LANCOM 1781VA-4G: Testen der Backup-Verbindung

Forum zu LANCOM Mobilfunk Router/Gateways

Moderator: Lancom-Systems Moderatoren

Antworten
CyberT
Beiträge: 260
Registriert: 17 Apr 2005, 14:36

LANCOM 1781VA-4G: Testen der Backup-Verbindung

Beitrag von CyberT »

Hallo zusammen,

der 1781VA-4G hat einen vorhandenen Provider-ADSL-Router mit Annex A (Frankreich: Orange Livebox Pro V4) ersetzt. Via LTE wird vom LANCOM ausgehend eine VPN-Verbindung zur ZENTRALE aufgebaut. Da die LTE-Mobilfunkverbindung des 1781VA-4G wesentlich höhere Datenraten ermöglicht, wollte ich den ADSL-Router als Backup-Verbindung nutzen, also wenn LTE ausfällt, dann soll die vorhandene Internet-Verbindung des Provider-Router genutzt werden.

Hierzu habe ich einen Internet-Zugang über eine Plain Ethernet-Verbindung eingerichtet (der Provider-Router hängt an ETH 1 = DSL-1 und die Default-Route hierbei beibehalten) und ergänzend eine Backup-Verbindung für die LTE-Verbindung konfiguriert.

Nur, wie teste ich das ganze jetzt am geschicktesten, wenn ich nicht vor Ort bin, nicht mal so eben schnell da hin fahren kann und aktuell nur Zugriff auf den 1781VA-4G über die von dort ausgehende VPN-Verbindung habe, wenn LTE funktioniert?

Der Provider-Router und der LANCOM haben die selbe IP-Adresse (192.168.1.1), da ich die Geräte 1:1 austauschbar vorhalten wollte. Ist diesbezüglich bei der Einrichtung der Backup-Verbindung etwas zu beachten?

Vielen Dank.
Gruß.
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: LANCOM 1781VA-4G: Testen der Backup-Verbindung

Beitrag von backslash »

Hi CyberT,

du hast ja das Problem, daß du im Fehlerfall nicht zurückkommst, wenn du nicht am Ort des Gerätes bist...

Da fällt mir erstmal ein, die aktuelle Firmare im Testmodus ins Gerät zu laden und sie nach erfolgtem Upload nicht dauerhaft zu aktivieren. Die Testzeit sollte dabei 10 oder 15 Minuten betragen (die standardmässigen 5 Minuten halte ich für zu kurz). Nach dem Upload gehst du dann per Telnet/SSH auf das Gerät und schaltest das Speichern der Konfig im Flash miitesl "flash no" ab. Der Prompt zeigt dir dann "[Test]" an. Nun kannst du in der Konfig das ICMP-Polling der LTE-Verbindung so ändern, daß es versucht ein Ziel zu pingen, das nicht antwortet. Daraufhin sollte irgendwann das LTE (incl. VPN-Tunnel) getrennt und die Backup-Verbindung aufgebaut werden. Sobald der VPN-Tunnel wieder steht (über die Backup-Verbindung), restaurierst du das ICMP-Polling. In dem Moment sollte das LTE wieder aktiv und die Backup-Verbindung (incl. VPN-Tunnel) abgebaut werden. Sobald der VPN-Tunnel erneut - diesmal wieder über die LTE-Verbindung aufgebaut wurde, kannst du die Firmware auch dauerhaft aktivieren.

Sollte das Ganze nicht funktionieren, bootet das Gerät nach Ende der Testzeit wieder (mit der anderen Firmware und der unveränderten Konfiguration) und du kannst das Ganze mit einer neuen Konfiguration wiederholen (Firrmware im Testmodus hochladen, "flash no" per SSH, ...).

