VLAN Konfiguration bei UniFi AP über LANCOM VPN

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

vitaminc
Beiträge: 111
Registriert: 15 Jun 2008, 11:54

VLAN Konfiguration bei UniFi AP über LANCOM VPN

Beitrag von vitaminc »

Hi,

bin mir nicht ganz sicher zwecks VLAN Konfiguration beim Hinzufügen von AccessPoints auf Zweigstellen.

Zur aktuellen Konfiguration:
Firewalls auf der Zentrale, eigenes Interface für VPN. Vom Interface geht es über Switche zu Lancom 7100er.
Die Firewall selber geht dann über Cisco Router ins Internet. Die Lancom 7100er machen nur VPN, keine WAN Anbindung.

Auf der Zweigstelle steht dann jeweils ein 1781VA4G. Der Lancom geht dann an einen Switch, der wiederum die Endgeräte anbindet. Hinzu kommen jetzt UniFi AccessPoints, auf denen ich bereits verschiedene SSID's mit VLAN's erstellt habe.

Die VLAN's habe ich zudem auch auf den Zweigstellen-Switch als TAGGED auf dem Port definiert. Das gleiche auch auf dem Switch in der Hauptzentrale und natürlich auch auf der Firewall auf der Hauptzentrale unter dem Interface VPN.

Bin mir leider nicht ganz sicher wie ich das ganze nun auf den LANCOM 1781VA4G und 7100er zu konfigurieren habe.

Ich nehme an ich muss es ohne VLAN Modul konfigurieren, z.B.
IP Netzwerke mit VLAN ID auf den Lancom 1781VA4G erstellen
Zudem noch Routing und Firewall Einträge auf den Lancom Routern/Gateways.

That's it ?

Danke schonmal im Voraus.
vitaminc
Beiträge: 111
Registriert: 15 Jun 2008, 11:54

Re: VLAN Konfiguration bei UniFi AP über LANCOM VPN

Beitrag von vitaminc »

Ok, es war etwas spät gestern.

Natürlich muss das ganze völlig anders konfiguriert werden.
Fehler Nr. 1: Die Netze müssen auf dem LANCOM Zweigstellen Router angelegt werden, und nicht auf dem Uplink der Firewall auf der Hauptstelle.

Grundsätzlich funktioniert bereits der Zugriff schon.
Hab das zusätzliche Netz einfach mit VLAN ID unter Netzwerke des LANCOM erstellt.

Muss noch herausfinden wie ich den Zugriff vom VLAN auf das normale LAN blockieren kann.
vitaminc
Beiträge: 111
Registriert: 15 Jun 2008, 11:54

Re: VLAN Konfiguration bei UniFi AP über LANCOM VPN

Beitrag von vitaminc »

ok, das war über Schnittstellentag auch einfach realisierbar.
Ich denke es kann hier zu, außer jemand hat Verbesserungsvorschläge.
Danke.
vitaminc
Beiträge: 111
Registriert: 15 Jun 2008, 11:54

Re: VLAN Konfiguration bei UniFi AP über LANCOM VPN

Beitrag von vitaminc »

Schnittstellentag funktioniert doch nicht.
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: VLAN Konfiguration bei UniFi AP über LANCOM VPN

Beitrag von backslash »

Hi vitaminc,
Schnittstellentag funktioniert doch nicht.
doch... Schnittstellen- (und RFouting-) Tags sind genau dafür gedacht... Du mußt nur bedenken, daß es bei den ARF-Sichtbarkeiten ein drei Dinge zu beachten gilt:
  • ARF-Netze mit Tag 0 sind "Supervisor"-Netze, d.h. sie sehen alle anderen Netze mit allen anderen Tags
  • Netze vom Typ DMZ werden aus allen Tags gesehen
  • Routen mit Routing-Tag 0 werden von allen Tags verwendet - so es keine mit passendem Tag gibt
Wenn du lieber ohne Tags arbeitest, dann mußt du passende Firewallregeln erstellen, die den Zugriff zwischen den Netzen regeln

Gruß
Backslash
vitaminc
Beiträge: 111
Registriert: 15 Jun 2008, 11:54

Re: VLAN Konfiguration bei UniFi AP über LANCOM VPN

Beitrag von vitaminc »

Ja, funktioniert jetzt auch, hatte die Routing Einträge vergessen ;)
Ist halt echt zu warm hier.

