PPPoE Server der nicht richtig will

[SLDC]

Hallo zusammen,

wir haben an einem 7100 VPN 2 Leitungen (VDSL/Standleitung), auf der Standleitung 2 IP-Netze.
Jetzt wollen wir den PPPoE Server nutzen, leider haben wir hierbei einige Probleme, wo wir hoffen, Ihr habt dazu eine Idee.

Wenn wir einem Benutzer eine IP Adresse zuweisen, bekomtm dieser als Gateway immer die IP Adresse des Intranets z.B. 10.0.10.1, damit kommt er dann zwar online, die Verbindung ist aber langsamer als eine Modem Verbindung - Grund unklar!?!?

Zweites Problem was wir haben ist, dass wir pro Benutzer eine eigene Gegenstelle erstlelen müssen, gibt es hier nciht eine Lösung, wie sich alle Nutzer über eine gegenstelle einwählen können und wir dennoch pro Nutzer eine Geschwindigkeit festlegen können?

Dritte Anfrage, gibt es die Möglichkeit für Geschwindigkeiten Gruppen anzulegen z.B. Gruppe DSL.3000 und dieser Nutzer zuweisen können, sonst wird das Routing sehr unübersichtlich.

Über Antworten würden wir uns freuen und bedanken usn bereits jetzt.

Freundlichen Grüße

[backslash]

Hi SLDC,

Wenn wir einem Benutzer eine IP Adresse zuweisen, bekomtm dieser als Gateway immer die IP Adresse des Intranets z.B. 10.0.10.1, damit kommt er dann zwar online, die Verbindung ist aber langsamer als eine Modem Verbindung - Grund unklar!?!?

das würde mich doch stark wundern... Wie hast du das gemessen?

Zweites Problem was wir haben ist, dass wir pro Benutzer eine eigene Gegenstelle erstlelen müssen, gibt es hier nciht eine Lösung, wie sich alle Nutzer über eine gegenstelle einwählen können

Wieso mußt du für jeden User eine Gegenstelle erstellen? Mach in der PPPoE-Server-Liste einen Default-Eintrag mit MAC-Adresse 000000000000 (das ist i.Ü. der Default für die Tabelle) und dann darf jeder User rein, der sich im PPP korrekt authentifiziert. Stelle dort auch eine sinnvolle Haltezeit ein, nach der die Verbindung automatisch getrennt wird, wenn kein Traffic läuft (die 20 Sekunden des Defaults sind ggf. etwas kurz).

und wir dennoch pro Nutzer eine Geschwindigkeit festlegen können?

ich nehme mal an, damit meinst du die Bandbreitenlimitierung in der Firewall - die geht dann auch weiterhin pro User.

Dritte Anfrage, gibt es die Möglichkeit für Geschwindigkeiten Gruppen anzulegen z.B. Gruppe DSL.3000 und dieser Nutzer zuweisen können, sonst wird das Routing sehr unübersichtlich.

nur indirekt, indem du den Usergruppen unterschiedliche IP-Adressbereiche und/oder Routing-Kontexte zuweist, die du dann in der Firewall nutzt. Das Zuweisen der Usergruppen geschiet über die WAN-Tag-Tabelle (Kommunikation -> Gegenstellen -> WAN-Tag-Tabelle). Hier kannst du über Wildcards im Eintrag Gegenstelle Gruppen bilden und diesen Gruppen einen eigenen Adreßpool sowie ein Schnittstellen-Tag zuweisen. User die sich dann mit passenden Usernamen anmelden, bekommen eine Adresse aus dem jeweiligen Pool und werden über das Schnittstellen-Tag in den jeweiigen Routing-Kontext gezwungen.

In der Firewall kannst du die User nun entweder über den Adreßpool (Quell-Adresse) oder das Schnittstellen-Tag (Quell-Tag) identifizieren und die gewünschten Beschränkungen auferlegen.

Gruß
Backslash

[SLDC]

Hallo backslash,

vielen Dank für deine Antwort.

