Von IKEv2-Tunnel verwendete WAN-Verbindung auswerten

[5624]

Hallo zusammen,

ich habe hier gerade ein konzeptionelles Problem, bei dem ich nicht weiterkomme und auf eure Ideen hoffe.

Wir haben in unseren Filialen LANCOM 1803VA-4G-Router stehen, die per DSL, DOCSIS oder GPON am Internet hängen. Dazu verfügt jeder Router über eine rote M2M-Multinetz-Karte als Backup. Diese Karten laufen als Pool und haben kein Freikontingent, also jedes MB, was darüber läuft, kostet extra.

Wir bieten unseren Mitarbeitern und unseren Kunden je ein WLAN für die freie Nutzung an, welches vom Router per L2TPv3 innerhalb unseres normalen IKEv2-Tunnels zu einem 1781VA-4G* geht, der nur L2TP-Konzentrator ist und den Traffic per Ethernet an einen Drittanbieterrouter für die Authentifizierung gibt.
* Dieses Gerät ist nur innerhalb des Netzwerks erreichbar, hat keinerlei WAN-Verbindung und ist Abfallverwertung gewesen. Wir getauscht, wenn ich was passendes in die Finger bekomme

Als ich diese Konstruktion mit dem L2TPv3-Tunnel eingeführt habe, hatten wir noch 1781VA-4G in den Filialen. Da war einfach hinterlegt, dass, sobald auf dem Router die WWAN-Verbindung aufgebaut wurde, der L2TP-Endpunkt deaktiviert wurde. Wenn WWAN dann später inaktiv wurde, wurde der Endpunkt wieder aktiviert.

In der Routingtabelle sind die Internetverbindungen über administrative Distanzen aneinandergereiht.

Jetzt sollen jedoch, zur Steigerung der Betriebssicherheit, die WWAN-Verbindungen dauerhaft aktiv gehalten werden und ein zusätzlicher VPN-Tunnel zu einem Loopback-Interface über WWAN eingeführt werden. Damit funktioniert die L2TP-Abschaltung nicht mehr wie bisher.


Gibt es eine Möglichkeit, über die Aktionstabelle abzufragen, welche WAN-Verbindung von einer spezifischen IKEv2-Verbindung genutzt wird, um daran dass die notwendigen Ab- und Anschaltaktionen zuhinterlegen?
Wenn es nicht geht, was hätte ich noch für Möglichkeiten, die L2TP-Abschaltung zu realisieren?

Ich habe schon versucht, es mit mehreren VPN-Verbindungen (je eine für jeden Internetverbindung), die ebenfalls mit administrativen Distanzen verkettet sind, aufzubauen. Leider sorgte dieses in letzter Zeit häufiger dafür, dass Filialen, beim Verlust der primären Verbindung komplett offline gingen, erst ein manueller Routerneustart hat dann die WWAN-Verbindung und den zweiten Tunnel aufgebaut.

Beste Grüße
5624

[Dr.Einstein]

Gibt es eine Möglichkeit, über die Aktionstabelle abzufragen, welche WAN-Verbindung von einer spezifischen IKEv2-Verbindung genutzt wird, um daran dass die notwendigen Ab- und Anschaltaktionen zuhinterlegen?

Wie wäre es mit dem Befehl ls /st/vpn/conn @ Name-der-Gegenstelle und dann unten Bedingung contains=<gesuchteWANGegenstelle>.

https://www.lancom-systems.de/docs/LCOS ... 96287.html

[5624]

Vielen Dank für deine Rückmeldung. Ich bin bisher nicht dazu gekommen, es zu testen.

Leider ist heute genau dass passiert, was nicht passieren sollte. Das Backup funktioniert nicht und ich muss jetzt warten, bis die Hauptleitung repariert wurde. Beim Testlauf vor zwei Monaten hat dass Backup an genau diesem Standort noch funktioniert.

Mir kam noch eine andere Idee, wie ich dass Problem lösen kann. Ich habe jetzt einen gesonderten IPSec-Tunnel zum L2TP-Konzentrator aufgebaut, der aber nur über DSL aufgebaut werden darf. Damit konnte ich die ganze Abschaltlogik deaktivieren und die WWAN-Gegenstelle auf Keep alive setzen. Dieses Konstrukt hab ich schon seit längerer Zeit für eine Spezialfiliale (hier geht es nicht ohne mehrere DSL-Leitungen) und hab es nur abgewandelt.

Aktuell läuft es noch auf die gleichen VPN-Gateways wie die produktiven IPSec-Tunnel, zu einem späteren Zeitpunkt werde ich aber den jetzigen L2TP-Konzentrator ersetzen und lasse diesen dann auch die IPSec-Tunnel terminieren.