Mit Firewall-Regel im LANCOM Router habe ich es zuvor probiert, das hat nicht hingehauen.
Wie muss denn die Regel aussehen?
vitaminc
Beiträge: 111
Registriert: 15 Jun 2008, 11:54

Re: VLAN Konfiguration bei UniFi AP über LANCOM VPN

Beitrag von vitaminc »

Mist, noch läuft es nicht rund.
Komme zwar ins eigene LAN, aber nicht ins Internet, trotz dass der Routing-Tag mit 255.255.255.255 gesetzt ist.
vitaminc
Beiträge: 111
Registriert: 15 Jun 2008, 11:54

Re: VLAN Konfiguration bei UniFi AP über LANCOM VPN

Beitrag von vitaminc »

Also, hat wohl nichts mit den Schnittstellentags zu tun.
Ich komme generell nicht über das VLAN ins Internet, insofern ich 255.255.255.255 durch den VPN-Tunnel schicke.
Zugriff auf eigene LAN-Netze in der Zentrale funktionieren hingegen problemlos über den VPN-Tunnel.
Und auch das INTRANET (VLAN:0) funktioniert mit Internet und allem durch den Tunnel.
Muss ich weitersuchen..
vitaminc
Beiträge: 111
Registriert: 15 Jun 2008, 11:54

Re: VLAN Konfiguration bei UniFi AP über LANCOM VPN

Beitrag von vitaminc »

Man sollte einfach ins Schwimmbad gehen und nicht arbeiten..

NAT-Regel auf der Firewall hat natürlich gefehlt.
vitaminc
Beiträge: 111
Registriert: 15 Jun 2008, 11:54

Re: VLAN Konfiguration bei UniFi AP über LANCOM VPN

Beitrag von vitaminc »

Nachdem alles funktioniert hat, habe ich den Lancom Router neu gestartet, plötzlich ging es nicht mehr.

Habe nun rausbekommen warum es mal funktioniert, und mal nicht, es hat jedenfalls nichts mit den Schnittstellen-Tags zu tun hat.

Ich habe zwei 7100er auf der Zentrale die per RIP-2 die Routen an die zentrale Firewall propagieren. Dort läuft BIRD als dynamisches Routing.
Wenn sich nun der Zweigstellen-Router (Lancom 1781VA4G) mit dem ersten 7100er verbindet, funktioniert alles, d.h. Ping ins VLAN g
eht aus dem LAN problemlos. Sobald aber der Router sich an den zweiten 7100er verbindet, findet kein Routing statt so dass keine Pings aus dem LAN durchgehen.

Die beiden 7100er laufen im Sync, habe die Einstellungen geprüft, sieht soweit auch alles gut aus. Wenn ich direkt von den 7100er die Pings absetze, dann funktioniert auch alles, d.h. die beiden 7100er haben die Routen untereinander ausgetauscht. Auch Pings direkt von der Firewall funktionieren. Sobald ich aber aus dem LAN dahinter pinge, funktioniert es nicht mehr. Laut Traceroute verwendet er jedoch die richtige Route.

Ich befürchte ich muss den Lancom Support bemühen, da weiß ich aktuell nicht wo ich noch suchen soll.
vitaminc
Beiträge: 111
Registriert: 15 Jun 2008, 11:54

Re: VLAN Konfiguration bei UniFi AP über LANCOM VPN

Beitrag von vitaminc »

Habe es jetzt in den Abendstunden, nach einer Pause, doch noch hinbekommen.
Schuldig war die SA Regel bzw. das Stations Object. Ich hatte zuvor ein bestehendes Stations Object um das weitere IP Netzwerk erweitert.
Der erste 7100er hat es geschluckt, der zweite 7100er NICHT. Nachdem ich also das IP Netzwerk als separates Stations Object angelegt und der SA hinzugefügt habe, hat es auch auf dem zweiten 7100er funktioniert.

Also ich möchte Lancom jetzt nicht zu Nahe treten, aber ganz ehrlich, was soll das eigentlich, gibt es ne Beschränkung auf den Objekten?
Ich kann mich daran erinnern dass ich damit schon öfters Probleme hatte.
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: VLAN Konfiguration bei UniFi AP über LANCOM VPN

Beitrag von backslash »

Hi vitamic,
Also ich möchte Lancom jetzt nicht zu Nahe treten, aber ganz ehrlich, was soll das eigentlich, gibt es ne Beschränkung auf den Objekten?
nein... Das erste 7100 hat es ja auch geschluckt... Da muß also noch ein anderes Problem vorliegen...

