Hallo zusammen,
ich habe hier folgendes Problem:
Auf der beigefügten Grafik sieht man den theoretischen Aufbau des Netzes. Es besteht aus zwei LANs an beiden Enden, mit jeweils derselben Netzadresse. Z.z. sind diese beiden Netze mit zwei (transparenten) DSL-Modems (nicht eingezeichnet, innerhalb der mittleren Wolke quasi) verbunden.
Um eine Backup-Verbindung (falls die Ethernet-Strecke unterbrochen sein sollte) zu haben, möchte ich zwischen den LANs und den DSL-Modems je einen Lancom 3850 UMTS-Router schalten. Die UMTS-Verbindung läuft über feste IP-Adressen und ist bereits für IPSec freigeschaltet.
Bisher habe ich es lediglich geschafft, ein VPN zwischen den UMTS-Schnittstellen der Router herzustellen. So kann ich von einem im LAN1 befindlichen PC (z.B. 10.1.1.100) die UMTS-Schnittstelle des gegenüberliegenden Routers (z.B. 80.70.60.20) anpingen und umgekehrt. Was allerdings nicht klappt, sobald die Ethernet-Strecke testweise unterbrochen wird, ist zum Einen das Anpingen der gegenüberliegenden Ethernet-Schnittstelle des Routers (z.B. 10.1.1.20) und zum Anderen das Anpingen eines PCs im LAN2 (z.B. 10.1.1.200).
Was muss ich tun, damit bei einer Unterbrechung der Ethernet-Strecke der Datenverkehr über die UMTS-VPN-Verbindung weiterläuft?
Ich bedanke mich schon mal für Eure Antworten! =)
LC 3850 UMTS: VPN über UMTS als Ethernet-Backup
Moderator: Lancom-Systems Moderatoren
-
Popopinsel
- Beiträge: 12
- Registriert: 05 Okt 2009, 13:57
LC 3850 UMTS: VPN über UMTS als Ethernet-Backup
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Hi Popopinsel,
sinnvollerweise trennst du die beiden Netze, damit du zwischen ihnen routen kannst, und nimmst also z.B. für LAN-2 das 10.1.2.0 Netz.
Dann richtest du auf beiden Seiten transparente WAN-Verbidnungen ein, an die du die DSL-Modems klemmst. Auf diesen Verbindungen spannst du ein drittes Netz auf (Transfernetz, z.B. 10.1.3.x) und trägst auf beiden seiten das jewils gegenüberliegende LANCOM als Default-Gateway ein. In der Routing-Tabelle trägst du dann das jeweils andere Netz ein und als Gegenstelle die eben eingerichtete WAN-Verbindung:
LAN-1 (10.1.1.0) --- LC1 --- WAN-Transfernetz (10.1.3.0) --- LC2 -- LAN-2 10.1.2.0
Wenn du dann zwischen den beiden Netzen pingen kannst, dann kannst du abschließnd die VPN-Verbindung als Backup für diese transparente WAN-Verbindung einrichten.
Gruß
Backslash
sinnvollerweise trennst du die beiden Netze, damit du zwischen ihnen routen kannst, und nimmst also z.B. für LAN-2 das 10.1.2.0 Netz.
Dann richtest du auf beiden Seiten transparente WAN-Verbidnungen ein, an die du die DSL-Modems klemmst. Auf diesen Verbindungen spannst du ein drittes Netz auf (Transfernetz, z.B. 10.1.3.x) und trägst auf beiden seiten das jewils gegenüberliegende LANCOM als Default-Gateway ein. In der Routing-Tabelle trägst du dann das jeweils andere Netz ein und als Gegenstelle die eben eingerichtete WAN-Verbindung:
LAN-1 (10.1.1.0) --- LC1 --- WAN-Transfernetz (10.1.3.0) --- LC2 -- LAN-2 10.1.2.0
Wenn du dann zwischen den beiden Netzen pingen kannst, dann kannst du abschließnd die VPN-Verbindung als Backup für diese transparente WAN-Verbindung einrichten.
Gruß
Backslash
-
Popopinsel
- Beiträge: 12
- Registriert: 05 Okt 2009, 13:57
Also erstmal ein dickes Dankeschön für den Tipp!
Hab die Routen jetzt hinbekommen. Testweise habe ich also 3 Class-C Netze erstellt, ein LAn an beiden Enden (192.168.0.0 sowie 192.168.1.0) sowie ein Transportnetz dazwischen (192.168.2.0).
