Problem mit zweitem DSL-Anschluss

CEH · Beitrag von **CEH** » 17 Feb 2011, 19:43

Hallo liebe Forumsmitglieder,

ich habe in einer Aussenstelle einen LANCOM 1811n im Einsatz. Gegenwärtig dient dieses Gerät bereits dazu, über eine T1 Internetzugang für die Kollegen in der Aussenstelle und eine VPN-Verbindung in die Zentrale zu realisieren. Die T1 liegt auf DSL-1, der auf dem WAN-Port klemmt. Zusätzlich ist seit ein paar Tagen auch ein ADSL-Zugang verfügbar. Diesen habe ich als DSL-2 (ETH-4) angelegt. Folgend die (gekürzte) Konfiguration:

Code: Alles auswählen

root@TEST:/Status
> dir Hardware-Info/

Model-Number           INFO:    LANCOM 1811n Wireless
Board-Revision         INFO:    G
Total-Memory-KBytes    INFO:    32768
Free-Memory-KBytes     INFO:    16799
VPN-HW-Accelerator     INFO:    Yes
SW-Version             INFO:    7.80.0081 / 06.01.2010
Ethernet-Switch-Type   INFO:    88E6060 Rev. 2

root@TEST:/Setup/WAN/Layer

WAN-layer  Encaps.   Lay-3     Lay-2     L2-Opt.   Lay-1     
-------------------------------------------------------------
AT&T       ETHER     TRANS     TRANS     none      ETH       
ATT_ADSL   ETHER     TRANS     TRANS     none      ETH     

root@TEST:/Setup/WAN/DSL-Broadband-Peers
> dir

Peer      SH-Time  AC-name Servicename  WAN-layer  MAC-Type   user-def.-MAC  DSL-ifc(s)  VLAN-ID
------------------------------------------------------------------------------------------------
AT&T      9999                          AT&T       local      000000000000   1           0      
ATT_ADSL  9999                          ATT_ADSL   local      000000000000   2           0      

root@TEST:/Setup/WAN/IP-List
> dir

Peer     IP-Address    IP-Netmask       Masq.-IP-Addr.   Gateway   DNS-Default   DNS-Backup 
--------------------------------------------------------------------------------------------
AT&T     1.1.1.1       255.255.255.248  0.0.0.0          1.1.1.2   8.8.8.8       8.8.4.4
ATT_ADSL 2.2.2.1       255.255.255.252  0.0.0.0          2.2.2.2   8.8.8.8       8.8.4.4    

root@TEST:/Setup/Interfaces/DSL
> dir

Ifc       Operating  Upstream-Rate  Ext.-Overhead  Downstream-Rate
------------------------------------------------------------------
DSL-1     Yes        1544           0              1544           
DSL-2     Yes        768            0              6000           
DSL-3     No         0              0              0              
DSL-4     No         0              0              0

Über den DSL-2 Anschluss soll die Default-Route realisiert werden. Sämtlicher Internetverkehr soll darüber verlaufen. Damit kann ich DSL-1 rein für die VPN-Verbindung frei halten.

Im Moment scheitert aber schon alles daran, dass zwar

Code: Alles auswählen

ping -c3 1.1.1.1

funktioniert, aber

Code: Alles auswählen

ping -c3 2.2.2.1

nicht. Dementsprechend komme ich auch nicht an den ADSL-Router am DSL-2 Anschluss.

Ich freue mich über jeden Hinweis, der mir auf die Sprünge hilft.

Vielen Dank & viele Grüße

ft2002 · Beitrag von **ft2002** » 17 Feb 2011, 22:06

Hallo,

Kannst Du mal die ganzen Kästen weglassen ,

was hast Du jetzt am ETH_4 einen zusätzlichen Router oder ein Modem ?

was hast Du in der Routingtabelle eingetragen ?

Gruß ...

