen den angrenzenden Standortnetzen mehr weiterzuleiten.
HighLevel-Netzwerk-Diagramm (jeweils nur ein Intranet-Netzwerk pro Site):
[Site A]<--[Site B]-->[Site C]<--[Site D]
Site B verbindet sich aktiv nach A und C. Site D verbindet sich aktiv nach C. Alle Sites kommen über vorgelagerte FritzBoxen, LTE-Router o.ä. ins Internet, also im Prinzip über Layer3-Transfernetze, kein PPPoE oder Wählverbindungen oder so.
Die Firewallregeln erlauben überall freie Kommunikation zwischen allen Site-Netzen, die Routingtabellen verweisen jeweils auf den vorherigen/nächsten Router in der Kette.
Das hat bislang einwandfrei funktioniert.
In Site C wurde nun ein defekter 1781EF+ gegen einen neuen 1790VAW getauscht, die alte Konfiguration importiert.
Die alte Konfigurationssicherung war v10.32, diese wurde auf den 1790 in v10.50 importiert, dieser dann auf v10.72 aktualisiert.
Nach dem Austausch in C sind beide Tunnel (von B und D nach C) sofort wieder online.
(Was mich gewundert hat: nach dem Austausch in C liefen die Tunnel sofort wieder, d.h.: die Portweiterleitungen in der FritzBox wurden nicht angepasst, ergo: die MAC muss aus Sicht der FritzBox gleich geblieben sein. Wird die MAC auch über die Konfiguration importiert und überschreibt/spooft die Hardware-MAC des Ports?)
Kommunikation über die Tunnel von A und B nach C (und zurück von C nach A und B), sowie von C nach D (und zurück von D nach C) funktioniert.
Aber: Kommunikation von A und B nach D (über C als Zwischenstation) funktioniert *nicht mehr*.
Traceroute von einem Client-System in B nach C listet die Router in B und C auf, danach ist das Ziel in C erreicht.
Traceroute von einem Client-System in B nach D listet nur den Router in B auf, danach nur noch Zeitüberschreitungen.
Routingtabelle in B, C und D sehen korrekt aus (so wie vorher; als Router für die Netze in B und D sind in C die jeweiligen VPN-Verbindungsnamen eingetragen (IKEv1 zwischen B und C, IKEv2 zwischen C und D)).
Wie/an welcher Stelle könnte ich (vielleicht per PacketDump?) prüfen, wo/warum die Pakete verloren gehen oder nicht weitergeleitet werden?
Herzlichen Dank schonmal an jeden, der sich bis hierher durchgehangelt hat.
Ich hoffe irgendwie, dass jemand so ein Problem schon mal hatte und einfach sowas sagt wie: "Bei Hardwaretausch musst Du immer daran denken, dieses oder jenes nochmal neu anzulegen, weil sonst irgendwelche internen IDs nicht passen und die Pakete im Orkus landen" oder so.
Neu gestartet habe ich alle beteiligten Systeme bereits mehrfach. Hat jemand eine Idee oder einen Denkanstoß für mich?