Da ich endlich gefunden habe, wo ich den beiden Ethernet-Schnittstellen getrennt eine IP zuweisen kann, konnte ich die Routen enstprechend einstellen. Es sieht jetzt quasi so aus:
LAN-1 (192.168.0.0) --- (ETH1: 192.168.0.1) LC1 (ETH2: 192.168.2.1) --- WAN Transportnetz (192.168.2.0) --- (ETH2: 192.168.2.2) LC1 (ETH1: 192.168.1.1) --- LAN-2 (192.168.1.0)
Aber wie geht es jetzt weiter? Eine UMTS-Verbindung habe ich bereits aufgebaut (diese läuft über statische IP-Adressen, IPSec ist freigeschaltet). Auch eine VPN-Verbindung darüber habe ich testweise mal aufgebaut, allerdings lief danach natürlich jeder Datenverkehr von LAN-1 zu LAN-2 über UMTS, was ich ja aber nicht will.
Wie konfiguriere ich den Router, dass er diese Route nur bei Wegfall der Ethernet-Strecke (WAN-Transportnetz) benutzt?
Edit: Hier mal die Routen:
Hab die Routen jetzt hinbekommen. Testweise habe ich also 3 Class-C Netze erstellt, ein LAn an beiden Enden (192.168.0.0 sowie 192.168.1.0) sowie ein Transportnetz dazwischen (192.168.2.0).
Da ich endlich gefunden habe, wo ich den beiden Ethernet-Schnittstellen getrennt eine IP zuweisen kann, konnte ich die Routen enstprechend einstellen. Es sieht jetzt quasi so aus:
LAN-1 (192.168.0.0) --- (ETH1: 192.168.0.1) LC1 (ETH2: 192.168.2.1) --- WAN Transportnetz (192.168.2.0) --- (ETH2: 192.168.2.2) LC1 (ETH1: 192.168.1.1) --- LAN-2 (192.168.1.0)
Aber wie geht es jetzt weiter? Eine UMTS-Verbindung habe ich bereits aufgebaut (diese läuft über statische IP-Adressen, IPSec ist freigeschaltet). Auch eine VPN-Verbindung darüber habe ich testweise mal aufgebaut, allerdings lief danach natürlich jeder Datenverkehr von LAN-1 zu LAN-2 über UMTS, was ich ja aber nicht will.
Wie konfiguriere ich den Router, dass er diese Route nur bei Wegfall der Ethernet-Strecke (WAN-Transportnetz) benutzt?
Edit: Hier mal die Routen:
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
-
Popopinsel
- Beiträge: 12
- Registriert: 05 Okt 2009, 13:57
Wollte jetzt mal einen UMTS-VPN-Tunnel aufbauen und verliere noch den Verstand bei den Geräten. Mal klappt's, mal nicht!
Ich bekomme hier jetzt ständig, so er denn überhaupt mal die Vodafone-UMTS-Karte erkennt, diese Fehlermeldungen im LanMonitor:
"Kein Übertragungskanal verfügbar (Initiator) [0x1102]"
oder
"Zeitüberschreitung während IKE- oder IPSec-Verhandlung (Initiator) [0x1106]"
Gerade eben wars sogar so, dass die UMTS-LED am Gerät selber (dauerhaft) grün leuchtete, laut LanMonitor bestand aber keine WAN-Verbindung (hab den LanMonitor auch neu gestartet und das Gerät neu hinzugefügt). Ziemlich strange die beiden Kisten hier... Oo
Was mach ich falsch?
Ich bekomme hier jetzt ständig, so er denn überhaupt mal die Vodafone-UMTS-Karte erkennt, diese Fehlermeldungen im LanMonitor:
"Kein Übertragungskanal verfügbar (Initiator) [0x1102]"
oder
"Zeitüberschreitung während IKE- oder IPSec-Verhandlung (Initiator) [0x1106]"
Gerade eben wars sogar so, dass die UMTS-LED am Gerät selber (dauerhaft) grün leuchtete, laut LanMonitor bestand aber keine WAN-Verbindung (hab den LanMonitor auch neu gestartet und das Gerät neu hinzugefügt). Ziemlich strange die beiden Kisten hier... Oo
Was mach ich falsch?
-
Popopinsel
- Beiträge: 12
- Registriert: 05 Okt 2009, 13:57
Ok, der VPN-Tunnel steht jetzt (mehr oder weniger zuverlässig).
Auch das Routing sollte jetzt stimmen, ist aber noch nich befriedigend:
Die Route ins gegenüberliegende LAN ist nun doppelt vorhanden, einmal über ETH-2 der Gegenstelle (192.168.2.1 bzw. 192.168.2.2) und einmal über den VPN-Tunnel (Gateways sind dort die statischen IPs der jeweils gegenüberliegenden SIM). Damit nicht beide Routen gleichzeitig aktiv sind, habe ich der Ethernet-Route das Routing-Tag "0" und dem VPN-Tunnel eine "1" gegeben.
Nur wie bekomme ich es jetzt hin, dass erkannt wird wenn die Ethernetstrecke unterbrochen wurde und dann automatisch die andere Route verwendet wird?
