13
Zyxel USG WAN1 mit T-DSL und WAN2 mit Glasfaser
Hallo,
an der Zyxel USG 50 hatten wir bislang auf dem WAN1 Port den kostenlosen Telekom@School TDSL-Anschluss laufen (VLAN ID 7).
Nun haben wir seit ein paar Tagen einen 100 MBit Glasfaseranschluss. Plan war, diesen an WAN2 anzuschließen und beide Internetanschlüsse parallel zu betreiben (z.B. weighted round robin).
Leider funktioniert das überhaupt nicht.
Bin für jede Hilfe dankbar und kann natürlich auch weitere Infos liefern, nur will ich jetzt nicht gleich die ganze Konfi hier posten.
Danke.
Gruß
Tobias
an der Zyxel USG 50 hatten wir bislang auf dem WAN1 Port den kostenlosen Telekom@School TDSL-Anschluss laufen (VLAN ID 7).
Nun haben wir seit ein paar Tagen einen 100 MBit Glasfaseranschluss. Plan war, diesen an WAN2 anzuschließen und beide Internetanschlüsse parallel zu betreiben (z.B. weighted round robin).
Leider funktioniert das überhaupt nicht.
Bin für jede Hilfe dankbar und kann natürlich auch weitere Infos liefern, nur will ich jetzt nicht gleich die ganze Konfi hier posten.
Danke.
Gruß
Tobias
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 419313
Url: https://administrator.de/contentid/419313
Ausgedruckt am: 08.11.2024 um 16:11 Uhr
13 Kommentare
Neuester Kommentar
Hi,
es wäre auf jeden Fall Hilfreich, wenn du beschreibt was "funktioniert überhaupt nicht" bedeutet?
Scheinbar sind ja beide Anschlüsse online.
Viele Grüße
Andi
es wäre auf jeden Fall Hilfreich, wenn du beschreibt was "funktioniert überhaupt nicht" bedeutet?
Scheinbar sind ja beide Anschlüsse online.
Viele Grüße
Andi
und beide Internetanschlüsse parallel zu betreiben
Wäre ja auch das Sinnvollste wenn man schon 2 Provider hat !Leider funktioniert das überhaupt nicht.
Die USG kann das aber !Hast du wohl vermutlich grundsätzlich im Setup der USG was falsch gemacht...?!
https://misc.nybergh.net/pub/doc/manuals_hardware/zyxel-usg-docs/USG%20D ...
Oder generell:
http://bfy.tw/MN9n
Wenn alle Stricke reissen alternative Hardware kann das mit Links:
https://www.heise.de/select/ct/2016/24/1479992026108405
bzw.
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Ja, stimmt. Die Internetverbindung geht über den Telekom-Anschluss, auch wenn der Glasfaser auf WAN2 ganz brav eine IP zugewiesen kommt.
Deaktiviere ich WAN1 oder stecke händisch aus, geht keine Internetverbindung.
Deaktiviere ich WAN1 oder stecke händisch aus, geht keine Internetverbindung.
Wie gesagt... Konfig Fehler in der USG !
Ja, aber wo...... Wie gesagt, ich kann ja schlecht das ganze Config-File posten 
Es reichen Screenshots des WAN Setups. Das andere ist uninteressant !
Wichtig:
1.) Haken bei "Add this interface to WAN Trunk !" setzen !
2.) WAN Trunk Interface mit den beiden Member Interfaces customizen:
Fertisch !
Sind VOR den beiden WAN Ports der USG noch irgendwelche Router oder Modems bzw. hast du Kaskaden dort wie hier beschrieben ?
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Wichtig:
1.) Haken bei "Add this interface to WAN Trunk !" setzen !
2.) WAN Trunk Interface mit den beiden Member Interfaces customizen:
Fertisch !
Sind VOR den beiden WAN Ports der USG noch irgendwelche Router oder Modems bzw. hast du Kaskaden dort wie hier beschrieben ?
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
@aqui:
Vorsicht vor der Verwendung von Anleitungen für Systeme, die man selbst nicht kennt. Das macht es schwer einzuschätzen, ob die Anleitungen noch aktuell sind. Im vorliegenden Fall ist dies nämlich nicht gegeben. Die Screenshots der Anleitung stammen von einer Firmware vor Version 2.20. Die hier verwendete USG50 kam aber bereits mit ZLD2.21 auf den Markt (und wurde bis ZLD3.30 unterstützt).
Mit ZLD2.20 wurde der gesamte interne Paket-Flow grundlegend neu designt. Seither ist vieles anders (und das meiste auch besser) geworden. Insbesondere kann man seither weitgehend auf explizite Policyrouten verzichten. Zuvor waren diese wesentlich häufiger erforderlich.
Abwärtkompatibilität zu alten Konfigurationsweisen ist zwar im Regelfall gegeben, aber man tut sich selbst einen Gefallen, wenn man die "neue" Funktionsweise nutzt.
@tobivan:
Poste mal bitte einen Screenshot Deiner Policyrouten sowie zusätzlich einen Screenshot von Network>Interface>Trunk
Objektnamen bitte erläutern.