Also das mit dem lokalen Gateway haben wir mit verschiedenen Routern getestet, die zugewiesenen Gateways auf allen Geräten sind immer die IP: 10.0.10.1, was unser lokales INTRANET ist. Das Problem mit der Geschwindigkeit konnten wir durch einen Neustart das 7100 lösen.

Bzgl. deiner Antwort mit dem Default-Gateway, ja, einen Default Eintrag mit 0000.. haben wir schon gesetzt, wenn wir jetzt jedoch unter Kommunikation -> Protokolle -> PPP-Liste einen neuen Benutzer hinzufügen, diesem die Gegenstelle Default zuweisen, bekommen wir die Meldung: Diese tabelle enthällt bereits einen gleichnamigen Eintrag. Wir können also keinen weiteren Benutzer auf dieser Gegenstelle (TEST) anlegen.
Hast du hier eine Idee oder hast du das anders verstanden. ich habe dir anbei mal die Screenshots der Konfiguration vom PPPoE beigefügt, evtl hilft das weiter.

Vielen Dank.

[backslash]

Hi SLDC,

Also das mit dem lokalen Gateway haben wir mit verschiedenen Routern getestet, die zugewiesenen Gateways auf allen Geräten sind immer die IP: 10.0.10.1, was unser lokales INTRANET ist.

das ist normal und so auch korrekt... - das mit dem Wundern bezog sich auf die Modemgeschwindigkeit...

Bzgl. deiner Antwort mit dem Default-Gateway, ja, einen Default Eintrag mit 0000.. haben wir schon gesetzt, wenn wir jetzt jedoch unter Kommunikation -> Protokolle -> PPP-Liste einen neuen Benutzer hinzufügen, diesem die Gegenstelle Default zuweisen, bekommen wir die Meldung: Diese tabelle enthällt bereits einen gleichnamigen Eintrag. Wir können also keinen weiteren Benutzer auf dieser Gegenstelle (TEST) anlegen.

da verstehst du jetzt die Logik dahinter falsch (bzw. das ist vielleciht auch etwas mißverständlich)...

Ein Dial-In User wird einzig durch den Gegenstellen-Namen in der PPP-Liste angelegt. Das Benutzername-Feld wird dabei ignoriert (es sei denn es fände eine Kreuzauthentifizierung statt, wie bei einer LAN-LAN-Kopplung)....

Die Auswahlliste für die Gegenstelle in der PPP-Tabelle ist für abgehende Verbindungen gedacht, z.B. die Internet-Verbindung. Bei diesen mußt du dann im Benutzerna,e-Feld angeben, mit welchem Namen sich das LANCOM beim Provider anmeldet...

Das heißt: In der PPPoE-Server-Tabelle läßt du einfach den Default-Eintrag und gibst ihm eine sinnvolle Haltezeit... Weitere Einträge werden dort nicht benötigt

Danach richtest du die PPP-User ein:

Code: Alles auswählen

Gegenstelle:    Username des einwählenden Clients
Benutzername:   leer lassen
Paßwort:        Paßwort des Users
[x]  IPv4-Routing aktivieren
...


Authentifizierung der Gegenstelle (Anfrage)

alle Häkchen lassen (ggf. das bei PAP entfernen, 
wenn du nicht willst, daß Passwörter im Klartext
durchs Netz laufen)


Authentifizierung durch Gegenstelle (Antwort)

hier ist egal, was du machst, das wird nur bei
aktiven Einwahlen des LANCOMs oder zur Kreuz-
Authentifizierung bei LAN-LAN-Kopplungen genutzt


den Rest so lassen, wie er ist...

Die Warnung, die LANconfig beim schließen des Dialogs liefert, kannst du ignorieren.

Gruß
Backslash

[SLDC]

Hallo,

danke erneut für deine Rückmeldung, dann verstehe ich das jetzt richtig.