Ihr würdet mir sehr helfen! =)
Auch das Routing sollte jetzt stimmen, ist aber noch nich befriedigend:
Die Route ins gegenüberliegende LAN ist nun doppelt vorhanden, einmal über ETH-2 der Gegenstelle (192.168.2.1 bzw. 192.168.2.2) und einmal über den VPN-Tunnel (Gateways sind dort die statischen IPs der jeweils gegenüberliegenden SIM). Damit nicht beide Routen gleichzeitig aktiv sind, habe ich der Ethernet-Route das Routing-Tag "0" und dem VPN-Tunnel eine "1" gegeben.
Nur wie bekomme ich es jetzt hin, dass erkannt wird wenn die Ethernetstrecke unterbrochen wurde und dann automatisch die andere Route verwendet wird?
Ihr würdet mir sehr helfen! =)
Hi Popopinsel
in meinem ersten Post schrieb ich
Am einfachsten richtest du die WAN-Verbindung mit deim Internet-Wizard ein, auch wenn du schon die UMTS-Strecke eingerichtet hast. Der Wizard überschreibt zwar die Default-Route, die kannst du aber am Ende wieder auf "UMTS" zurückstellen...
Wähle im Wizard auf der ersten Seite als Interface Ethernet-Interface (externes Modem/Router)
Auf der dritten Seite wählst du als Anbieter Internetzugang über plain Ethernet (IPoE, IPoEoA) aus
Auf der vierten Seite gibst du der Verbindung einen sinnvollen Namen.
auf der fünften Seite entfernst du das Häkchen bei IP-Parameter automatisch vom DHCP-Server beziehen und trägst danach in die Felder IP-Adresse und Netzmaske die Parameter des Transfernetzes und unter Standard-Gateway die IP des gegenüberliegenden LANCOMs im Transfernetz ein
Danach klickst du einfach "Weiter" bis zum Ende des Wizards.
Nun sind noch ein paar Kleinigkeiten manuell zu erledigen:
1. Unter Schnittstellen -> WAN -> Interface-Einstellungen -> DSLoL stellst du den Modus auf Exklusiv und trägst unter LAN-Interface den Port ein, an dem die DSL-Strecke hängt (vermutlich ETH-2)
2. unter IP-Router -> Routing -> Routing-Tabelle stellst du die Defaulroute wieder her, d.h. du ersetzt den Namen, den der Wizard dort eingetragen hat wieder durch "UMTS"
3. und als letztes trägst du in der Routing-Tabelle an der Route zum gegenüberliegenden Netz statt der jetzt dort stehenden IP-Adresse als Router den Namen der eben eingerichteten WAN-Verbindung ein
Wenn das läuft, kannst du für die gerade eingerichtete WAN-Verbindung unter Kommunikation -> Rufverwaltung -> Backup-Tabelle die VPN-Verbindung als Backup eintragen.
Damit das LANCOM einen Zusammenbruch der Leitung auch mitbekommt, mußt du zusätzlich noch unter Kommunikation -> Gegenstellen -> Polling-Tabelle für die WAN-Verbindung ein Polling-Eintragen. Hierzu trägst du am besten einfach die Intranet-Adresse des gegenüberliegenden LANCOMs als Pollziel (IP-Adresse 1)ein.
fertig...
Gruß
Backslash
in meinem ersten Post schrieb ich
Ich meinte damit nicht, daß du die Verbindung über ein zweites LAN-Interface herstellst...Dann richtest du auf beiden Seiten transparente WAN-Verbidnungen ein, an die du die DSL-Modems klemmst.
Am einfachsten richtest du die WAN-Verbindung mit deim Internet-Wizard ein, auch wenn du schon die UMTS-Strecke eingerichtet hast. Der Wizard überschreibt zwar die Default-Route, die kannst du aber am Ende wieder auf "UMTS" zurückstellen...
Wähle im Wizard auf der ersten Seite als Interface Ethernet-Interface (externes Modem/Router)
Auf der dritten Seite wählst du als Anbieter Internetzugang über plain Ethernet (IPoE, IPoEoA) aus
Auf der vierten Seite gibst du der Verbindung einen sinnvollen Namen.
auf der fünften Seite entfernst du das Häkchen bei IP-Parameter automatisch vom DHCP-Server beziehen und trägst danach in die Felder IP-Adresse und Netzmaske die Parameter des Transfernetzes und unter Standard-Gateway die IP des gegenüberliegenden LANCOMs im Transfernetz ein
Danach klickst du einfach "Weiter" bis zum Ende des Wizards.