Vergiss nicht, das Speichern im Flash wieder mit "flash yes" zu aktivieren, wenn alles funktioniert

Gruß
Backslah
CyberT
Beiträge: 260
Registriert: 17 Apr 2005, 14:36

Re: LANCOM 1781VA-4G: Testen der Backup-Verbindung

Beitrag von CyberT »

Hallo backslash,

vielen Dank für Deine umfassende Antwort. Die war wirklich sehr hilfreich!

backslash hat geschrieben: 18 Feb 2019, 13:55 du hast ja das Problem, daß du im Fehlerfall nicht zurückkommst, wenn du nicht am Ort des Gerätes bist...
Exakt.

backslash hat geschrieben: 18 Feb 2019, 13:55Da fällt mir erstmal ein, die aktuelle Firmare im Testmodus ins Gerät zu laden und sie nach erfolgtem Upload nicht dauerhaft zu aktivieren. Die Testzeit sollte dabei 10 oder 15 Minuten betragen (die standardmässigen 5 Minuten halte ich für zu kurz).
Auf die Idee, den Firmware-Testmodus zum (temporären) Testen von Konfigurationen zu nutzen, muss man auch erstmal kommen. :idea:

Das ganze war zwar jetzt ziemlich zeitaufwendig, hat mich dann aber ein gutes Stück weitergebracht. - Nun ergeben sich folgende weitere Fragen, die sich während eines echten Ausfall der Primärverbindung (SALT) ergeben haben:

1. Wie kann ich erreichen, dass erst nach einer Mindest-Verbindungszeit der LTE-Verbindung von der Backup-Leitung auf die primäre LTE-Verbindung zurückgeschaltet wird. (Ich habe die Erfahrung gemacht, dass die LTE-Verbindung manchmal zwar hochkommt, dann aber nur ca. 30-60 Sekunden Bestand hat, in der Zwischenzeit von der Backup-Verbindung aber wieder auf die LTE-Verbindung zurückgeschaltet wurde, und so ein kleiner Ping-Pong-Effekt entsteht, den ich gerne vermeiden würde.)

2. Einmal kam die Backup-Verbindung (hier: ORANGE) erst nach rund 10 Minuten hoch und zwar auch erst dann, nachdem der Backupfall ein 2. Mal eingetreten war, nachdem die Primärverbindung kurz für ein paar Sekunden wieder online war.
Woran könnte das liegen?

Code: Alles auswählen

2019-02-18 21:33:31;4;5;Successfully connected to peer VPN-ZENTRALE;
2019-02-18 21:33:30;4;5;Successfully connected to peer ORANGE;
2019-02-18 21:33:28;4;5;DHCP: local IP address for ORANGE is 192.168.1.36, gateway IP address is 192.168.1.1;
2019-02-18 21:33:24;4;6;Disconnected from peer SALT: No response;
2019-02-18 21:32:23;4;6;Disconnected from peer VPN-ZENTRALE: physical-disconnected;
2019-02-18 21:32:23;16;3;VPN: Disconnect info for peer VPN-ZENTRALE: physical-disconnected;
2019-02-18 21:32:23;4;6;Disconnected from peer SALT: No response;
---------------------------------------------------------------------------
2019-02-18 21:27:59;16;3;line polling to peer ORANGE failed;
2019-02-18 21:27:48;4;5;DHCP: local IP address for ORANGE is 192.168.1.36, gateway IP address is 192.168.1.1;
2019-02-18 21:27:43;4;6;Disconnected from peer ORANGE: ICMP-conn.-Error;
2019-02-18 21:27:43;4;6;Disconnected from peer VPN-ZENTRALE: physical-disconnected;
2019-02-18 21:27:43;16;3;error for peer ORANGE: ICMP-conn.-Error;
2019-02-18 21:27:43;16;3;VPN: Disconnect info for peer VPN-ZENTRALE: physical-disconnected;
2019-02-18 21:27:43;16;3;VPN: Disconnect info for peer VPN-ZENTRALE: physical-disconnected;
2019-02-18 21:27:43;16;3;line polling to peer ORANGE failed;

backslash hat geschrieben: 18 Feb 2019, 13:55Nun kannst du in der Konfig das ICMP-Polling der LTE-Verbindung so ändern,
Ich hatte jetzt nur für die externe IPoE-Verbindung ein Polling konfiguriert (mit IP-Adresse 1: 8.8.8.8 und IP-Adresse 2: 8.8.4.4 --> bessere Vorschläge?). - Sollte ich das für die interne LTE-Verbindung grundsätzlich auch tun?