Schade ist nur, dass die Verwaltung mit sovielen Parametern verbunden ist, einfacher wäre ein Nutzerinterface, wo man nur Username/Passwort,IP-Adresse(n)[IPv4/IPv6]/Geschwindigkeit(UP/DOWN) festlegen könnte. Weist du ob sowas geplant ist oder ob es soetwas in der Richtung schon irgendwie gibt? - würde vieles erleichtern -

Freundliche Grüße

[backslash]

Hi SLDC

Schade ist nur, dass die Verwaltung mit sovielen Parametern verbunden ist, einfacher wäre ein Nutzerinterface, wo man nur Username/Passwort,IP-Adresse(n)[IPv4/IPv6]/Geschwindigkeit(UP/DOWN) festlegen könnte. Weist du ob sowas geplant ist oder ob es soetwas in der Richtung schon irgendwie gibt? - würde vieles erleichtern

bis auf die Geschwindigkleiten kannst du das alles mit einem RADIUS-Server erschlagen... RADIUS kann zwar prinzipiell auch Quotas für die User zuweisen, nur wird das im LANCOM beim PPP nicht ausgewertet

Gruß
Backslash

[SLDC]

Hallo,

OK, gibt es bzgl. Radius-Server eine Möglichkeit, wie man die Daten in nur einem Gerät pflegt und diese sich automatisch mit den anderen Geräten abgleichen? Evtl. via Script oder so? Bei über 200 Hotspots ist das sonst viel Arbeit.
Freu mich auf eine Rückantwort. Besten Dank.

[stefanbunzel]

Hallo Manuel (SLDC),

da mir dein Netz ja recht vertraut ist , hier mal meine Meinung zu deiner Frage: Die zentrale Pflege alle WLAN-Clients in dem Radius-Server des 7100VPN hat mit Sicherheit seine Verwaltungs-Vorteile, aber letztendlich nur für WLAN-Clients beim Roaming. Deine WLAN-Clients sind ja zu 99% fest mit ihren WLAN-AP's verbunden und werden bzw. sollen nicht den AP wechseln. Dann ist eine dezentrale Datenpflege in den jeweiligen Lancom-AP's inkl. Bandbreitenbegrenzung über die jeweilige Stations-Tabelle meiner Meinung nach vorteilhafter.

Nach meiner Erfahrung sollte man ein Lancom-Gateway nicht mit zu vielen und in deinem Fall ggf. unnötigen Firewall-Regeln überlasten, da dies sich nur nachteilig auf die CPU-Last und somit effektive Datenrate des gesamten Netzes negativ auswirkt.

Noch ein Argument gegen einen zentralen Radius-Server: Bei gescheiterten WLAN-Authentifizierungen in Folge von nicht auszuschließenden Störungen / Unterbrechungen / Engpässen auf den vielen WLAN-P2P-Strecken zwischen deinem Gateway / Radius-Server und deinen HotSpots / AP's verweigern manchmal WLAN-Clients nach X Anmeldeversuchen ihren Dienst und versuchen die nächste Anmeldung am AP erst nach einem eigenen Neustart. Dieses Problem kannst du mittels dezentraler Stationstabelle im AP sehr gut vermeiden.

Viele Grüße und viel Erfolg
Stefan

[SLDC]

Hm, OK. Die Frage die sich dann noch stellt ist, kann man die Einträge dennoch irgendwo zentral verwalten udn automatisiert abgleichen lassen?
Zu PPPoE stellt sich mri noch die Frage, wo kann ich weitere IPv4 Adressen dem Anschluss zuweisen, welcher sich per PPPoE einwählt und wo kann ich IPv6 Adressen zuweisen?

MfG

[backslash]

Hi SLDC

Zu PPPoE stellt sich mri noch die Frage, wo kann ich weitere IPv4 Adressen dem Anschluss zuweisen,

entweder arbeitest du mit dem Adresspool(s), dann wird jedem User eine einzige dynamiche Adresse zugewiesen, oder du setzt Routen in der Routing-Tabelle (dann muß der User eine feste IP-Adresse haben)...

und wo kann ich IPv6 Adressen zuweisen?

das läuft über den DHCPv6-Server... Hier kannst du für die Einwahl-Gegenstellen (diese werden über das RAS-Template abgebildet) Adreß- und Preefix-Pools bestimmen

Gruß
Backslash

[stefanbunzel]

Hallo Backslash,

Hi SLDC,

Also das mit dem lokalen Gateway haben wir mit verschiedenen Routern getestet, die zugewiesenen Gateways auf allen Geräten sind immer die IP: 10.0.10.1, was unser lokales INTRANET ist.

das ist normal und so auch korrekt...

