Guten Abend zusammen,
Ich habe eine außergewöhnliche Konfiguration vor:
Zur Info : Die Telekom bietet ein Produkt namens EthernetConnect an. (Ist praktisch wie ein Netzwerkkabel zwischen 2 Standorten)
Wir haben 2 Standorte, die über den Ethernetconnect verbunden sind und jeweils einen CompanyConnect Anschluß haben.
Falls die Ethernetconnect- Verbindung ausfällt, soll eine Backupverbindung zwischen den Standorten über die 2 CompanyConnect Anschlüße stattfinden.
Da man auf Layer 2 keine definierte Verbindung anlegen kann, um diese zu backupen, habe ich einfach ein Transfernetz angelegt und einen VPN Tunnel "drübergelegt" Um das Backup zu realisieren, anschließend als weiteres Gateway die IP des Companyanschlußes der jeweiligen Gegenseite eingetragen.
Fällt jetzt der Ethernetconnect aus, übernehmen auch die Companyconnect Anschlüße, doch die Router merken nicht, wenn der EthernetConnect wieder da ist.
Kann man dies über einen oder mehrere Cronjobs realisieren oder ist mein Denkansatz im Grunde falsch ?
Außerdem ist die Performance recht dürftig. Von den theoretischen 8,7 Mbit bleiben nur 4-5 Mbit übrig. Ohne die komplexen Konfigs, bekomme ich auch 8-9 Mbit. (CPU Last ist seltsamerweise nie über 60-70 %)
Gruß
Genom
An die Experten: Eine Ethernetcon. per CompanyConn. backupen
Moderator: Lancom-Systems Moderatoren
Hi Genom
Über das ICMP-Polling erfährt der Router, wann die EthernetConnect-Verbindung wieder funktioniert - sobald das Polling beantwortet wird...
Sobald die EthernetConnect-Verbindung wieder funktioniert kannst du in der Ationstabelle darauf triggern und den VPN-Tunnel abbauen:
Damit wird der VPN-Tunnel abgebaut und baut sich danach wieder über das erste Gateway - als die EthernetConnect-Strecke - wieder auf...
Gruß
Backslash
das löst du einfach ein ICMP-Polling und über die Aktionstabelle:Fällt jetzt der Ethernetconnect aus, übernehmen auch die Companyconnect Anschlüße, doch die Router merken nicht, wenn der EthernetConnect wieder da ist.
Über das ICMP-Polling erfährt der Router, wann die EthernetConnect-Verbindung wieder funktioniert - sobald das Polling beantwortet wird...
Sobald die EthernetConnect-Verbindung wieder funktioniert kannst du in der Ationstabelle darauf triggern und den VPN-Tunnel abbauen:
Code: Alles auswählen
Name: beliebig
Gegesntelle: Gegenstelle auf der die EtherConnect-Verbindung liegt
Sperrzeit: 0
Ereignis: Aufbau
Aktion: do /4/1/2 Name der VPN-GegenstelleGruß
Backslash
Hi,
ein komplexeres Firewallregelwerk auf dem Router?
Oder sonstige komplexe Einstellungen wie weitere VPN-Tunnel, die viel CPU-Zeit benoetigen?
Hast du WAN-Seitig das Interface, welches vom NT-10ETH Multiplexer zum LANCOM geht auch auf beiden (LANCOM)Seiten fest auf 10MBit/s Half-Duplex konfiguriert?
ein komplexeres Firewallregelwerk auf dem Router?
Oder sonstige komplexe Einstellungen wie weitere VPN-Tunnel, die viel CPU-Zeit benoetigen?
Hast du WAN-Seitig das Interface, welches vom NT-10ETH Multiplexer zum LANCOM geht auch auf beiden (LANCOM)Seiten fest auf 10MBit/s Half-Duplex konfiguriert?
12x 1621 Anx. B-21x 1711 VPN-3x 1722 Anx. B-7x 1723 VoIP-1x 1811 DSL, 1x 7011 VPN-1 x 7111 VPN-1x 8011 VPN-10er Pack Adv. VPN Client (2x V1.3-3x 2.0)-Hotspot Option-Adv. VoIP Client/P250 Handset-Adv.VoIP Option-4x VPN-Option-2x L-54 dual-2x L54ag-2x O-18a
Hi Genom,
- hast du die Up- und Downstreamrate am verwendeten DSL-Interface korrekt eingestellt?
- benutzt das VPN den Hardwarebeschleuniger (sprich: hast du eine VPN-25 Lizenz im Gerät)?
- wie groß ist eigentlich das Delay der Strecke (Ping-Zeiten)? ggf. mußt du die TCP-Windowsize deiner PCs passend hochstellen...
- kannst du die Strecke auslasten, wenn du mehrere TCP-Verbindungen parallel laufen läßt? (diese Frage zielt letztendlich auch auf das Thema Ping-Zeiten und TCP-Windowsize)
@ittk:
Die Komplexität der Firewall tritt kaum ins Gewicht, weil sie alles nötige beim ersten Paket einer Session ermittelt.
Gruß
Backslash
- hast du die Up- und Downstreamrate am verwendeten DSL-Interface korrekt eingestellt?
- benutzt das VPN den Hardwarebeschleuniger (sprich: hast du eine VPN-25 Lizenz im Gerät)?
