[gelöst] LANCOM 1900EF - Wechsel von T-DSL Business zu DeutschlandLAN connect IP - VPN Site2site

[ajmind]

Hallo allerseits,

vorausgeschickt sei, dass ich diese Aufgabenstellung geerbt habe und trotz aller Bemühungen, lesen und testen, tue ich mich immer noch schwer mit der LCOS Logik und Terminologie.

Aktuell haben wir an zwei Standorten folgende Konfiguration:

WERK1:
SUBNET: 192.168.1.0
statische Route zu WERK2
WAN: T_DSL Business (SDSL) mit fester IP
LANCOM 1900EF
VPN Tunnel mit IPSEC ike v1

WERK2:
SUBNET: 192.168.2.0
statische Route zu WERK1
WAN: T_DSL Business (SDSL) mit fester IP
LANCOM 1900EF
VPN Tunnel mit IPSEC ike v1

Diese Konfiguration wird ersetzt durch die zwangsweise Umstellung auf DeutschlandLAN Connect IP.

Im WERK2 wurde bereits neuer ein Anschluss mit einem Adtran Netvanta 4660 geschaltet.

Von der Telekom haben wir die Daten zur Adresszuweisung bekommen:

Inetnum: 9x.xxx.xxx.96/29
Ihr (?) StandardGateway:
Interface IP: 9x.xxx.xxx.97/29
Interface IP Erstanbindung: 9x.xxx.xxx.97/29

Sowie die Daten von 3 DNS-Servern.

Mittel LANCOM Setup Assistenten habe ich ein neue, zweite Internetverbindung zu der bestehenden WAN1 Verbindung am WAN2 Port des 1900EF eingerichtet.

Die Verbindung wird auch hergestellt obwohl ich schon beim Setup-Assistenten so meine Schwierigkeiten hatte:

Als Verbindungsanbieter habe ich die Deutsche Telekom ausgewählt, (obwohl sie ja Telekom Deutschland GmbH heißt )
Als "passende" Anschlüsse standen Business Access IP und Company Connect zur Verfügung, ich habe beide durchgeklickt und Sie unterscheiden sich nicht wesentlich in den folgenden Abfragen. Schlussendlich habe ich Company Connect gewählt, die Bandbreite 2.5 MBit/s Kupfer SHDSL ausgewählt, die automatische Erkennung der Verbindungsgeschwindigkeit gewählt und als IP Adresse

9.x.xxx.xxx.97 mit der vorgeschlagenen Netzmaske 255.255.255.248 angegeben. (Hier war ich mir schon unsicher, da ich die gleiche Adresse beim Standardgateway eingetragen habe.)

Wie gesagt Standardgateway 9.x.xxx.xxx.97 und zwei DNS Server.

Die Frage ob das DMZ-Netz vorkonfiguriert werden soll habe ich verneint und auch keine Verbindungsüberwachung ausgewählt da ich nicht wirklich weiß, ob ich damit unsere bestehende Verbindung per T_DSL Business störe und so unsere Verbindung zw. beiden Werken kappe.

Ich habe auch die bisherige Defaultroute so belassen, kann man ja noch manuell anpassen.

Schlußendlich wurde die WAN2 Verbindung erfolgreich aufgebaut. Durch temporäres anpassen der Dafaultroute konnte ich auch in Internet und kann auch von außen die IP 9.x.xxx.xxx.97 anpingen.

Jetzt weiß ich nicht mehr weiter! Was muss ich machen um den VPN Tunnel zu migrieren, also von der WAN1 Verbindung zur neuen WAN2 Verbindung. Bisher habe ich nur IP Adressen für das jeweilige VPN Gateway verwendet.

Die alte WAN1 ( T_DSL Business) Verbindung wird in zwei Wochen abgeschaltet, eventuell kann man schon jetzt eine neue, parallele VPN-Verbindung erzeugen. Mehr als eine Ping auf 9.x.xxx.xxx.97 bekomme ich derzeit nicht hin, obwohl ich in der 1900EF Konfiguration auch den Zugriff über WAN HTTPS zugelassen habe.

Bestimmt hat von den Lancom Profis jemand Hinweise wie ich diese Fragestellung lösen kann bzw. wo ich etwas erhellendes nachlesen kann.

Gruss AJMind

[Koppelfeld]

Hallo!

Die beiden installierten IKEv1 - Instanzen lassen darauf schließen:
Bislang baut Ihr Euer VPN selbst.