Nun sind noch ein paar Kleinigkeiten manuell zu erledigen:
1. Unter Schnittstellen -> WAN -> Interface-Einstellungen -> DSLoL stellst du den Modus auf Exklusiv und trägst unter LAN-Interface den Port ein, an dem die DSL-Strecke hängt (vermutlich ETH-2)
2. unter IP-Router -> Routing -> Routing-Tabelle stellst du die Defaulroute wieder her, d.h. du ersetzt den Namen, den der Wizard dort eingetragen hat wieder durch "UMTS"
3. und als letztes trägst du in der Routing-Tabelle an der Route zum gegenüberliegenden Netz statt der jetzt dort stehenden IP-Adresse als Router den Namen der eben eingerichteten WAN-Verbindung ein
Wenn das läuft, kannst du für die gerade eingerichtete WAN-Verbindung unter Kommunikation -> Rufverwaltung -> Backup-Tabelle die VPN-Verbindung als Backup eintragen.
Damit das LANCOM einen Zusammenbruch der Leitung auch mitbekommt, mußt du zusätzlich noch unter Kommunikation -> Gegenstellen -> Polling-Tabelle für die WAN-Verbindung ein Polling-Eintragen. Hierzu trägst du am besten einfach die Intranet-Adresse des gegenüberliegenden LANCOMs als Pollziel (IP-Adresse 1)ein.
fertig...
Gruß
Backslash
-
Popopinsel
- Beiträge: 12
- Registriert: 05 Okt 2009, 13:57
So,
erstmal möchte ich mich für mein bisher versäumtes Dankeschön entschuldigen, aber ich war bis heute in Urlaub.
Ich habe mich gerade daran gemacht, Deine Anleitung Schritt für Schritt zu befolgen. Dazu habe ich zunächst die beiden Router per Hard-Reset auf die Werkseinstellungen zurück gesetzt. Danach habe ich:
1. Je einen Gerätenamen sowie ein Passwort vergeben.
2. DHCP auf "Aus" gestellt und dem einen Router die IP 192.168.0.1 und dem anderen 192.169.1.1 gegeben, beiden die Netzmaske 255.255.255.0.
3. Die beiden Router sind zunächst nur über ETH-1 und Patch-Kabel an jeweils einen PC angeschlossen, die die Adressen 192.168.0.100 bzw. 192.168.1.100 haben. Untereinander sind sie noch nicht verbunden.
4. Dann habe ich bei beiden Routern die WLAN-Schnittstellen (int./ext.) deaktiviert.
5. Jetzt kam Deine Anleitung dran. Dazu habe ich, bevor ich irgendeine UMTS- oder VPN-Verbindung eingerichtet habe, mit der Einrichtung der WAN-Verbindung wie von Dir beschrieben begonnen. Dabei habe ich dem einen Router die IP 192.168.2.1 und dem anderen die 192.168.2.2 gegeben und jeweils die gegenüberliegender IP (also die x.x.2.x) als Gateway angegeben. Dann habe ich in den Interface-Einstellungen von DSLoL den Modus auf "Exklusiv" und den Port jeweils auf ETH-2 gestellt. In der Routing-Tabelle hab ich lediglich eine Route ins gegenüberliegende Netz erstellt (es war nämlich noch keine dahin vorhanden). Als Zielnetz hab ich dann die 192.168.0.0 (im Router, dessen IP 192.168.1.1 ist) bzw. 192.168.1.0 (im Router, dessen IP 192.168.0.1 ist); Netzmaske bei beiden 255.255.255.0) und als zugehörigen Router die jeweils eigene eingerichtete WAN-Verbindung eingetragen.
So und nun direkt zum ersten Problem:
Die Router bekommen keine DSL-Verbindung aufgebaut. Hab Patch- und Cross-Over-Kabel probiert, geht beides nicht. Und ja, ich habe die Router direkt über ETH-2 miteinander verbunden. Laut LANMonitor keine WAN-Verbindungen aufgebaut und DSLoL verhandelt die ganze Zeit Protokolle aus... -.- LEDs am Gerät sind ständig am blinken, machen kurz Pause (sind also aus) und fangen wieder an zu blinken.
Ohne diese Verbindung brauch ich ja gar nicht erst weiter zu machen. Was mach ich denn falsch?
erstmal möchte ich mich für mein bisher versäumtes Dankeschön entschuldigen, aber ich war bis heute in Urlaub.
Ich habe mich gerade daran gemacht, Deine Anleitung Schritt für Schritt zu befolgen. Dazu habe ich zunächst die beiden Router per Hard-Reset auf die Werkseinstellungen zurück gesetzt. Danach habe ich:
1. Je einen Gerätenamen sowie ein Passwort vergeben.
2. DHCP auf "Aus" gestellt und dem einen Router die IP 192.168.0.1 und dem anderen 192.169.1.1 gegeben, beiden die Netzmaske 255.255.255.0.
3. Die beiden Router sind zunächst nur über ETH-1 und Patch-Kabel an jeweils einen PC angeschlossen, die die Adressen 192.168.0.100 bzw. 192.168.1.100 haben. Untereinander sind sie noch nicht verbunden.
