Hallo zusammen,
ich habe hier einen LANCOM 1900EF mit zwei WAN Anschlüssen zu konfigurieren.
WAN 1: DSL Telekom mit Zyxel Router
WAN 2: Vodafone Kabel mit Vodafone Box
Beide Verbindungen funktionieren und sind auch nutzbar über den Lancom im Loadbalancer.
Dafür hab ich den Assistenten benutzt und danach noch die Geschwindigkeit je Interface zugewiesen.
Herausforderung 1 ist nun: Wir haben eine TK Anlage welche mittels SIP Trunk online geht, die zwingend über WAN1 rausgehen muss im Netz.
Herausforderung 2: VPN Verbindungen sollen ebenfalls nur über WAN1 laufen. Hier existiert eine Portweiterleitung an einen RAS Server im Netz.
Wenn ich jetzt das durch den Assistenten erzeugte Load Balancing einschalten, sind beide Szenarien nicht mehr möglich.
Sowohl VPN als auch die TK nutzen logischerweise per Default den deutlich schnelleren Anschluss von Vodafone.
Die Einstellungen über Routing Tags in einer Firewall Regel hat keinen Erfolg gebracht.
Vielleicht bin ich aber auch einfach inzwischen zu sehr abgestumpft, was die analytische Fehlersuche bei diesem Thema angeht.
Die Routingtabelle hat als Ergänzung die automatisch erzeugten Routen:
WAN 1, Telekom (Routing Tag 401)
WAN 2, VODAFONE (Routing Tag 400)
Loadbalancer (Routing Tag 0)
Die Firewall hat Default Einstellungen.
Trace ergibt jeweils nur, dass die beiden Szenarien (TK + VPN) beide über den Loadbalancer (& damit 99% über Vodafone) kommunizieren.
Kann hier jemand unterstützen?
Danke vorab!
Grüße und einen guten Rutsch in 2022!
LANCOM 1900EF / LOAD BALANCING
Moderator: Lancom-Systems Moderatoren
Re: LANCOM 1900EF / LOAD BALANCING
Moin,
ganz einfach:
TK-Anlage (ich gehe mal davon aus, dass die TK-Anlage den SIP-Trunk registriert und nicht der Lancom.):
Firewall-Regel erstellen mit Rtg.-Tag 401, Accept, Quelle=IP der TK-Anlage, Ziel any, Dienste any, any.
VPN musst Du mal genauer erläutern. Wer terminiert hier die Tunnel? Der Lancom oder der RAS-Server? Vermutlich der RAS-Server? Dann eine entsprechende Firewall-Regel mit Rtg.-Tag 401, Accept, Quelle=IP des RAS-Servers, Ziel any, Quell-Dienst je nach verwendeter VPN-Technologie, Zieldienst any.
Grüße,
Torsten
ganz einfach:
TK-Anlage (ich gehe mal davon aus, dass die TK-Anlage den SIP-Trunk registriert und nicht der Lancom.):
Firewall-Regel erstellen mit Rtg.-Tag 401, Accept, Quelle=IP der TK-Anlage, Ziel any, Dienste any, any.
VPN musst Du mal genauer erläutern. Wer terminiert hier die Tunnel? Der Lancom oder der RAS-Server? Vermutlich der RAS-Server? Dann eine entsprechende Firewall-Regel mit Rtg.-Tag 401, Accept, Quelle=IP des RAS-Servers, Ziel any, Quell-Dienst je nach verwendeter VPN-Technologie, Zieldienst any.
Grüße,
Torsten
Re: LANCOM 1900EF / LOAD BALANCING
Moin Torsten,
danke für die rasche Antwort!
Das hat für die TK Anlage schon mal funktioniert.
VPN ist eine L2TP Verbindung auf einen RAS Server.
Das Trace log zeigt noch die Falsche Verbindung siehe:
[IP-Router] 2021/12/30 16:16:17,853 Devicetime: 2021/12/30 16:16:17,098
IP-Router Rx (INTERNET, RtgTag: 0):
DstIP: 192.168.1.104, SrcIP: MEINE WAN, Len: 256, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: UDP (17), DstPort: 500, SrcPort: 500
Route: LAN-1 Tx (INTRANET)
[IP-Router] 2021/12/30 16:16:17,853 Devicetime: 2021/12/30 16:16:17,109
IP-Router Rx (LAN-1, INTRANET, RtgTag: 0):
DstIP: MEINE WAN, SrcIP: 192.168.1.104, Len: 256, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: UDP (17), DstPort: 500, SrcPort: 500
Route: WAN Tx (INTERNET)
[IP-Router] 2021/12/30 16:16:17,902 Devicetime: 2021/12/30 16:16:17,145
IP-Router Rx (INTERNET, RtgTag: 0):
DstIP: 192.168.1.104, SrcIP: MEINE WAN, Len: 108, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: UDP (17), DstPort: 4500, SrcPort: 43316
Route: LAN-1 Tx (INTRANET)
[IP-Router] 2021/12/30 16:16:17,902 Devicetime: 2021/12/30 16:16:17,146
IP-Router Rx (LAN-1, INTRANET, RtgTag: 0):
DstIP: MEINE WAN, SrcIP: 192.168.1.104, Len: 108, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: UDP (17), DstPort: 43316, SrcPort: 4500
Route: WAN Tx (VODAFONE)
Muss in den Portforwardings als Gegenstelle der Loadbalancer oder direkt mein WAN 1 (RT Tag. 401) eingestellt sein?