Gruß
Backslash
vitaminc
Beiträge: 111
Registriert: 15 Jun 2008, 11:54

Re: VLAN Konfiguration bei UniFi AP über LANCOM VPN

Beitrag von vitaminc »

Ich muss das Thema leider nochmals aufgreifen, weil ich diverse Probleme habe.

Wenn ich mir auf den 1781VA4G (Zweigstellen-Router) unter Network-List die Netze hinzufüge mit VLAN-ID und Rtg-tag, z.B.
add "GUEST" {IP-Address} 192.80.46.100 {IP-Netmask} 255.255.255.0 {VLAN-ID} 80 {Interface} LAN-1 {Src-check} loose {Type} Intranet {Rtg-tag} 3 {Comment} ""

Dann unter IP-Routing-Table schicke ich den gesamten Traffic durch den VPN:
add 10.101.1.0 255.255.255.0 3 {Peer-or-IP} "VPN" {Distance} 0 {Masquerade} No {Active} Yes {Comment} ""
add 10.102.1.0 255.255.255.0 3 {Peer-or-IP} "VPN" {Distance} 0 {Masquerade} No {Active} Yes {Comment} ""
add 255.255.255.255 0.0.0.0 3 {Peer-or-IP} "VPN" {Distance} 0 {Masquerade} No {Active} Yes {Comment} ""

Dann noch die SA's in der Firewall und dann noch DHCP-Relay.

Auf der Gegenseite, also den Zentralen Router (7100er), füge ich ebenfalls die SA's und das Routing hinzu.

Funktioniert soweit alles Bestens, bis auf das die 7100er plötzlich bei der CPU-Last in die Höhe schießen.

Wir haben insgesamt 45 Zweigstellenrouter auf 2 x Lancom 7100er per VPN angebunden.
Normalerweilse liegen die beiden 7100er zwischen 15-20% CPU-Last im Durchschnitt.

Als ich gestern auf 5 Zweigstellen-Routern jeweils 4 VLAN's konfiguriert habe, war die CPU-Last bei den 7100er bei 50-60%.
Bei "show job" habe ich nur gesehen, dass Diffie-Hellman-Precalc immer wieder auf fast 100% hochgeht.

Ich möchte das ganze jetzt nochmal auf meinen Test-Zweigstellen-Router testen, wo kann ich am Besten ansetzen um herauszufinden woher die Last kommt?

ps, der Artikel auf https://www2.lancom.de/kb.nsf/1275/7183 ... enDocument zu "ARF: Abgrenzen lokaler Netze durch Nutzung des Schnittstellentags (bei Geräten ohne WLAN)" existiert seltsamerweise nicht mehr. Ich bin mir jetzt nicht ganz sicher ob mich zwecks Konfigurartion nicht sogar an dieses Dokument gehalten habe.
vitaminc
Beiträge: 111
Registriert: 15 Jun 2008, 11:54

Re: VLAN Konfiguration bei UniFi AP über LANCOM VPN

Beitrag von vitaminc »

Könnte ggf. an der Anzahl der SA's liegen.
Die beiden 7100er haben aktuell bereits über je 500 SA's, mit den VLAN's wären die bei über 3000. Ich denke das könnte die CPU in die Knie zwingen.

Weiss jemand, wie ich SA Netzwerkbeziehungen auf ANY stellen kann, so dass ich diese drastisch verringern kann?
Vielleicht hat da jemand ne Beispielkonfig.

Danke.
Bezalel
Beiträge: 2
Registriert: 29 Dez 2017, 16:27

Re: VLAN Konfiguration bei UniFi AP über LANCOM VPN

Beitrag von Bezalel »

Du kannst die Regelerzeugung der VPN-Verbindung auf 'manuell' stellen und als IPv4 Regeln RAS-WITH-NETWORK-SELECTION auswählen - oder du kannst diese kopieren (die IPv4/v6 Regeln befinden sich unter VPN -> Allgemein) und kannst der Regel einen für deinen Verwendungszweck passenden Namen geben und diesen Verwenden, damit man auch später versteht warum die Regel verwendet wurde.
Antworten