Gruß
sk
Vorsicht vor der Verwendung von Anleitungen für Systeme, die man selbst nicht kennt. Das macht es schwer einzuschätzen, ob die Anleitungen noch aktuell sind. Im vorliegenden Fall ist dies nämlich nicht gegeben. Die Screenshots der Anleitung stammen von einer Firmware vor Version 2.20. Die hier verwendete USG50 kam aber bereits mit ZLD2.21 auf den Markt (und wurde bis ZLD3.30 unterstützt).
Mit ZLD2.20 wurde der gesamte interne Paket-Flow grundlegend neu designt. Seither ist vieles anders (und das meiste auch besser) geworden. Insbesondere kann man seither weitgehend auf explizite Policyrouten verzichten. Zuvor waren diese wesentlich häufiger erforderlich.
Abwärtkompatibilität zu alten Konfigurationsweisen ist zwar im Regelfall gegeben, aber man tut sich selbst einen Gefallen, wenn man die "neue" Funktionsweise nutzt.
@tobivan:
Poste mal bitte einen Screenshot Deiner Policyrouten sowie zusätzlich einen Screenshot von Network>Interface>Trunk
Objektnamen bitte erläutern.
Gruß
sk
Danke.
DCC=Glasfaser=150 MBit
DCC=Glasfaser=150 MBit
Der abgebildete WAN-Trunk ist fehlerhaft. Statt WAN1 müsste dort WAN1_vlan7 hinterlegt werden.
Darüber hinaus kann dieser WAN-Trunk derzeit nicht als Default ausgewählt sein, denn sonst würde der Traffic nicht wie angegeben über vlan7, sondern über WAN2 rausgehen.
Gruß
sk
Darüber hinaus kann dieser WAN-Trunk derzeit nicht als Default ausgewählt sein, denn sonst würde der Traffic nicht wie angegeben über vlan7, sondern über WAN2 rausgehen.
Gruß
sk
Habe ich probiert, vielen Dank. Ging aber leider auch nicht.
Ich habe nun einen Laptop, angemeldet als lokaler Benutzer, direkt mit dem LAN-Kabel des "Glasfaser-Internets" verbunden. Per DHCP wird eine IP zugewiesen, hier funktioniert das Internet über Glasfaser wie es soll.
Kann es evtl. sein, dass das "LAN-Kabel mit dem Internetsignal" (ich nenn' das jetzt mal so trivial) im WAN-Port der Zyxel überhaupt nicht funktionieren kann, weil die Zyxel an diesem Port z.B. eine PPPoE erwartet? Muss/Kann ich die "Internetverbindung" evtl. über einen LAN-Port der Zyxel "einspeisen"?
Ich habe nun einen Laptop, angemeldet als lokaler Benutzer, direkt mit dem LAN-Kabel des "Glasfaser-Internets" verbunden. Per DHCP wird eine IP zugewiesen, hier funktioniert das Internet über Glasfaser wie es soll.
Kann es evtl. sein, dass das "LAN-Kabel mit dem Internetsignal" (ich nenn' das jetzt mal so trivial) im WAN-Port der Zyxel überhaupt nicht funktionieren kann, weil die Zyxel an diesem Port z.B. eine PPPoE erwartet? Muss/Kann ich die "Internetverbindung" evtl. über einen LAN-Port der Zyxel "einspeisen"?
Kann es evtl. sein, dass das "LAN-Kabel mit dem Internetsignal" (ich nenn' das jetzt mal so trivial) im WAN-Port der Zyxel überhaupt
nicht funktionieren kann, weil die Zyxel an diesem Port z.B. eine PPPoE erwartet?
nicht funktionieren kann, weil die Zyxel an diesem Port z.B. eine PPPoE erwartet?
Selbstverständlich erfordert die Zywall nicht zwingend PPPoE am WAN-Interface. Es sei denn, der Admin hat es so eingestellt...
Habe ich probiert, vielen Dank. Ging aber leider auch nicht.
Was genau hast Du probiert?
Hast Du beachtet, dass meine Antwort zwei Aspekte beinhaltete? Auch wenn der Trunk richtig definiert ist, greift er nicht, so lange er nicht angesteuert wird!
Man kann je nach Modell eine unterschiedliche Anzahl verschiedener Trunks definieren und per Policyroute auf Traffic mit bestimmten Merkmalen (z.B. Quell- oder Ziel-IPs) anwenden. Ein typischer Anwendungsfall in einer Schule wäre beispielsweise, dass das Netz der Schulverwaltung regulär immer über WAN1 geschickt wird und das pädagogische Netz regulär immer über WAN2. Fällt jedoch einer der Internetzugänge aus oder tritt eine Überlastsituation auf, wird der betreffende Traffic automatisch auf den jeweils anderen Link umgeleitet.