Gruß
danke für die rasche Antwort!
Das hat für die TK Anlage schon mal funktioniert.
VPN ist eine L2TP Verbindung auf einen RAS Server.
Das Trace log zeigt noch die Falsche Verbindung siehe:
[IP-Router] 2021/12/30 16:16:17,853 Devicetime: 2021/12/30 16:16:17,098
IP-Router Rx (INTERNET, RtgTag: 0):
DstIP: 192.168.1.104, SrcIP: MEINE WAN, Len: 256, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: UDP (17), DstPort: 500, SrcPort: 500
Route: LAN-1 Tx (INTRANET)
[IP-Router] 2021/12/30 16:16:17,853 Devicetime: 2021/12/30 16:16:17,109
IP-Router Rx (LAN-1, INTRANET, RtgTag: 0):
DstIP: MEINE WAN, SrcIP: 192.168.1.104, Len: 256, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: UDP (17), DstPort: 500, SrcPort: 500
Route: WAN Tx (INTERNET)
[IP-Router] 2021/12/30 16:16:17,902 Devicetime: 2021/12/30 16:16:17,145
IP-Router Rx (INTERNET, RtgTag: 0):
DstIP: 192.168.1.104, SrcIP: MEINE WAN, Len: 108, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: UDP (17), DstPort: 4500, SrcPort: 43316
Route: LAN-1 Tx (INTRANET)
[IP-Router] 2021/12/30 16:16:17,902 Devicetime: 2021/12/30 16:16:17,146
IP-Router Rx (LAN-1, INTRANET, RtgTag: 0):
DstIP: MEINE WAN, SrcIP: 192.168.1.104, Len: 108, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: UDP (17), DstPort: 43316, SrcPort: 4500
Route: WAN Tx (VODAFONE)
Muss in den Portforwardings als Gegenstelle der Loadbalancer oder direkt mein WAN 1 (RT Tag. 401) eingestellt sein?
Gruß
PappaBaer hat geschrieben: ↑30 Dez 2021, 15:54 Moin,
ganz einfach:
TK-Anlage (ich gehe mal davon aus, dass die TK-Anlage den SIP-Trunk registriert und nicht der Lancom.):
Firewall-Regel erstellen mit Rtg.-Tag 401, Accept, Quelle=IP der TK-Anlage, Ziel any, Dienste any, any.
VPN musst Du mal genauer erläutern. Wer terminiert hier die Tunnel? Der Lancom oder der RAS-Server? Vermutlich der RAS-Server? Dann eine entsprechende Firewall-Regel mit Rtg.-Tag 401, Accept, Quelle=IP des RAS-Servers, Ziel any, Quell-Dienst je nach verwendeter VPN-Technologie, Zieldienst any.
Grüße,
Torsten
Re: LANCOM 1900EF / LOAD BALANCING
Hi,
im Forwarding nimmst Du als Gegenstelle die WAN-1.
Aber eingehend hast Du ja eh nicht das Problem, da hier die Gegenteile ja schon von aussen über die entsprechende WAN-IP angesprochen wird. Du musst eben nur dafür sorgen, dass Deine ausgehenden Pakete auch das Rtg.-Tag 401 bekommen. Zur Identifizierung des Traffics nimmst Du in der Regel bei Dienste als Quelldienst UDP 500 und UDP 4500.
Also eine Regel Rtg.-Tag 401, Accent, Quelle:Any / Ziel:Any, Quell-Dienst:UDP 500 und UDP 4500 / Zeildienst:Any.
Grüße,
Torsten
im Forwarding nimmst Du als Gegenstelle die WAN-1.
Aber eingehend hast Du ja eh nicht das Problem, da hier die Gegenteile ja schon von aussen über die entsprechende WAN-IP angesprochen wird. Du musst eben nur dafür sorgen, dass Deine ausgehenden Pakete auch das Rtg.-Tag 401 bekommen. Zur Identifizierung des Traffics nimmst Du in der Regel bei Dienste als Quelldienst UDP 500 und UDP 4500.
Also eine Regel Rtg.-Tag 401, Accent, Quelle:Any / Ziel:Any, Quell-Dienst:UDP 500 und UDP 4500 / Zeildienst:Any.
Grüße,
Torsten
Re: LANCOM 1900EF / LOAD BALANCING
Läuft.
Besten Dank für die Hilfe!
Guten Rutsch allen.
Gruß
Besten Dank für die Hilfe!
Guten Rutsch allen.
Gruß