CEH · Beitrag von **CEH** » 17 Feb 2011, 22:19

OK, werde die "code" Markierung erst mal nicht mehr verwenden. Hier noch mal alles ohne:

root@TEST:/Status
> dir Hardware-Info/

Model-Number INFO: LANCOM 1811n Wireless
Board-Revision INFO: G
Total-Memory-KBytes INFO: 32768
Free-Memory-KBytes INFO: 16799
VPN-HW-Accelerator INFO: Yes
SW-Version INFO: 7.80.0081 / 06.01.2010
Ethernet-Switch-Type INFO: 88E6060 Rev. 2

root@TEST:/Setup/WAN/Layer

WAN-layer Encaps. Lay-3 Lay-2 L2-Opt. Lay-1
-------------------------------------------------------------
AT&T ETHER TRANS TRANS none ETH
ATT_ADSL ETHER TRANS TRANS none ETH

root@TEST:/Setup/WAN/DSL-Broadband-Peers
> dir

Peer SH-Time AC-name Servicename WAN-layer MAC-Type user-def.-MAC DSL-ifc(s) VLAN-ID
------------------------------------------------------------------------------------------------
AT&T 9999 AT&T local 000000000000 1 0
ATT_ADSL 9999 ATT_ADSL local 000000000000 2 0

root@TEST:/Setup/WAN/IP-List
> dir

Peer IP-Address IP-Netmask Masq.-IP-Addr. Gateway DNS-Default DNS-Backup
--------------------------------------------------------------------------------------------
AT&T 1.1.1.1 255.255.255.248 0.0.0.0 1.1.1.2 8.8.8.8 8.8.4.4
ATT_ADSL 2.2.2.1 255.255.255.252 0.0.0.0 2.2.2.2 8.8.8.8 8.8.4.4

root@TEST:/Setup/Interfaces/DSL
> dir

Ifc Operating Upstream-Rate Ext.-Overhead Downstream-Rate
------------------------------------------------------------------
DSL-1 Yes 1544 0 1544
DSL-2 Yes 768 0 6000
DSL-3 No 0 0 0
DSL-4 No 0 0 0

An ETH-4 (DSL-2) hängt ein ADSL-Router des Providers. Der hat die 2.2.2.2 aus dem Beispiel. Der LANCOM hat die 2.2.2.1. Ein Laptop, der statt des LANCOMs direkt an den ADSL-Router angeschlossen wird, kann problemlos surfen und "ping 2.2.2.2" erreichen.

In der Routing-Tabelle steht:

> ls Setup/IP-Router/IP-Routing-Table

IP-Address IP-Netmask Rtg-tag Peer-or-IP Distance Masquerade Active Comment
------------------------------------------------------------------------------------------------------------------------------------------------------------
10.47.0.0 255.255.255.248 0 VPN01 0 No Yes
192.168.0.0 255.255.0.0 0 VPN01 0 No Yes route to HQ
224.0.0.0 224.0.0.0 0 0.0.0.0 0 No Yes block multicasts: 224-255.x.y.z
255.255.255.255 0.0.0.0 1 ATT_ADSL 0 on Yes
255.255.255.255 0.0.0.0 0 AT&T 0 on Yes

Erscheint mir irgendwie alles unverdächtig. Mich wundert, dass der LANCOM sich auf dem DSL-2 nicht selbst "pingen" kann.

Viele Grüße

CEH · Beitrag von **CEH** » 17 Feb 2011, 22:27

Noch was … Ich habe spassehalber mal

7.7.7.0 255.255.255.0 0 ATT_ADSL 0 on Yes

eingetragen, um Probleme mit dem PBR zu vermeiden. Aber selbst dann kann sich der LANCOM auf der IP an DSL-2 nicht selbst erreichen.

ping -c3 2.2.2.1 gibt dann immer noch Null Antworten.