Nun muß wohl ein Telekom-Trieftollensalesguy bei Euch aufgeschlagen sein.
Deutschland: Steht für "Totalschaden".
Kann aber auch bedeuten: "Nur innerhalb Deutschlands bieten wir das Produkt an, das läßt auf MPLS oder Schlimmes schließen. Auf jeden Fall ist es teuer und inkompatibel".
LAN:
Weil es ja offensichtlich ist, daß eine Weitverkehrsanbindung kein "Local Area Network" ist, kann nur gemeint sein: "Ihr könnt Ethernet-Frames darüber schicken. Also gern SNA/DLC, Novell IPX, IPv6 oder gern ein eigenes Protokoll".
IP:
Und das ist jetzt die 'contradictio in adiecto': IP ist Layer 3, LAN ist Layer 2.

Vielleicht klärt uns einer der hier mitlesenden Telekom-Leute auf, was Du nun hast.

Bis dahin gehe ich von drei Möglichkeiten aus:

a) Die Telekom realisiert das VPN zwischen den Standorten selbst, über eine Art "wirrtuelles LAN-Kabel", das aber nur IP mag.
Das haben einige Kunden von uns im Einsatz.
Der wahre Jakob ist es meistens nicht, denn es werden natürlich auch alle Broadcasts über das "LAN" geschunkelt.
b) Die Telekom routet zwischen Euren Standorten. Dann ist eine größere Konfigurationsänderung fällig.
c) Ihr habt einen stinknormalen Internetanschluß mit einem /29er Netz, sprich, mit 8 "festen" öffentlichen IPv4-Adressen, von denen Ihr 5 frei verwenden könnt. Im letzteren Fall solltet Ihr die Telekom wegen irreführender Werbung verklagen. Wäre etwas für Nikolaus Steinhöfel.


Im Falle c)
hast Du es ganz einfach: Verwende den "Wizard", sage ihm "unbekannter Provider" und wähle die EINFACHSTE Variante, nämlich "IP over Ethernet" resp "IPoE". Für den Router selbst magst Du die erste verfügbare Adresse nehmen, ansonsten trägst Du einfach die Daten der Telekom ein.
Als Netzmaske nimmst Du die 255.255.255.248.

Irgendwann wirst Du gefragt, ob die "Default-Route" ersetzt werden soll, da sagst Du NEIN, sonst ist Dein Zweigwerk abgehängt.

Bevor wir jetzt den Rest erledigen (kinderleicht eigentlich), sollten wir vllt. klären:

Sind die bestehenden Router mit dem zukünftigen VPN - Traffic ggfs. überfordert?
WAS für Pakete werden zwischen den Niederlassungen ausgetauscht?
Etwa VoIP?

Hat die Telekom Euch auch noch eine tolle Telephonielösung angeboten?

Welche Dienste möchtet Ihr extern anbieten?

Vorher ist eine seriöse Empfehlung schwierig -- außer natürlich für einen Telekom-Verkäufer.

[ajmind]

Hallo liebe(s)r Koppelfeld,

ich liebe deine Texte! Auch wenn ich sie nicht immer so ganz verstehe: Ich lese hier schon seit Jahren hin und wieder mit...

Bislang baut Ihr Euer VPN selbst.

Deine Vermutung ist richtig, wir haben bisher zwei simple T-DSL Business mit 2Mbit synchron. IKEv1 deshalb, weil wir daran schon 10 Jahre Bintec VPN ACCESS 25 Router betreiben, und diese können noch kein IKEv2. (Simpler site2Site Tunnel" zum routen der beiden lokalen Netze auf die jeweils andere Seite).

Die beiden 1900EF wurden, aus meiner Sicht gut begründeter Empfehlung in diesem Forum beschafft und haben jetzt die beiden Bintec ersetzt.

Wenn die neuen Leitungen stehen und wie gewünscht funktionieren, sollen natürlich auf IKEv2 umgestellt werden. Das kann aber auch jetzt schon geschehen, wenn ich wüsste wie ich diesen

c) Ihr habt einen stinknormalen Internetanschluss mit einem /29er Netz, sprich, mit 8 "festen" öffentlichen IPv4-Adressen, von denen Ihr 5 frei verwenden könnt.

Anschluss sauber zum laufen bekomme. Es sollen bis auf weiteres keine Dienste an diesem Anschluss laufen. Die Bandbreite reicht für unsere Zwecke vollkommen aus. (Es werden lediglich E-Mails und ISAM DB Tickets ausgetauscht, ab und an mal RDP Sessions zwischen beiden Werken, das war es.)