4. Dann habe ich bei beiden Routern die WLAN-Schnittstellen (int./ext.) deaktiviert.
5. Jetzt kam Deine Anleitung dran. Dazu habe ich, bevor ich irgendeine UMTS- oder VPN-Verbindung eingerichtet habe, mit der Einrichtung der WAN-Verbindung wie von Dir beschrieben begonnen. Dabei habe ich dem einen Router die IP 192.168.2.1 und dem anderen die 192.168.2.2 gegeben und jeweils die gegenüberliegender IP (also die x.x.2.x) als Gateway angegeben. Dann habe ich in den Interface-Einstellungen von DSLoL den Modus auf "Exklusiv" und den Port jeweils auf ETH-2 gestellt. In der Routing-Tabelle hab ich lediglich eine Route ins gegenüberliegende Netz erstellt (es war nämlich noch keine dahin vorhanden). Als Zielnetz hab ich dann die 192.168.0.0 (im Router, dessen IP 192.168.1.1 ist) bzw. 192.168.1.0 (im Router, dessen IP 192.168.0.1 ist); Netzmaske bei beiden 255.255.255.0) und als zugehörigen Router die jeweils eigene eingerichtete WAN-Verbindung eingetragen.
So und nun direkt zum ersten Problem:
Die Router bekommen keine DSL-Verbindung aufgebaut. Hab Patch- und Cross-Over-Kabel probiert, geht beides nicht. Und ja, ich habe die Router direkt über ETH-2 miteinander verbunden. Laut LANMonitor keine WAN-Verbindungen aufgebaut und DSLoL verhandelt die ganze Zeit Protokolle aus... -.- LEDs am Gerät sind ständig am blinken, machen kurz Pause (sind also aus) und fangen wieder an zu blinken.
Ohne diese Verbindung brauch ich ja gar nicht erst weiter zu machen. Was mach ich denn falsch?
-
Popopinsel
- Beiträge: 12
- Registriert: 05 Okt 2009, 13:57
Entwarnung:
Ich hab den Grund gefunden, warum keine DSLoL-Verbindung aufgebaut wurde. Der Wizard hat einen (unvollständigen) Eintrag in der Polling-Tabelle erstellt. Dort war zwar als Gegenstelle die WAN-Verbindung eingetragen, eine zugehörige IP-Adresse jedoch fehlte. Hab dann also die Intranet-Adresse des jeweils gegenüberliegenden Routers (192.168.0.1 bzw. 192.168.1.1) als "IP-Adressse 1" eingetragen und schon läufts! Muss ich beim Ping-Intervall und den Wiederholungen etwas beachten?
Ich hab den Grund gefunden, warum keine DSLoL-Verbindung aufgebaut wurde. Der Wizard hat einen (unvollständigen) Eintrag in der Polling-Tabelle erstellt. Dort war zwar als Gegenstelle die WAN-Verbindung eingetragen, eine zugehörige IP-Adresse jedoch fehlte. Hab dann also die Intranet-Adresse des jeweils gegenüberliegenden Routers (192.168.0.1 bzw. 192.168.1.1) als "IP-Adressse 1" eingetragen und schon läufts! Muss ich beim Ping-Intervall und den Wiederholungen etwas beachten?
-
Popopinsel
- Beiträge: 12
- Registriert: 05 Okt 2009, 13:57
Nächstes Problem:
Die leidige VPN-Verbindung über UMTS. Nachdem ich sie neu erstellt hatte, lief sie erstmal. Dann irgendwann riss sie schließlich ab und seit dem kommt einfach keine VPN-Verbindung mehr zustande. Ich kann die UMTS-Karten raus- und reinstecken, Strom an- und ausstecken, nichts! Beide VPN-Leuchten blinken fröhlich vor sich hin. Der LAN-Monitor spuckt dazu die verschiedensten Fehler aus. Kommt mir fast so vor, als ob einfach eine Textdatei mit Fehlercodes zufällig ausgelesen und angezeigt wird...
Laut Syslog:
User VPN-LC1 logged out
VPN: Disconnect info for peer VPN-LC1: backup-end
last message repeated 1 time
User VPN-LC1 logged out
VPN: Error for peer VPN-LC1: IFC-R-Connection-timeout-dynamic
Diese Zeilen wiederholen sich dutzende Male im Syslog. Was soll mir das sagen?
Die leidige VPN-Verbindung über UMTS. Nachdem ich sie neu erstellt hatte, lief sie erstmal. Dann irgendwann riss sie schließlich ab und seit dem kommt einfach keine VPN-Verbindung mehr zustande. Ich kann die UMTS-Karten raus- und reinstecken, Strom an- und ausstecken, nichts! Beide VPN-Leuchten blinken fröhlich vor sich hin. Der LAN-Monitor spuckt dazu die verschiedensten Fehler aus. Kommt mir fast so vor, als ob einfach eine Textdatei mit Fehlercodes zufällig ausgelesen und angezeigt wird...