Vielen Dank.
Gruß.
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: LANCOM 1781VA-4G: Testen der Backup-Verbindung

Beitrag von backslash »

Hi CyberT,
Wie kann ich erreichen, dass erst nach einer Mindest-Verbindungszeit der LTE-Verbindung von der Backup-Leitung auf die primäre LTE-Verbindung zurückgeschaltet wird. (Ich habe die Erfahrung gemacht, dass die LTE-Verbindung manchmal zwar hochkommt, dann aber nur ca. 30-60 Sekunden Bestand hat, in der Zwischenzeit von der Backup-Verbindung aber wieder auf die LTE-Verbindung zurückgeschaltet wurde, und so ein kleiner Ping-Pong-Effekt entsteht, den ich gerne vermeiden würde.)
Das wirst du wohl mit der integrierten Backup-Funktion nicht hinbekommen. Ich könnte mir aber vorstellen, daß du es über die Aktionstabelle realiseren kannst, indem du über Firewallregeln Pakjete umtaggst. Dazu müßtest du dir zwei Default-Routen mit unterschiedlichen Routing-Tags einrichten und eine Firewallregel, die jeden Traffic taggt (ggf. mit dem Häkchen bei "weitere Regeln beachten"). Beachte, daß in einer Regelkette nur die erste Regel auch taggen kann.

Wenn nun das Polling auf der LTE-Verbindung scheitert und diese abbaut, dann stellt die entsprechende Aktion die Firewallregel so um, daß die Pakete nun das Tag der zweiten (DSL) Verbindung bekommen.
Wenn das LTE wieder hochkommt schaltest du die Firewallregel erst mit einer gewissen Verzögerung wieder zurück. Ich weiss jetzt nicht, ob da ein"sleep 1m" ausreichend ist, ober ob du das über Schleifen und Sperrzeiten lösen mußt - so sehr kenne ich mich in der Sckriptsprache leider nicht aus. Desweiteren solltest du dann auch die DSL-Verbindung einmal trennen, damit die Firewall die Sessions löscht, die über die DSL-Verbindung gehen
Einmal kam die Backup-Verbindung (hier: ORANGE) erst nach rund 10 Minuten hoch und zwar auch erst dann, nachdem der Backupfall ein 2. Mal eingetreten war, nachdem die Primärverbindung kurz für ein paar Sekunden wieder online war.
Woran könnte das liegen?
Vielleicht hatte dein DSL-Provider gerade in dem Moment auch eine Störung... oder das Pollziel war gerade offline... oder, oder , oder... Das kann alle möglichen Ursachen haben
Ich hatte jetzt nur für die externe IPoE-Verbindung ein Polling konfiguriert (mit IP-Adresse 1: 8.8.8.8 und IP-Adresse 2: 8.8.4.4 --> bessere Vorschläge?). - Sollte ich das für die interne LTE-Verbindung grundsätzlich auch tun?
In jedem Fall... Denn ob die Leitung zusammengebrochen ist, bekommst du sicher nur über das Polling mit. Oder andersherum gesagt: Ohne Polling kann die Leitung weg sein und du bekommst es gar nicht mit...

Gruß
Backslash
CyberT
Beiträge: 260
Registriert: 17 Apr 2005, 14:36

Re: LANCOM 1781VA-4G: Testen der Backup-Verbindung

Beitrag von CyberT »

Hi Backslash,

erneut vielen Dank für Deine Ausführungen.

backslash hat geschrieben: 19 Feb 2019, 14:50In jedem Fall... Denn ob die Leitung zusammengebrochen ist, bekommst du sicher nur über das Polling mit. Oder andersherum gesagt: Ohne Polling kann die Leitung weg sein und du bekommst es gar nicht mit...
Okay, verstanden. Polling für LTE ist nun ebenfalls konfiguriert.


Warum auch immer, aber regelmäßig kommt es vor, dass die Backup-Verbindung nicht Zustande kommt, obwohl der LANCOM vom Provider-Router (ORANGE) via DHCP eine korrekte IP-Adresse erhält. Im Syslog finde ich hierzu folgendes:

Code: Alles auswählen

2019-02-19 14:01:28;4;6;Disconnected from peer ORANGE: ICMP-conn.-Error;
2019-02-19 14:01:28;4;6;Disconnected from peer VPN-ZENTRALE: physical-disconnected;
2019-02-19 14:01:28;16;3;error for peer ORANGE: ICMP-conn.-Error;
2019-02-19 14:01:28;16;3;VPN: Disconnect info for peer VPN-ZENTRALE: physical-disconnected;
2019-02-19 14:01:28;16;3;VPN: Disconnect info for peer VPN-ZENTRALE: physical-disconnected;
2019-02-19 14:01:28;16;3;line polling to peer ORANGE failed;
2019-02-19 14:01:17;4;5;DHCP: local IP address for ORANGE is 192.168.1.250, gateway IP address is 192.168.1.1;
2019-02-19 14:01:14;4;6;Disconnected from peer SALT: No response;
2019-02-19 14:01:13;4;6;Disconnected from peer ORANGE: ICMP-conn.-Error;
2019-02-19 14:01:13;4;6;Disconnected from peer VPN-ZENTRALE: physical-disconnected;
2019-02-19 14:01:13;16;3;error for peer ORANGE: ICMP-conn.-Error;
2019-02-19 14:01:13;16;3;VPN: Disconnect info for peer VPN-ZENTRALE: physical-disconnected;
2019-02-19 14:01:13;16;3;VPN: Disconnect info for peer VPN-ZENTRALE: physical-disconnected;
2019-02-19 14:01:13;16;3;line polling to peer ORANGE failed;
2019-02-19 14:01:02;4;5;DHCP: local IP address for ORANGE is 192.168.1.250, gateway IP address is 192.168.1.1;
2019-02-19 14:00:58;4;6;Disconnected from peer ORANGE: ICMP-conn.-Error;
2019-02-19 14:00:58;4;6;Disconnected from peer VPN-ZENTRALE: physical-disconnected;
2019-02-19 14:00:58;16;3;error for peer ORANGE: ICMP-conn.-Error;
Im LANmonitor steht als Fehlermeldung dann
DSL Leitungsfehler (Layer 1) [0x3385] (--> Was wir will mir das in diesem Zusammenhang sagen?)
ICMP Verbindungsfehler [0x0113] (--> Polling schlägt fehl)

Für Hinweise, wie ich den Fehler näher eingrenzen kann, wäre sich sehr dankbar.
Gruß.
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: LANCOM 1781VA-4G: Testen der Backup-Verbindung

Beitrag von backslash »

Hi CyberT
Warum auch immer, aber regelmäßig kommt es vor, dass die Backup-Verbindung nicht Zustande kommt, obwohl der LANCOM vom Provider-Router (ORANGE) via DHCP eine korrekte IP-Adresse erhält.
Daß der DHCP-Server des Provider-Routers noch arbeitet, bedeutet nicht, daß der Provider-Router selbst noch ins Internet kommt. Wenn die Leitung gestört ist, verteilt der Router imer noch munter Adressen: das ist letzendlich wie beim LTE: ohne Polling bekommst du nicht mit, daß die Leitung gestört ist...
DSL Leitungsfehler (Layer 1) [0x3385] (--> Was wir will mir das in diesem Zusammenhang sagen?)
Ein Layer 1 Fehler bedeutet, daß der Ethernet-Link weg war - ggf. hat der externe ADSL-Router ja gebootet... oder du hast ein Problem mit dem Kabel zwischen dem LANCOM und dem externen Router
ICMP Verbindungsfehler [0x0113] (--> Polling schlägt fehl)
Warum das Polling fehlschlägt, kann ich dir nicht sagen. Allein in diesem Post sind schin wieder zwei mögliche Gründe gefallen: Leitung des externen Routers wirklich gestört, Problem mit dem Kabel zwischen dem LANCOM und dem externen Router - aber das ist alles reine Spekulation. Was genau die Ursache ist, mußt du untersuchen, wenn der Fehlerfall eintritt

Gruß
Backslash
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: LANCOM 1781VA-4G: Testen der Backup-Verbindung

Beitrag von GrandDixence »

Empfehlenswert ist die Überwachung der Mobilfunkverbindung (LTE) mit ICMP-Polling und einer Aktionstabellen-Lösung:
lancom-systems-router-aeltere-modelle-z ... tml#p75861

Die Überwachung der ADSL-Leitung mit ICMP-Polling macht keinen Sinn und sollte entfernt werden. => Wenn LTE und ADSL gleichzeitig nicht mehr funktionieren, ist die Verbindung sowieso "tot".

SALT hat zur Zeit in der Schweiz massive Verfügbarkeitsprobleme:
https://www.connect.de/vergleich/mobilf ... -8330.html

https://www.watson.ch/digital/schweiz/8 ... ass-unklar

Ist SALT in Frankreich nicht von diesen Verfügbarkeitsproblemen betroffen?
Antworten