Wenn man wie in vorliegenden Fall (mangels Policyrouten) keine explizite Zuordnung des Traffics zu Trunks trifft, dann sollte der als Default definierte Trunk genutzt werden. Deshalb war meine Vermutung, dass der von Dir gepostete (nicht korrekte) Trunk evtl. nicht als Default-Trunk ausgewählt ist, denn die dargestellte Trunk-Konfiguration widerspricht dem von Dir berichteten Verhalten der Box. Also bitte das als nächstes überprüfen!
Darüber hinaus gibt es allerdings auch noch andere Konfigurations-Optionen, die zu einem Übersteuern des dargestellten Trunk-Konfiguration führen können - oder anders ausgedrückt: andere Gründe für ein Nichtfunktionieren.
In Betracht kommen beispielsweise die VPN-Konfiguration, die Virtual-Server/NAT-Konfiguration, das Heraufstufen der Wertigkeit von statischen Routen und noch einiges mehr. Es gibt sogar Konfigurationsoptionen, die nur auf dem CLI verfügbar sind und das Paketflow-Verhalten der Box komplett ändern. Bei einem Upgrade von ZLD vor 2.20 nach 2.20 und höher werden diese teilweise automatisch gesetzt, um die Abwärtskompatibiliät sicherzustellen. Da die 50er bereits mit ZLD2.21 auf den Markt kam, sollte das bei Euch eigentlich kaum das Problem sein. Ich hatte jedoch auch schon Fälle, da wurden Konfigs von älteren USGs auf eine neu gekaufte Box mitgeschleppt... insofern kann man sich darauf auch nicht wirklich verlassen.
Nicht zuletzt kann auch eine ungeeignete Konfiguration der Firewall-Regeln ein gewünschtes Muli-WAN-Verhalten unterbinden.
Wenn es tatsächlich nicht - wie oben vermutet - an der Festlegung des Default-WAN-Trunks liegt, dann poste bitte noch folgende Screenshots von Maintenance->Paket Flow Explore:
1) Routing-Status
2) SNAT-Status
Damit sollten wir klarer sehen. Wenn auch daraus der Fehler nicht erkennbar wird, dann biete ich Dir an, per Teamviewer gemeinsam einen Blick auf Deine Konfig zu werfen.
Gruß
sk
Hallo,
vielen Dank für deine wertvolle Unterstützung!
Ich habe den WAN-Trunk auf WAN1_vlan7 und WAN2 angepasst und danach auch als aktiv ausgewählt (statt dem SYSTEM_DEFAULT Trunk). Ich denke, damit habe ich beide Aspekte aus der obigen Anleitung umgesetzt.
Ich habe im Schulnetzwerk die glückliche Situation, dass das gesamte Verwaltungsnetz vollkommen unabhängig vom Schulnetz ist (eigener Telekom-Zugang, eigene Firewall, eigene Switch usw. Also wirklich ALLES physisch getrennt). Der TDSL@School mit seinen 16MBit gehört also quasi dem Schulnetz ganz alleine, ebenso wie die Glasfaseranbindung mit 150 MBit.
Aktuell installiert ist auf der USG 50 die Firmware 3.30(BDS.7)C0 von January 21, 2015
Eingestellt ist eigtl so gut wie gar nichts: kein VPN, kein Cellular, keine NAT, keine Policy Routes: Es laufen CommTouch, IDP, Kaspersky AV
Ich bin deshalb auch am überlegen, ob ich einen kompletten Reset der USG mache, könnte das Sinn machen? Zum Testen habe ich auch die Firewall deaktiviert, ändert auch nichts.....
Ich mach am Montag die Screenshots und melde mich dann wieder.
Gruß
Tobias
vielen Dank für deine wertvolle Unterstützung!
Ich habe den WAN-Trunk auf WAN1_vlan7 und WAN2 angepasst und danach auch als aktiv ausgewählt (statt dem SYSTEM_DEFAULT Trunk). Ich denke, damit habe ich beide Aspekte aus der obigen Anleitung umgesetzt.
Ich habe im Schulnetzwerk die glückliche Situation, dass das gesamte Verwaltungsnetz vollkommen unabhängig vom Schulnetz ist (eigener Telekom-Zugang, eigene Firewall, eigene Switch usw. Also wirklich ALLES physisch getrennt). Der TDSL@School mit seinen 16MBit gehört also quasi dem Schulnetz ganz alleine, ebenso wie die Glasfaseranbindung mit 150 MBit.
Aktuell installiert ist auf der USG 50 die Firmware 3.30(BDS.7)C0 von January 21, 2015
Eingestellt ist eigtl so gut wie gar nichts: kein VPN, kein Cellular, keine NAT, keine Policy Routes: Es laufen CommTouch, IDP, Kaspersky AV
Ich bin deshalb auch am überlegen, ob ich einen kompletten Reset der USG mache, könnte das Sinn machen? Zum Testen habe ich auch die Firewall deaktiviert, ändert auch nichts.....
Ich mach am Montag die Screenshots und melde mich dann wieder.
Gruß
Tobias
Hier noch zwei Screenshots aus Packet Flow, alles andere enthält keine Einträge.
Außerdem noch ein Screenshot vom WAN_Trunk.
Außerdem noch ein Screenshot vom WAN_Trunk.
