mcmacca
Goto Top

Zwei Router - Drei Internetanschlüsse - VPN Verbindung

Hallo zusammen,

ich versuche aktuell folgendes Szenario einzurichten, aber ich glaube meine erste Idee könnte zu Problemen führen - bitte um ein kurzes Feedback / eine bessere Lösung:
Aktuelle Situation:

3x DSL Anschluss
alles intern im 192.168.0.x Netzwerk

1x DSL an Lancom-1 (192.168.0.1)
1x DSL an Draytek Router => dieser ist via LAN (192.168.1.x) an dem Lancom Router => Loadbalancing (funzt alles super)

DC mit DNS Server laufen im internen Netz und geben den Lancom-1 die Anfragen falls selbst nicht erfüllbar.

Aktuell kommen die VPN Verbindungen direkt in Lancom-1 an, funktioniert auch alles tadellos, aber eben zu langsam.

Jetzt kam die dritte DSL Leitung hinzu, diese soll ausschließlich für VPN verwendet werden. Ein weiterer Lancom Router (Lancom-2) ist dazu verfügbar.
Wenn ich jetzt dem den Lancom-2 als 192.168.0.x konfiguriere und mit den gleichen VPN Daten füttere dann sollte das theoretisch klappen?
=> Alle User im internen Netz bekommen als Gateway ja Lancom-1 vorgeschrieben und vom DHCP als DNS immer den normalen Server.

Aber, klappt das mit dem VPN Nutzer? Ich hab irgendwie das Gefühl da fehlt irgendwas...

Gruß
Marco

Content-ID: 310226

Url: https://administrator.de/contentid/310226

Ausgedruckt am: 13.11.2024 um 06:11 Uhr

emeriks
emeriks 19.07.2016 um 12:07:38 Uhr
Goto Top
Hi,
Aber, klappt das mit dem VPN Nutzer? Ich hab irgendwie das Gefühl da fehlt irgendwas...
Spontan: Die Routen von intern in die VPN-Netze. Sonst gehen die Pakete zurück über das Default GW und "verpuffen".

E.
mcmacca
mcmacca 19.07.2016 um 12:49:18 Uhr
Goto Top
Naja aber das VPN Netz ist ja auch 192.168.0.x
In beiden Lancom Geräten wird den Usern eine feste IP zugewiesen die sie als VPN Nutzer im internen Netz bekommen. Da kann ja ansich nichts verpuffen? Es sind ja beide Router im gleichen Netz, die einzige Route die da eingetragen ist geht ins Internet.

255.255.255.255 0.0.0.0 0 An, sticky für RIP DSL-VPN 0 An

Ich glaube ein Problem könnte die Info sein die der VPN Nutzer von dem Lancom-2 bekommt =>
Gateway=Lancom-2
DNS-Server=interner Server

Oder hab ich da einen Denkfehler?
emeriks
emeriks 19.07.2016 um 13:05:50 Uhr
Goto Top
Wenn über VPN jemand rein kommt und Pakete an interne Rechner sendet, woher sollen diese dann wissen, dass sie die Antwort-Pakete an Lancom-2 senden sollen, statt an ihr Default-GW Lancom-1, wenn man ihnen dies nicht per Route mitteilt? Bzw. auf dem Lancom-1 eine Route für die VPN-Netze zum Lancom-2 einrichtet.
mcmacca
mcmacca 19.07.2016 um 13:20:17 Uhr
Goto Top
Stimmt - das klingt logisch. Das wäre doch dann effektiv eine Route im Lancom-1 die bei angewählten IP Adressen im VPN Bereich auch Lancom-2 zeigt oder?

Dann entsteht aber automatisch das Problem das ich Lancom-1 nicht mehr als Backup VPN nutzen kann - wenn dann jemand da via VPN reinkommt würde die Route auf das falsche GW zeigen.

Alternative Möglichkeiten bei dem Setup vielleicht?
emeriks
Lösung emeriks 19.07.2016 um 13:22:44 Uhr
Goto Top
Wieso?
1. könntest Du das über verschiedene Subnetz regeln. Jeder Lancom vergibt andere Adressen im VPN.
2. weiß Lancom-1 doch, dass das Netz gerade bei ihm "hängt" und er wird das Paket nicht an den anderen Router weiterleiten, auch wenn da ne Route für existiert.
Lochkartenstanzer
Lochkartenstanzer 19.07.2016 um 13:24:00 Uhr
Goto Top
Moin,

ich würde das Kuddelmuddel auflösen und einen Multiwanrouter an alle drei Leitungen anschließen. Der kann dann VPNs terminieren, loadbalancing machen und per policy routing auch dedizierte Leitungen für bestimmte Dienste reservieren.

lks
mcmacca
mcmacca 19.07.2016 aktualisiert um 19:25:11 Uhr
Goto Top
Du hast Recht, das wird die schönste Lösung sein die mit vorhandener Hardware umsetzbar ist. Danke dafür!