Aber halt, ein, zwei Mitarbeiter sollen sich von zuhause aus per Shrewsoft VPN Client einwählen können. Dass funktioniert auf dem bisherigen T-DSL Anschluss alles wunderbar. (Alles nur RDP)

VoIP wird über einen separaten VDSL Anschluß je Werk abgewickelt. Du ahnst es schon, Telekom Deutschland mit einem R884VA und einem R883VAW.

Testweise läuft über die beiden Telekom VoIP Router bereits ein IKEv2 Site2Site Tunnel. Wenn ich am Wochenende das statische Routing der beiden Netze umleite, klappt alles so wie es soll, die VoIP Router dienen später lediglich als Notlösung / Backupleitung.

[Koppelfeld]

Hallo,
dann ist es doch recht übersichtlich:

IPOE anlegen mit
- der *.98 als Router-IP mit Netzmaske 255.255.255.248
- der *.97 als Gateway und
- zwei der angegebenen Nameserver.

Dann testweise kurz die default-Route auf den neuen Internetzugang legen - schon sollte es funtionieren.

[ajmind]

- IPOE wie beschreiben angelegt.
- Default Route kopiert und mit Tag 10 versehen

Beide WAN Verbindungen stehen und mein bisheriger IKEv1 Tunnel bleibt bestehen.

Was muss ich beachten, wenn ich jetzt einen neuen IKEv2 Tunnel über die getaggte Schnittstelle zu dem gleichen Ziel mit gleicher Ziel IP Adresse wie der bestehende IKEv1 Tunnel aufbauen möchte?

Wenn es klappt würde ich den bisherigen Tunnel natürlich nicht mehr verwenden, da ja dort auch nach der Umstellung die gleiche Situation besteht wie an dem hiesigen Standort.

[GrandDixence]

Was muss ich beachten, wenn ich jetzt einen neuen IKEv2 Tunnel über die getaggte Schnittstelle zu dem gleichen Ziel mit gleicher Ziel IP Adresse wie der bestehende IKEv1 Tunnel aufbauen möchte?

Entsprechende VPN-Anleitung unter:
fragen-zum-thema-vpn-f14/vpn-via-androi ... tml#p97795
"abarbeiten".

[ajmind]

Update 08.04.2019:

Der Link zu einer ganzen Batterie von weiteren Links war für mich nicht zielführend, auch wen Sie inhaltlich wohl richtig sind.

Meine Problemstelle ist ja das Vorhandensein von zwei WAN-Verbindungen. Durch das Forum und probieren mit "Routing Tags" bin ich mittlerweile dahinter gestiegen, dass ich meinen WAN-Verbindungen, VPN-Verbindungen, Routen bzw. Routern und gaaaanz wichtig IP Netzen entsprechende "Tags" mitgeben kann und muss!

Wie im Anfangsposting beschrieben, soll ja der Netzwerkverkehr zwischen statisch konfigurierten Netzwerken mittels statisch konfigurierten Routen abgewickelt werden. In meinem Setup gab es bisher nur eine WAN-Verbindung und einen VPN-Tunnel, ein "Tagging" war daher überflüssig.

Code: Alles auswählen

IP-Address       IP-Netmask       Rtg-tag  Peer-or-IP        Distance  Masquerade  Active   Comment
===========================================-----------------------------------------------------------------------------------------------------------------
192.168.2.0      255.255.255.0    0        BINTEC	     0         No          Semi
192.168.2.0      255.255.255.0    10       K21900EF	     0         No          Yes
255.255.255.255  0.0.0.0          10       TKOM_C_IP         0         on          Yes	    Internetverbindung via AdTran 4660
255.255.255.255  0.0.0.0          0        INTERNET          0         on          Yes      Diese Route wurde durch den Internet-Assistenten erzeugt

Das ist jetzt anders. Mit den Routings Tags "10" Klappt die Verbindung über die entsprechende WAN-Verbindung zum entsprechenden PEER. Eine Sache fehlte allerdings noch, das "IP-Netzwerk" benötigt ebenfalls das passende Schnittstellen Tag "10":

Code: Alles auswählen

Network-name  INFO:    INTRANET
IP-Address    VALUE:   192.168.1.254
IP-Netmask    VALUE:   255.255.255.0
VLAN-ID       VALUE:   0
Interface     VALUE:   LAN-1
Src-check     VALUE:   loose
Type          VALUE:   Intranet
Rtg-tag       VALUE:   10

so habe ich meine Aufgabenstellung gelöst.

Mein Dank gilt insbesondere

der mich auf die richtige "Fährte" gebracht hat.
Gruß AJmind