lechuck
Goto Top

VPN verbindung mit vpn fähigem router hinter 2 vpn unfähigen router

Ich möchte gerne eine VPN-Verbindung herstellen.
Nun stellt sich mir folgende Frage:

Ich möchte 2 ADSL-Leitungen mit MLPPP zu einer logischen Leitung verbinden (das ist hier aber nicht das problem, das hat sich in der Theorie schon gelöst, da ein MLPPP fähiger Provider gefunden wurde)
Um diese ADSL Leitungen zu bündeln brauche für jede Leitung einen Router (Cisco 1712 Security Access Router in meinem Fall).
Diese Router werden jedoch so konfiguriert, dass Zusatzfunktionen wie VPN nicht mehr möglich sind.
Wenn man jetzt einen anderen VPN-fähigen Router (z.B. auch der Cisco 1712) zwischen den beiden an DSL angeschlossenen Routern und dem LAN anschließt, ist dann wieder eine VPN-Verbindung möglich?

Content-ID: 69199

Url: https://administrator.de/contentid/69199

Ausgedruckt am: 22.11.2024 um 22:11 Uhr

aqui
aqui 21.09.2007 um 12:38:04 Uhr
Goto Top
Da du mit keinem Wort erwähnst was für eine VPN Verbindung (VPN Protokoll !) du realisieren willst kann man diese Frage nicht wirklich umfassend beantworten. Ebenso schreibst du nicht ob dieser Router NAT oder PAT machen was auch einen Einfluss auf die Beantwortung der Frage hat.

Warum du diese Router nicht gleich mit einem Crypto IOS ausstattest und die VPN Terminierung gleich hier machst ist ebenfalls nicht einleuchtetd, denn das wäre die einfachste und technisch beste Variante dieses Szenarios ! Der Satz ...dass Zusatzfunktionen wie VPN nicht mehr möglich sind beraubt dich also dieser technisch gesehen, besten Lösung.

Generell kann man erstmal sagen wenn du NAT oder PAT machst auf dem Cisco zum Provider dann ist ein solches VPN Szenarion nur bedingt möglich, da sich manche VPN Protokolle eben nicht oder nur sehr eingeschränkt revers über NAT/PAT Konfigs übertragen lassen.

Kannst du allerdings transparent routen, d.h. die Router dahinter befinden sich auch in einem öffentlichen IP Segment und erst diese Router machen NAT/PAT zum eigentlichen lokalen LAN, ist so eine VPN Installation problemlos realisierbar.
Warum du dann allerdings 2 extra Router dafür eigentlich sinnloserweise verbrätst bleibt dann unverständlich ?!
Möglicherweise liegt es daran das dein Provider die Zugangsrouter betreust und die die VPNs deshalb dort nicht terminieren willst, sondern auf Systemen die in deinem Zugriffsbereich liegen. In diesem Falle bleibt dir dann keine andere Wahl...das ist richtig !
LeChuck
LeChuck 21.09.2007 um 13:20:01 Uhr
Goto Top
was heißt hier verbraten? Ich hab diese Lösung von einem MLPPP-Provider. Und die Einstellungen die für die "Kanalbündelung" notwenig sind erlauben halt keine VPN-Funktion auf diesen beiden Routern. Mir bleib im Moment nichts anderes übrig, als diesen Sachverhalt als gegeben anzusehen.

Wenn ich dich jetzt richtig verstehe, würde es also gehen, wenn ich das netz in etwa so aufbauen würde:
                ---|                            |                            |
                ---|                            |                            |---[MLPPP-Router1]--->>>DSL-Leitung1<<<
             LAN---|--------[NAT-Router]--------|--------[VPN-Router]--------|
                ---|                            |                            |---[MLPPP-Router2]--->>>DSL-Leitung2<<<
                ---|                            |                            |
aqui
aqui 21.09.2007 um 13:29:43 Uhr
Goto Top
Das ist Unsinn, wenn diese Router Cisco Router sind !!! Wer hat dir das erzählt ???
Eine VPN Terminierung auf einem Cisco hat mit einem Multilink PPP Szenario rein gar nichts zu tun und das schliesst sich auch nicht gegenseitig aus !
Deine ASCII Zeichnung ist etwas durcheinenader geraten man kann sie nicht wirklich lesen...sorry face-sad
Ich denke mal sie soll so aussehen, oder:

2d28338d27688c783b393883d78a3b1f-mlppp1

...und das ist die Lösung mit dem VPN System, richtig ?

c5672d592dd59300c32453b55f88f386-mlppp2


Wie gesagt der 3te VPN Router ist eigentlich überflüssig, denn man kann beides sehr wohl auf den PPP Routern betreiben. Sgar mit IPsec oder PPTP oder was auch immer, das ist bei Cisco nicht abhängig von einer PPP Konfig. Lediglich ein Crypto IOS Image brauchst du auf den Router Systemen, das ist klar. Standard IOS Images können kein VPN realisieren, denn das musst du bei Cisco extra bezahlen ! Vielleicht meinte das dein vermeintlicher Berater ?! Das ist aber ein SW Feature und hat mit der eigentlichen Plattform nichts zu
tun !