Noch einmal eine Frage zur Gateway-IP bei PPPoE:
PPPoE-Server wurde an Schnittstelle LAN-1 aktiviert. Der Schnittstelle sind ein Intranet (10.0.10.1) sowie 2 DMZ-Netze zugeordnet.
Der PPPoE-Server vergibt korrekt per Routing-Tabelle die für den PPPoE-Client reservierte öffentliche IP aus einer der DMZ's.
DNS-IP's sind auch korrekt, da er vermutlich die unter IPv4 -> Adressen -> Nameserver-Adressen eingetragenen IP's verwendet - oder?
Wenn die Felder leer wären, dann würde er ja vermutlich auch bei aktiviertem DNS-Server seine Intranet-IP als einzige DNS-IP übergeben - oder?

Aber als Gateway-IP wird immer die Intranet-IP übermittelt. Okay, der PPPoE-Zugang funktioniert. Aber schöner und richtig wäre es schon, wenn LCOS als Gateway-IP die jeweilige DMZ-IP des Gateways übergeben würde.

Ich hatte ja die Hoffnung, dass ich diese Einstellungen über die IP-Parameter-Tabelle steuern kann. Aber das scheint ja nicht zu gehen...

Viele Grüße
Stefan

[backslash]

Hi stefanbunzel

DNS-IP's sind auch korrekt, da er vermutlich die unter IPv4 -> Adressen -> Nameserver-Adressen eingetragenen IP's verwendet - oder?

korrekt

Wenn die Felder leer wären, dann würde er ja vermutlich auch bei aktiviertem DNS-Server seine Intranet-IP als einzige DNS-IP übergeben - oder?

auch korrekt

Aber als Gateway-IP wird immer die Intranet-IP übermittelt. Okay, der PPPoE-Zugang funktioniert. Aber schöner und richtig wäre es schon, wenn LCOS als Gateway-IP die jeweilige DMZ-IP des Gateways übergeben würde.

Die Gateway-IP ist bei PPP völlig irrelevant, da auf PPP-Intefraces kein ARP (oder bei IPv6 keine Neigbor-Discovery) gemacht wird - alles, was auf der einen Seite in die PPP-Verbindung rein geht, kommt auf der anderen Seite wieder raus und wird dort anhand der dortigen Routing-Tabelle weitergeleitet.

Die Anzeige der IP-Adresse des PPP(oE)-Servers als Gateway in Windows, Linux, Mac-OS & Co ist nur der Tatsache geschuldet, daß in einer Routing-Tabelle immer ein Gateway stehen muß und somit letztendlich eine reine Frage der Optik ...

Gruß
Backslash

[stefanbunzel]

Hallo backslash,

vielen Dank für die ausführliche Antwort.

Die Anzeige der IP-Adresse des PPP(oE)-Servers als Gateway in Windows, Linux, Mac-OS & Co ...

Da fehlte dann aber auch Lancom in deiner Aufzählung
Im LANmonitor hatte ich bei einem PPPoE-Zugang als Gegenstelle gleichfalls das Intranet-Gateway angezeigt bekommen.

Viele Grüße, Stefan

[backslash]

Hi stefanbunzel,

Da fehlte dann aber auch Lancom in deiner Aufzählung

OK, auch das LANCOM zeigt in seiner effektiven Routing-Tabelle als Gateway die entfernte IP an, so sie ausgehandelt wurde - ansonsten 255.255.255.255. Auch da ist das nur für die Optik - und weil die Leute das so von anderen Systemen her gewohnt sind...

Gruß
Backslash

[SLDC]

Hallo,

wir haben manchmal das Problem, dass sich die Nutzer neu einwählen die Verbindung allerdings noch offen ist. Da wir nur einen Login pro PPPoE Einwahl zulassen kommen die Kunden natürlich nicht rein.
- Kann man einzelne PPPoE Verbindungen trennen, wenn ja wie und wo
- Gibt es eine Timeout Einstellung für PPPoE Verbindungen im LANcom, wenn ja und wo

Besten Dank.

MfG Manuel