Hmmm … Wo liegt mein Denkfehler?

ft2002 · Beitrag von **ft2002** » 17 Feb 2011, 22:42

Hallo,

Dir fehlt ein ein Routingeintrag auf 2.2.2.0 oder das ändern der Default Route

Das Pingen an seinen eigenen WAN-Port am DSL-2 kann nicht funktionieren da der Ping an ein Netz geht welches er nicht Verwaltet und damit sendet er auf die Default-Route und somit ins Internet .... dort ist Dein Transport-Netz aber nicht bekannt !!
Also kein Ping möglich

eine Default Route zum Surfen sieht immer so aus

255.255.255.255 0.0.0.0 Tag0 Maskierung AN

Du musst für jede Leitung eine Default-Route haben

255.255.255.255 0.0.0.0 ATT_ADSL Tag 1
255.255.255.255 0.0.0.0 AT&T Tag 0

Du musst eine Firewall-Regel erstellen und auf eine der beiden Leitungen binden , in Deinem Fall Http und Https

WEB_OUT

Routing-Tag : 1
Accept
von Gegenstelle : beliebig
an Gegenstelle : ATT_ADSL
Dienst : Https, Http (oder web)

Damit bindest Du die HTTPS und HTTP auf den ATT_ADSL

Gruß ...

CEH · Beitrag von **CEH** » 17 Feb 2011, 22:53

Hi, OK Cool … Herzlichen Dank für die Erläuterungen.

Bitte erlaube mir noch eine Verständnisfrage.

Wenn ich

255.255.255.255 0.0.0.0 0 ATT_ADSL 0 on Yes
255.255.255.255 0.0.0.0 1 AT&T 0 on Yes

setze und unter

> dir /Setup/VPN/VPN-Peers

Peer SH-Time Extranet-Address Remote-Gw Rtg-tag Layer dynamic IKE-Exchange Rule-creation DPD-Inact-Timeout IKE-CFG XAUTH
----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

VPNC01 9999 0.0.0.0 9.9.9.9 1 VPN01 No Main-Mode auto 60 Off Off

setze, dann geht doch nur noch die VPN-Verbindung über die T1 (= DSL-1 = AT&T), oder? Der gesamte Internetrotz müsste dann über die ADSL-Leitung (= DSL-2) gehen.

Ist mein Verständnis wie folgt richtig?

Die VPN-Strecke braucht ein Routing-Tag, damit ich das VPN auf die DSL-1 festbinden kann. VPN Pakete werden dann niemals auf irgendwas mit Routing-Tag 0 gesendet. Das logische Interface VPN wiederum kann ich abermals einem beliebigen Routing-Tag zuweisen. In meinem Falle also der 0, da ich will, dass Pakete an die Gegenstelle 10.47.0.0/255.255.255.248 und 192.168.0.0/255.255.0.0 0 über das VPN gehen. Alle anderen Pakete würden dann anhand der Routing-Tabelle (Routing-Tag 0 = Alle Pakete) über die ADSL-Leitung (DSL-2) gehen.

Viele Grüße

ft2002 · Beitrag von **ft2002** » 17 Feb 2011, 23:03

Hallo CEH,

ich glaub Du hast es ....

Genau so ist es , Du kannst auch das "Tag 0" auf Dein ATT_ADSL setzen,
dann brauchst Du keinen Firewall eintrag , da ja nun mal alles immer über die Default-Route.

.... Ausser natürlich Du passt es an !

Wenn Du jetzt in der Verbindungsliste VPN den VPN mit Tag 1 versiehst dann geht der VPN immer auf dem Anschluß AT&T raus.

Vorraussetzung ist immer eine Default-Route auf jedem DSL Anschluss

Beim VPN brauchst Du keinen Tag zu setzen wenn der Tunnel ankommt, das Tag ist nur relevant für abgehende Tunnel.

Gruß ...

PS: in der Routingtabelle brauchst Du keinen Tag für die VPN-Routing Einträge setzen da die schon in den Tunnel gedrückt werden...

CEH · Beitrag von **CEH** » 17 Feb 2011, 23:42

Es läuft jetzt alles wie es soll. VPN geht über die T1 und die Kollegen surfen fröhlich über den ADSL-Zugang.

Herzlichen Dank nochmals für die Hilfe zu so später Stunde.

Viele Grüße