VPN mit Backup VPN

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

Antworten
Foggie200
Beiträge: 19
Registriert: 26 Mai 2006, 20:22

VPN mit Backup VPN

Beitrag von Foggie200 »

Hi,

ich glaube, ich stelle mich doof an und suche daher die Hilfe der erfahrenen User.

Ich habe 2 Lancoms 1784VA. Lancom A hat 4 DSL Verbindungen und Lancom B hat 3 DSL Verbindungen. Alle Leitungen sind immer aktiv und jeweils zu einem Load-Balancer fürs Internet zusammengefasst.

Nun möchte ich jeweils die stärkste Leitung miteinander mittels VPN verbinden. Das klappt auch soweit einwandfrei. Zusätzlich habe ich mit der exakt gleichen Konfiguration (nur mit anderer IP und Zugangsdaten) eine zweite VPN-Verbindung aufgebaut, die ich jedoch nicht in die Routing-Tabelle gesetzt habe. Dafür jedoch habe ich die 2.VPN jeweils in die Backuptabelle beiden Geräten eingetragen. Mit Option "Anfangen mit" "immer die erste".
Auf Lancom A ist die Verbindungszeit für beide Leitungen auf 9999. Bei Lancom B auf 0.

Nach meiner Vorstellung bedeutet das, dass sich jeweils die erste VPN Verbindung aufbaut und da alles läuft. Fällt nun eine der Leitungen aus oder schlägt das Polling an, baut er eine Verbindung über die Backupleitungen auf. Soweit funktioniert das auch.

Das Problem ist, nachdem nun die erste Leitung wieder geht, sollte er eigentlich die Backupleitungen deaktivieren und die erste Leitung wieder aufbauen un da happerts leider. Er versucht dann die zweite Leitung zu etablieren und stößt da auf eine Verbindungstimeout und die 2. Leitung läuft aber friedlich weiter. Irgendwo hab ich sicherlich was falsch konfiguriert. Kann es sein, dass ich bei Lancom B die beiden VPN nicht als Backup konfigurieren muss, sondern beide als reale Leitungen, inklusive Routing und Lancom A entscheidet dann, mit welcher er anwählt? Dann müsste er ja beide verbinden können. Wie schalte ich die zweite Leitung dann wieder ab? Mit der Action Tabelle?

Ich hoffe jemand kann mir helfen, so selten sollte die Konfiguration ja nicht sein...

Viele Grüße
Florian
Foggie200
Beiträge: 19
Registriert: 26 Mai 2006, 20:22

Re: VPN mit Backup VPN

Beitrag von Foggie200 »

Hm, nach studium dieses Posts:

fragen-zum-thema-vpn-f14/vpn-backup-auf ... 16471.html

kam ich auf einen neuen Denkansatz. Kann es sein, dass ich das mit Backup einfach lassen sollte und es so konfigurieren sollte (?):

Lancom A:
1 VPN mit zusätzlich entferntem Gateways auf alle 3 IPs bei Lancom B jeweils mit jedem Leitungsrouting Tag von Lancom A (also 11 weitere entfernte Gateways, sortiert nach Leitungsgeschwindigkeiten, plus das Standardgateway)

Lancom B:
1 VPN mit 3 zusätzlich enferntem Gateway. Insgesamt also mit allen 4 möglichen eingehenden IP-Adressen

Das müsste ja auch gehen, oder? Aber wie komme ich dann wieder auf die Ursprungsleitung zurück, wenn diese wieder verfügbar ist?
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: VPN mit Backup VPN

Beitrag von backslash »

Hi Foggie200,

zuerst zu deinem zweiten Posting
Kann es sein, dass ich das mit Backup einfach lassen sollte und es so konfigurieren sollte
nein, denn dann wechselt das VPN erst recht nicht zurück zur Hauptverbindung, denn die additional Gateways werden nur nach dem Abbau der Verbindung gewechselt...

zu deinem ersten Posting:
Damit du die VPN-Verbindungen auch wirklich auf die DSL-Leitungen bindest, brauchst du zum Einen für jede DSL-Leitung eine getaggte Default-Route und zum anderen mußt du den VPN-Verbindungen das passende Routing-Tag für ihr remote Gateway mitgeben. Ein Polling darfst du nur auf der Seite einrichten, die die VPN-Verbindungen aktiv aufbauen soll (also LANCOM A)