Laut Syslog:
User VPN-LC1 logged out
VPN: Disconnect info for peer VPN-LC1: backup-end
last message repeated 1 time
User VPN-LC1 logged out
VPN: Error for peer VPN-LC1: IFC-R-Connection-timeout-dynamic
Diese Zeilen wiederholen sich dutzende Male im Syslog. Was soll mir das sagen?
Popopinsel
die VPN-Verbindung darf gar nicht aufgebaut werden, weil sie ja eine Backup-Verbindung ist. Wenn sie wirklich aufgebaut wird, dann wird danach die Ethernet-WAN-Verbindung zwischen den beiden Routern getrennt und neu aufgebaut. Sobald diesie wieder neu aufgebaut wurde, wird die VPN-Backupverbindung mit der von dir angegebenen Meldung getrennt:
Jetzt stellt sich die Frage, warum wird die VPN-Verbindung aufgebaut? Hast du etwa eine eigene Route auf die VPN-Gegenstelle gelegt? Wenn ja, dann lösche sie... Es darf nur die Route auf die Etherenet-WAN-Gegenstelle existieren.
Die VPN-Verbindung darf nun nur noch aufgeabut werden, wenn die Ethernet-WAN-Verbindung zusammenbricht. Das passiert aber nicht sofort sondern erst nach Ablauf des Backup-Delays (unter Kommunikation -> Rufverwalung -> Backup-Verbindung nach xx Sekunden einstellbar, der Default leigt bei 30 Sekunden).
Achtung: Das Backup wird auch nur dann aufgebaut, wenn entweder die Haltezeit der Backup-Verbindung auf 9999 steht oder wirklich Daten übetragen werden sollen.
Wenn du die Haltezeit der VPN-Verbindung auf 9999 stellst, dann mußt du gleichzeitig den SA-Aufbau unter VPN -> Allgemain -> Aufbau Netzbeziehungen (SAs) auf "Gemeinsam für Keep-Alive" oder "Immer alle gemeinsam" umstellen.
Gruß
Backslash
die VPN-Verbindung darf gar nicht aufgebaut werden, weil sie ja eine Backup-Verbindung ist. Wenn sie wirklich aufgebaut wird, dann wird danach die Ethernet-WAN-Verbindung zwischen den beiden Routern getrennt und neu aufgebaut. Sobald diesie wieder neu aufgebaut wurde, wird die VPN-Backupverbindung mit der von dir angegebenen Meldung getrennt:
User VPN-LC1 logged out
VPN: Disconnect info for peer VPN-LC1: backup-end
Jetzt stellt sich die Frage, warum wird die VPN-Verbindung aufgebaut? Hast du etwa eine eigene Route auf die VPN-Gegenstelle gelegt? Wenn ja, dann lösche sie... Es darf nur die Route auf die Etherenet-WAN-Gegenstelle existieren.
Die VPN-Verbindung darf nun nur noch aufgeabut werden, wenn die Ethernet-WAN-Verbindung zusammenbricht. Das passiert aber nicht sofort sondern erst nach Ablauf des Backup-Delays (unter Kommunikation -> Rufverwalung -> Backup-Verbindung nach xx Sekunden einstellbar, der Default leigt bei 30 Sekunden).
Achtung: Das Backup wird auch nur dann aufgebaut, wenn entweder die Haltezeit der Backup-Verbindung auf 9999 steht oder wirklich Daten übetragen werden sollen.
Wenn du die Haltezeit der VPN-Verbindung auf 9999 stellst, dann mußt du gleichzeitig den SA-Aufbau unter VPN -> Allgemain -> Aufbau Netzbeziehungen (SAs) auf "Gemeinsam für Keep-Alive" oder "Immer alle gemeinsam" umstellen.
Gruß
Backslash
-
Popopinsel
- Beiträge: 12
- Registriert: 05 Okt 2009, 13:57
Vielen Dank für Deine Hilfe backslash!
Ich habe noch eine Frage zu Punkt 2 Deines "Guides":
Woran erkenne ich die Default-Route, ganz blöd gefragt? Und warum soll diese über den Router "UMTS" laufen und nicht über die erstelle WAN oder VPN-Verbindung?
Und noch was: Ja, ich hatte die Haltezeit der VPN-Verbindung immer auf 9999, da ich vermeiden wollte, dass diese im Falle eines Ausfalls der Ethernet-Strecke erst noch aufgebaut werden muss. Ich dachte es sei möglich, beide Verbindungen (also die WAN- und VPN-Verbindung) ständig aufrecht zu halten und nur bei Bedarf "umzuswitchen". Also muss ich mir mal diese SAs anschauen...
Werde erst nächste Woche Montag wieder dazu kommen, mich mit der Problematik zu beschäftigen, ich werde dann berichten wie es lief.
Aber schonmal herzlichen Dank für die super Unterstützung! Schönes Wochenende schonmal...