@lks
Stimmt mit neuer Hardware die sauberere Lösung, aber in dem Fall nicht umsetzbar.
aqui
aqui 20.07.2016 aktualisiert um 08:29:18 Uhr
Goto Top
Warum nicht ?? Für 300 Euronen bekommst du einen Cisco Router der das in 10 Minuten erledigt hat:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
Die Lancoms hätten das sicher auch gekonnt mit ihren Optionen.
Andernfalls bleibt dir nur die dedizierte Einstellung über die Gateway IPs.
Aus Designsicht ist das die schlechteste aller Optionen. Keinerlei Redundanz und Failover bei 3 Anschlüssen, keinerlei Traffic Balancing möglich, größtmöglicher Verwaltungsaufwand da keinerlei Automatik möglich.
Aber warum einfach und effizient machen wenn es teuer und umständlich auch möglich ist...?!
Fazit: Falsche Hardware Konfig, falsches Design resultiert in einer Frickellösung.
Lochkartenstanzer
Lochkartenstanzer 20.07.2016 um 08:33:20 Uhr
Goto Top
Zitat von @mcmacca:

@lks
Stimmt mit neuer Hardware die sauberere Lösung, aber in dem Fall nicht umsetzbar.


80€ für einen microtik ist zuviel? Oder ein wenig mehr für eine Cisco?

lks
mcmacca
mcmacca 21.07.2016 um 20:57:58 Uhr
Goto Top
Um das nochmal kurz aufzurollen:
Lancom-1 betreibt doch schon ein Balancing für alle vorhanden lokalen Nutzer mit zwei DSL Leitungen => passt (inkl Failover falls eine Leitung abschmiert)
Lancom-2 hat jetzt ein Subnetz für VPN Nutzer, das wird von Lancom-1 geroutet => passt
Die VPN Funktionalität in Lancom-1 existiert ja noch, es gibt in dem Aufbau doch sehr übersichtliche Anzahl an VPN Nutzer (max. 6) die einen zweiten möglichen Zugangspunkt bereits im Client haben => passt

Was jetzt nicht eingerichtet ist wäre eben ein VPN Balancing. Verwaltungsaufwand aktuell null, geht die eine Leitung nicht kann der Nutzer die Alternative verwenden.

@lks
Die Option Microtik kannte ich bisher nicht - aber soweit ich sehe ist das einfach ein simpler Router der keine echte Multi-WAN Lösung darstellt oder? Das kann der vorhandene Lancom doch auch?
aqui
aqui 22.07.2016 um 12:58:36 Uhr
Goto Top
ein simpler Router der keine echte Multi-WAN Lösung darstellt oder
Falsch... Es ist ein Router der mit deiner oder der richtigen Konfig zu einem Multi WAN Router wird !
Letztlich macht er aber das gleiche wie der Lancom auch. Nur dein Konstrukt mit 2 irgendwie kaskadierten Lancoms ist kein gutes netzwerk Design sondern eher hilflose Frickelei nach dem Motto...kaufen wir mal einen lancom dazu passt schon irgendwie...
Was jetzt nicht eingerichtet ist wäre eben ein VPN Balancing.
Das geht nur Session basierend. Bei Inbound VPN Sessions ist das aber NICHT möglich ! Ist auch logisch, denn die mobilen Clients wählen ja als VPN Tunnel Ziel eine bestimmte IP Adresse an und damit bestimmen sie fest den Lancom VPN Router auf dem diese Session dann fest terminiert ist.
Ein Balancing ist da nicht möglich, da der Endpunkt ja immer fest vorgegeben ist.
Anders sieht das bei Outbound Sessions aus. Dort macht der Lancom wenn er denn richtig konfiguriert ist immer ein festes Session basiertes Balancing.
Wie gesagt...einzig und allein Outbound !!
mcmacca
mcmacca 22.07.2016 um 14:03:16 Uhr
Goto Top
Ich verstehe ja das es nicht die perfekt Lösung ist, aber nochmal: So weit weg ist es doch gar nicht.
Der Sinn hinter dem zweiten Lancom ist unter anderem einen zweiten VPN Server zu stellen => wie du selbst sagst kannst du eingehende VPNs nicht balancen (ich hab mich nie damit befasst, aber was wäre dann besser als mein Ansatz?)

Ok ausgehendes Balancing wäre vielleicht sogar gut - aber so hab ich einfach eine Leitung die den Bandbreitenbedarf abdeckt.
aqui
aqui 22.07.2016 aktualisiert um 16:48:20 Uhr
Goto Top
Wo ist denn jetzt noch ein Problem ?? Dann ist doch alles gelöst, oder ?
Mit der Tunnel Ziel IP bestimmst du bei den externen, mobilen Clients auf welchem Router du landest und ebenso bei den internen Usern. Je nachdem welches Gateway die nutzen gehen sie über Router 1, 2 oder 3 raus.
Alles gut also...oder ? Mehr ist mit diesem Design nicht drin.
mcmacca
mcmacca 22.07.2016 um 17:11:27 Uhr
Goto Top
Na klar, hab die Sache ja schon davor als gelöst markiert. Das Ende war ja nur eine Diskussion - hätte ja durchaus sein können das noch was tolles rumkommt face-smile
In diesem Sinne ein schönes WE und danke euch.