Dabei hast du letztendlich aber ein Problem, wenn die Leitungen gerade "über kreuz" ausgefallen sind, also an LANCOM A Leitung 1 und an LANCOM B Leitung 2... In dem Fall wird bricht die Hautverbindung ab (wegen Leitung 1 an LANCOM A) und die Backupverbindung kann nicht aufgebaut werden (wegen Leitung 2 an LANCOM B). Du müßtest also mehrere Backupverbindungen einrichten, um alle Eventualitäten abdecken zu können - oder für die Backup-Verbindung alle möglichen Ziele über die additional Gateways angeben - dann mußt du aber entweder mit Zertifikaten oder dem Aggressive-Mode (Achtung: unsicher!) arbeiten...

Ach ja: und ganz wichtig: damit das überhaupt funktioniert, müssen alle LANCOMs mindestens eine Firmware 10.12 haben
Er versucht dann die zweite Leitung zu etablieren und stößt da auf eine Verbindungstimeout und die 2. Leitung läuft aber friedlich weiter
das verstehe ich nicht so richtig... die zweite Leitung steht doch, wieso will er die zweite dann aufbauen?

Sobald das Backup aktiv ist, versucht das LANCOM ständig die Hauptverbindung wieder aufzubauen. Und sobald das geklappt hat, wird die Backuoverbindung wieder getrennt.

Gruß
Backslash
Foggie200
Beiträge: 19
Registriert: 26 Mai 2006, 20:22

Re: VPN mit Backup VPN

Beitrag von Foggie200 »

Hi,

danke für deine sehr ausführliche Antwort. Die Leitungstags habe ich alle drin. Danke für den Hinweis, trotzdem. Ich hatte das mal aus vorrausgesetzt weggelassen. :wink:

Das Polling hab ich nun mal entsprechend geändert. Klar, wenn die Leitungen über kreuz ausfallen, dann hab ich Pech. Das wäre dann echt blöd. Da das aber verschiedene Provider wären, wäre das schon eher unwahrscheinlich...

Hm, momentan hab ich Firmware 9.10 drauf. Arbeitet da das Backup-System noch nicht zuverlässig?
das verstehe ich nicht so richtig... die zweite Leitung steht doch, wieso will er die zweite dann aufbauen?
Ja da war ich schlampig bei meinem Post. Ich meinte, er versuchte dann heute morgen die erste Leitung wieder zu etablieren, ist dabei aber auf einen Timeout gestoßen. Die Backup-Leitung lief derweilen weiter. Nachdem ich dann das Backup aus der Config geworfen hatte, (an beiden Seiten) hat er wieder brav die erste Leitung aufgebaut.

Bzgl. meines 2. Posts: Wenn ich mit nur einer Verbindung und den weiteren Gegenstellen arbeite, könnte ich doch mittels Action-Table die VPN trennen, wenn die erste DSL-Leitung wieder neu aufgebaut wäre. Dann würde er über diese wieder versuchen die VPN-Verbindung herzustellen. Dann wäre ich auch da wo ich hinwill. Oder?

Danke!!!
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: VPN mit Backup VPN

Beitrag von backslash »

Hi Foggie200,
Hm, momentan hab ich Firmware 9.10 drauf. Arbeitet da das Backup-System noch nicht zuverlässig?
zumindest mit VPN funtioniert das erst ab der 10.12. Vorher war das im VPN ein ganz übles "Gewürge" daß dynamic VPN brauchte und auch nicht wirklich stabil funktionierte
Posts: Wenn ich mit nur einer Verbindung und den weiteren Gegenstellen arbeite, könnte ich doch mittels Action-Table die VPN trennen, wenn die erste DSL-Leitung wieder neu aufgebaut wäre. Dann würde er über diese wieder versuchen die VPN-Verbindung herzustellen. Dann wäre ich auch da wo ich hinwill. Oder?
ja, das könnte funktionieren... Wenn aber der erste Aufbauversuch fehlschlägt (kann ja immer mal püassieren), dann wechselt das VPN doch woeder auf die zweite Leitung... Da ist das mit dem Backup schon die sauberere Lösung

Gruß
Backslash
Foggie200
Beiträge: 19
Registriert: 26 Mai 2006, 20:22

Re: VPN mit Backup VPN

Beitrag von Foggie200 »

Super danke für die Infos!!!
Antworten