Ich habe noch eine Frage zu Punkt 2 Deines "Guides":
Woran erkenne ich die Default-Route, ganz blöd gefragt? Und warum soll diese über den Router "UMTS" laufen und nicht über die erstelle WAN oder VPN-Verbindung?
Und noch was: Ja, ich hatte die Haltezeit der VPN-Verbindung immer auf 9999, da ich vermeiden wollte, dass diese im Falle eines Ausfalls der Ethernet-Strecke erst noch aufgebaut werden muss. Ich dachte es sei möglich, beide Verbindungen (also die WAN- und VPN-Verbindung) ständig aufrecht zu halten und nur bei Bedarf "umzuswitchen". Also muss ich mir mal diese SAs anschauen...
Werde erst nächste Woche Montag wieder dazu kommen, mich mit der Problematik zu beschäftigen, ich werde dann berichten wie es lief.
Aber schonmal herzlichen Dank für die super Unterstützung! Schönes Wochenende schonmal...
Hi Popopinsel
Gruß
Backslash
die Defaultroute ist die mit IP-Adressee 255.255.255.255 und Netzmaske 0.0.0.0. Es ist zudem die letzte Route in der Routing-Tabelle.Woran erkenne ich die Default-Route
Die Defaultroute ist dafür da, die VPN-Verbindung aufzubauen, also das andere LANCOM über die alternative Strecke zu erreichen. Wenn das andere LANCOM eine feste IP-Adresse hat, dann brauchst du natürlich nur eine Host-Route für diese Adresse (d.h. mit Netzmaske 255.255.255.255) an die UMTS-Gegenstelle zu binden. Auch diese Route muß natürlich maskiert seinUnd warum soll diese über den Router "UMTS" laufen und nicht über die erstelle WAN oder VPN-Verbindung?
Beim backup wird die Backup-Verbindung nur im Backupfall aufgebaut. Wenn die Haltezeit der Backupverbindung 9999 ist, dann wird sie sofort bei eintraten des Backupfalls aufgebaut. Ist sie ungleich 9999, dann muß zusätzlich noch Traffic laufen um die Verbindung aufzubauen.Und noch was: Ja, ich hatte die Haltezeit der VPN-Verbindung immer auf 9999, da ich vermeiden wollte, dass diese im Falle eines Ausfalls der Ethernet-Strecke erst noch aufgebaut werden muss.
nein, das ist ja auch nicht Sinn des Backups, denn insbesondere, wenn die Backupverbindung kostenpflichtig ist, dann soll sie wirklich nur dann bestehen, wenn sie auch benötigt wird.dachte es sei möglich, beide Verbindungen (also die WAN- und VPN-Verbindung) ständig aufrecht zu halten und nur bei Bedarf "umzuswitchen"
Gruß
Backslash
-
Popopinsel
- Beiträge: 12
- Registriert: 05 Okt 2009, 13:57
Soo...
Habe nun endlich Fortschritte gemacht:
1. Die "WAN"-Verbindung zwischen den beiden Routern steht und funktioniert.
2. Die UMTS-Verbindung auf beiden Routern steht.
3. Beide Router erkennen einen Zusammebruch der WAN-Verbindung und versuchen jeweils, eine VPN-Verbindung zum anderen aufzubauen.
4. Sobald die WAN-Strecke wieder da ist, brechen sie den VPN-Verbindungsaufbau ab.
Was leider nicht funkioniert:
Die VPN-Verbindung kommt nicht zu stande. Da beide Router feste IP-Adressen haben (wurde bei Vodafone beantragt, bzw. nutzen z.Z. noch einen Testzugang), können beide Router die Verbindung aufbauen. Das probieren sie auch, allerdings steht bei beiden im Syslog folgende Fehlermeldung:
IFC-I-Connection-timeout-IKE-IPSEC
Hast Du auch dafür eine Lösung? =)
Edit: Hier mal das, was "trace vpn" sagt:
Edit 2: Hier stand Humbug...
Habe nun endlich Fortschritte gemacht:
1. Die "WAN"-Verbindung zwischen den beiden Routern steht und funktioniert.
2. Die UMTS-Verbindung auf beiden Routern steht.
3. Beide Router erkennen einen Zusammebruch der WAN-Verbindung und versuchen jeweils, eine VPN-Verbindung zum anderen aufzubauen.