- wie groß ist eigentlich das Delay der Strecke (Ping-Zeiten)? ggf. mußt du die TCP-Windowsize deiner PCs passend hochstellen...
- kannst du die Strecke auslasten, wenn du mehrere TCP-Verbindungen parallel laufen läßt? (diese Frage zielt letztendlich auch auf das Thema Ping-Zeiten und TCP-Windowsize)
@ittk:
Die Komplexität der Firewall tritt kaum ins Gewicht, weil sie alles nötige beim ersten Paket einer Session ermittelt.
Gruß
Backslash
Hallo nochmal,
ja die Interfaces habe ich auf die korrekte Geschwindigkeit gestellt. Die Ethernetports sind allerdings auf 10 Mbit (full) gestellt. Soll laut Telekom so sein.
Leider haben sie keine VPN 25 Option aktiviert.
Außer der Erthernetconnect sind nur noch die beiden CompanyConnect angeschlossen, die halt auch als Internetgateway fungieren.
Der Ping liegt bei nur 7 ms über den Ethernetconnect. Wenn ich reines Routing ohne Backup etc konfiguriere, bekomme ich ja auch die 8-9 Mbit.
Müsste das mal probieren mit mehreren Verbindungen gleichzeitig
Danke für den Tip
Außerdem sind noch Wlan AP´s (L54G) angeschlossen, jeweils 2 Stück...
das wars dann aber auch
Ich habe leider erst Freitag wieder Zeit, an dem Problem zu arbeiten. Im Moment läufts ja, nur ohne Backup... gebe dann mal Feedback, wies gelaufen ist.
Gruß
Genom
ja die Interfaces habe ich auf die korrekte Geschwindigkeit gestellt. Die Ethernetports sind allerdings auf 10 Mbit (full) gestellt. Soll laut Telekom so sein.
Leider haben sie keine VPN 25 Option aktiviert.
Außer der Erthernetconnect sind nur noch die beiden CompanyConnect angeschlossen, die halt auch als Internetgateway fungieren.
Der Ping liegt bei nur 7 ms über den Ethernetconnect. Wenn ich reines Routing ohne Backup etc konfiguriere, bekomme ich ja auch die 8-9 Mbit.
Müsste das mal probieren mit mehreren Verbindungen gleichzeitig
Danke für den TipAußerdem sind noch Wlan AP´s (L54G) angeschlossen, jeweils 2 Stück...
das wars dann aber auch
Ich habe leider erst Freitag wieder Zeit, an dem Problem zu arbeiten. Im Moment läufts ja, nur ohne Backup... gebe dann mal Feedback, wies gelaufen ist.
Gruß
Genom
Hi,
ja, die 10MBit/FD stimmen. Ich meine das war beim CoCO mit 10MBit/HD.
ja, die 10MBit/FD stimmen. Ich meine das war beim CoCO mit 10MBit/HD.
12x 1621 Anx. B-21x 1711 VPN-3x 1722 Anx. B-7x 1723 VoIP-1x 1811 DSL, 1x 7011 VPN-1 x 7111 VPN-1x 8011 VPN-10er Pack Adv. VPN Client (2x V1.3-3x 2.0)-Hotspot Option-Adv. VoIP Client/P250 Handset-Adv.VoIP Option-4x VPN-Option-2x L-54 dual-2x L54ag-2x O-18a
Hi genom
Denn mit 3DES schafft das 1711 mit Software-Verschlüsselung gerade mal 4,5 MB/s (was sich irgendwie mit deiner Messung deckt...), während es bei AES immerhin knapp 9 MB/s schafft...
Gruß
Backslash
wenn du also den Hardwarebeschleuniger nicht nutzt, dann hast du als Verschlüsselung hoffentlich AES eingestellt und nicht 3DES...Leider haben sie keine VPN 25 Option aktiviert.
Denn mit 3DES schafft das 1711 mit Software-Verschlüsselung gerade mal 4,5 MB/s (was sich irgendwie mit deiner Messung deckt...), während es bei AES immerhin knapp 9 MB/s schafft...
Gruß
Backslash
Hi,
konnte nicht länger warten und habe das mit der Aktionstabelle mal ausprobiert.
Es funktioniert!
Aaaber, ohne "exec:" tut sich da gar nichts *gemein*
Trotzdem vielen Dank an alle.
Gruß
Zum Speed. Also das ist ein seltsames Thema. Nachdem alles frisch konfiguriert war, lief es mit 9 Mbit (AES, 100 % CPU), nur als ich es 2 Stunden später nochmal getestet habe, habe ich nur noch 5 Mbit erreicht (65 % CPU)
Kapier ich nicht, aber so kann es trotzdem erst mal laufen
konnte nicht länger warten und habe das mit der Aktionstabelle mal ausprobiert.
Es funktioniert!
Aaaber, ohne "exec:" tut sich da gar nichts *gemein*
Trotzdem vielen Dank an alle.
Gruß
Zum Speed. Also das ist ein seltsames Thema. Nachdem alles frisch konfiguriert war, lief es mit 9 Mbit (AES, 100 % CPU), nur als ich es 2 Stunden später nochmal getestet habe, habe ich nur noch 5 Mbit erreicht (65 % CPU)
Kapier ich nicht, aber so kann es trotzdem erst mal laufen