Damit ist dann auch eine ganz einfache und presiwerte Variante wie diese hier denkbar:

3e2cb2657f3bb0b297d3f1d45654f4e5-mlppp3
LeChuck
LeChuck 21.09.2007 um 14:04:22 Uhr
Goto Top
nur noch mal zur sicherheit die frage:
Kann bei deiner Variante mit einem einzigen Router und MLPPP eine Datei aus dem Internet mit voller Bandbreite runtergeladen werden? Also bei z.B. 2x DSL 6000 mit 12 Mbit/s ??
und auf der anderen Seite (im Rechenzentrum) braucht man dann auch nur einen Router mit den selben Einstellungen?
aqui
aqui 21.09.2007, aktualisiert am 18.10.2012 um 18:32:29 Uhr
Goto Top
Ja, technisch gesehen spielt es keine Rolle ob die ML-PPP Verbindung über 2 Interfaces auf einem einzigen Router oder über 2 separate Router erfolgt.
Da Packet Laufzeitunterschiede bei Verwendung eines Routers mit 2 Interfaces wegfallen ist das technisch meist die bessere Lösung. Die 2 Router Variante kann aber auch Sinn machen bei z.B. in Redundanzszenarien (Ausfall). Das macht dann aber wiederum nur Sinn bei getrennter Leitungsführung zum Provider.

Bei Linkaggregierung muss man generell unterscheiden zwischen separaten parallelen Leitungen und ML-PPP Links, da deren Verhalten etwas unterschiedlich ist.
Ein sehr guter Artikel der diese Technik beschreibt ist hier zu finden:

http://www.heise.de/kiosk/archiv/ct/07/18/126_Doppel-DSL
bzw.
http://www.heise.de/kiosk/archiv/ct/07/18/132_Viel_hilft_viel

Kurz gesagt hat MLPPP den Vorteil das dort eine gleichmässige Round Robin Verteilung der einzelnen Packete auch innerhalb einer IP TCP Session auf den Links erfolgt. Die Router auf beiden Enden sorgen dafür das der Packetstrom wieder in der richtigen Reihenfolge zusammengebastelt wird. Hier ist aber zwingende Voraussetzung das:
a.) Der Provider sowas überhaupt supportet !
b.) Deine Hardware Multilink PPP supportet

Bei a.) machen das nur sehr sehr wenige Provider und man muss es zudem noch extra bezahlen sofern man einen findet. Bei b.) können das nur sehr wenige Router da es im Consumer DSL Bereich so gut wie nie gefordert wird oder Consumer User mit der Einrichtung schlicht überfordert sind. Auch ein Grund für a.)

Im Consumer Bereich werden dann meist 2 separate DSL Links über Link Loadbalancing zusammengefasst. Details dazu kannst du hier genauer nachlesen:

Zwei Internetanschlüsse über zwei Netzwerkkarten an einem PC koppeln

und auch hier:

DSL Anschlussbündelung und VPN-Tunnel

So oder so verdopplest du niemals deine Bandbreite...wie soll das auch gehen, denn dein Provider taktet dir beide Leitungen physisch ja nur mit 6 Mbit und nicht mit 12 Mbit. Datenpackete fliessen also immer nur mit 6 Mbit über eine Leitung. Du erreichst nur eine Kapazitätsvergrößerung aber nie eine Geschwindigkeitsänderung wie bei einer nativen 12 Mbit Leitung, das ist klar.
Mehr User können also diese Links besser nutzen ohne schnell in Überlast Situationen zu kommen.
In der Tat funktioniert das mit ML-PPP besser als mit einem Linkloadbalancing wie Router wie der Draytek 2950 oder Linksys RV082 das machen.
ML-PPP ist aber das teurere weil aufwendigere Verfahren. Es erfordert den Provider der es supportet und auch eine entsprechende Routerhardware.
Viele Betreiber von Klein- und Kleinstnetzen oder Privatanwender die sowas machen wollen betreiben dann meist das Load Balancing über 2 separate Links da es preiswerter zu realisieren ist aus Sicht der hardware und der Linkkosten.
Nachteil wie gesagt das es weniger effizient ist, was im Privatbereich aber meist nicht so die Rolle spielt....
mali2008
mali2008 06.04.2008 um 14:24:28 Uhr
Goto Top
Hallo,

bekomme folgendes nicht hin:

1. FB710 mit DSL 192.168.1.1/24 und xxx.dyndns.org
2. Vigor 2500WE mit VPN - PPTP Tunnel 192.168.1.11/24
3. Testrechner 192.168.1.2/24

PortFW von FBF nach Vigor = 1723 TCP udn alle GRE.

Pingen geht, somit besteht eine intakte Verbindung.
Leider bekomme ich keine VPN Verbindung her, wede über xxx.dyndns.org als auch 192.168.1.11 ( LAN).

Hat jmd Rat????

Gruß - mali