4. Sobald die WAN-Strecke wieder da ist, brechen sie den VPN-Verbindungsaufbau ab.
Was leider nicht funkioniert:
Die VPN-Verbindung kommt nicht zu stande. Da beide Router feste IP-Adressen haben (wurde bei Vodafone beantragt, bzw. nutzen z.Z. noch einen Testzugang), können beide Router die Verbindung aufbauen. Das probieren sie auch, allerdings steht bei beiden im Syslog folgende Fehlermeldung:
IFC-I-Connection-timeout-IKE-IPSEC
Hast Du auch dafür eine Lösung? =)
Edit: Hier mal das, was "trace vpn" sagt:
Code: Alles auswählen
[VPN-Status] 2009/10/26 09:37:09,300
VPN: connecting to LC-1 (80.xxx.xxx.yyy)
[VPN-Status] 2009/10/26 09:37:09,320
VPN: installing ruleset for LC-1 (80.xxx.xxx.yyy)
[VPN-Status] 2009/10/26 09:37:09,320
VPN: ruleset installed for LC-1 (80.xxx.xxx.yyy)
[VPN-Status] 2009/10/26 09:37:09,320
VPN: start IKE negotiation for LC-1 (80.xxx.xxx.yyy)
[VPN-Status] 2009/10/26 09:37:09,340
VPN: rulesets installed
[VPN-Status] 2009/10/26 09:37:39,340
VPN: connection for LC-1 (80.xxx.xxx.yyy) timed out: no response
[VPN-Status] 2009/10/26 09:37:39,340
VPN: Error: IFC-I-Connection-timeout-IKE-IPSEC (0x1106) for LC-1 (80.xxx.xxx.yyy)
[VPN-Status] 2009/10/26 09:37:39,340
VPN: disconnecting LC-1 (80.xxx.xxx.yyy)
[VPN-Status] 2009/10/26 09:37:39,340
VPN: Error: IFC-I-Connection-timeout-IKE-IPSEC (0x1106) for LC-1 (80.xxx.xxx.yyy)
[VPN-Status] 2009/10/26 09:37:39,360
VPN: LC-1 (80.xxx.xxx.yyy) disconnected
[VPN-Status] 2009/10/26 09:37:39,380
VPN: selecting next remote gateway using strategy eFirst for LC-1
=> no remote gateway selected
[VPN-Status] 2009/10/26 09:37:39,380
VPN: selecting first remote gateway using strategy eFirst for LC-1
=> CurrIdx=0, IpStr=>80.xxx.xxx.yyy<, IpAddr=80.xxx.xxx.yyy, IpTtl=0s
[VPN-Status] 2009/10/26 09:37:39,380
VPN: installing ruleset for LC-1 (80.xxx.xxx.yyy)
VPN: create new config because of backup
[VPN-Status] 2009/10/26 09:37:39,390
VPN: ruleset not installed yet for LC-1
[VPN-Status] 2009/10/26 09:37:39,410
IKE log: 093739.000000 Default x509_read_from_minifs: File /minifs/vpn_devcert not found
[VPN-Status] 2009/10/26 09:37:39,410
IKE log: 093739.000000 Default x509_read_from_minifs: File /minifs/vpn_rootcert not found
[VPN-Status] 2009/10/26 09:37:39,410
IKE log: 093739.000000 Default PKCS12_lcos_read_file: File /minifs/vpn_pkcs12_int not found
[VPN-Status] 2009/10/26 09:37:39,410
VPN: rulesets installed
[VPN-Status] 2009/10/26 09:37:40,380
VPN: connecting to LC-1 (80.xxx.xxx.yyy)
[VPN-Status] 2009/10/26 09:37:40,400
VPN: installing ruleset for LC-1 (80.xxx.xxx.yyy)
[VPN-Status] 2009/10/26 09:37:40,400
VPN: ruleset installed for LC-1 (80.xxx.xxx.yyy)
[VPN-Status] 2009/10/26 09:37:40,400
VPN: start IKE negotiation for LC-1 (80.xxx.xxx.yyy)
[VPN-Status] 2009/10/26 09:37:40,420
VPN: rulesets installed-
Popopinsel
- Beiträge: 12
- Registriert: 05 Okt 2009, 13:57
-
Popopinsel
- Beiträge: 12
- Registriert: 05 Okt 2009, 13:57
Hallo zusammen,
leider muss ich den Thread doch noch mal aus der Versenkung holen...
Das Szenario der Netze hat sich dahingehend geändert, dass es nun doch zwei gleiche LANs an beiden Enden sind, sprich 10.1.1.0. Allerdings befindet sich in diesen LANs jeweils nur 1 Gerät mit den IPs 10.1.1.1 bzw. 10.1.1.2. Daher wollte ich das ganze mit statischen Routen auf den LANCOMs lösen, was aber nicht funktioniert...
Könnte mir da jemand bei helfen? =)
leider muss ich den Thread doch noch mal aus der Versenkung holen...
Das Szenario der Netze hat sich dahingehend geändert, dass es nun doch zwei gleiche LANs an beiden Enden sind, sprich 10.1.1.0. Allerdings befindet sich in diesen LANs jeweils nur 1 Gerät mit den IPs 10.1.1.1 bzw. 10.1.1.2. Daher wollte ich das ganze mit statischen Routen auf den LANCOMs lösen, was aber nicht funktioniert...
Könnte mir da jemand bei helfen? =)