Dynamisches Routing über IPSec

Geschrieben von Schwachstromblogger am Sonntag, 14. Mai 2017

Die VPN-Verbindungen zu unseren Filialen konzentrieren wir in einem gemieteten Rechenzentrum in einer Nachbarstadt und verteilen von dort aus an verschiedene Stellen, also ins Internet, zu einem unserer Vertragspartner oder in unsere Zentrale. Diese Konstruktion stammt aus früheren Zeiten, als unsere Zentrale nur mit geringen Bandbreiten erschlossen war.

Jetzt zeigt sich aber in letzter Zeit immer mal wieder, dass es mit der Außenanbindung bzw. den Peerings nicht optimal läuft. Unsere Filialen kommen von der Telekom und haben mögliche zwei Wege ins Rechenzentrum. Der erste ist ein Weg über einen Kabelnetzbetreiber, mit sowohl Telekom als auch unser RZ ein Peering haben oder als zweiten Weg über das DeCIX, wobei hier bekannt ist, dass die Telekom hier etwas sparsam aufgestellt ist.

Leider gab es in letzter Zeit immer mal wieder Störungen bei besagtem Kabelnetzbetreiber. Das äußerte sich so, dass alle unsere VPN-Tunnel in die Filialen zusammenbrachen. Da dann kurz nach der Störung auch alle Filialen wieder den Tunnel aufbauen wollen, kommt es zu einem ganz massiven Stau. Die Gateways schaffen es nicht, vor den jeweiligen Timeouts, die nötigen Schlüssel zu berechnen. Nach dem Timeout vom ersten Gateway springen dann alle Router fast zeitlich aufs nächste Gateway und so weiter. Das erzeugt eine volle Auslastung, eigentlich eine Überlastung, der Gateways und die Filialen kommen doch nicht wieder online. Bis dann alle Filialen wieder Online sind, können vier bis sechs Stunden vergehen.

Leider sind VPN-Gateways nicht gerade günstig und der Schrank im Rechenzentrum ist komplett voll. Das RZ hat zwar mehrere Außenanbindungen, somit ist Redundanz gegeben, aber es können auch zentrale Komponenten Probleme machen. Aus dem Grund wollte ich noch einen weiteren VPN-Konzentrator aufbauen, der bei uns in der Zentrale steht. Seit unserem Umzug ist es auch möglich, da sich die Sache mit der Außenanbindung mehr als verbessert hat (VDSL, Kabelanschluss und Glasfaser, vorher gab es nur eine 918m lange Kupferleitung zum nächsten HVt mit maximal 6Mbit).

Da von einem Umbau noch ein VPN-Gateway und ein paar Router übrig waren, habe ich angefangen, diesen VPN-Punkt zu errichten. Das Problem ist jedoch das Routing, da Routingprotokolle über IPSec-Verbindungen nicht funktionieren. Jedoch hat LANCOM mit der Version 9.04 im LCOS die GRE-Tunnel eingeführt, die es schon längere Zeit bei vielen anderen Herstellern gab.

Zu allererst muss man auf beiden Routern jeweils eine Loopback-Adresse anlegen, die IP-Adresse kann freigewählt werden, da diese im LAN gar nicht bekannt gegeben werden muss. Nur die beiden Router sehen diese. Im nächsten Schritt legt man eine VPN-Verbindung an. Die automatische Regelerzeugung darf nicht genutzt werden. Es dürfen nur die IP-Adressen der Loopback-Schnittstellen beider Router mit dem Tunnel verbunden werden.

Wenn der VPN-Tunnel steht, geht es weiter. Als nächstes muss der GRE-Tunnel aufgebaut werden. Dieses geht unter Kommunikation > Gegenstellen > GRE-Tunnel. Dem Tunnel einfach einen Namen geben und als IP-Adresse die IP-Adresse der Loopback-Schnittstelle des anderen Routers eintragen. Damit RIP über die Schnittstelle funktioniert, muss der GRE-Tunnel jetzt noch beidseitig IP-Adressen erhalten. Dieses kann man unter Kommunikation > Protokolle > IP-Parameter. Es reicht aus, wenn man die Gegenstelle auswählt und dann nur eine IP-Adresse und die Subnetzmaske einträgt. Die IP-Adressen beider Router müssen im gleichen Subnetz sein.

Zum Einrichten des RIP müssen wir jetzt noch unter Routing-Protokolle > RIP > WAN RIP für den GRE-Tunnel das RIP aktivieren. Die Einstellungen für RIP muss jeder für sein Netzwerk ausmachen, üblich wäre aber RIPv2, senden und empfangen und die Maskierung auf automatisch. Ganz wichtig ist die Absender-Adresse. Hier muss man händisch die IP-Adresse eintragen, die man unter Gegenstellen > Protokolle > IP-Parameter hinterlegt hat. Beim Schließen des Fensters beschwert sich LANconfig zwar, aber es funktioniert.

Wenn man die Konfiguration jetzt zurückschreibt, sollte die Konstruktion funktionieren. Eventuell muss man beide Router einmal neustarten, das RIP-Modul ist manchmal etwas eckig.

Es ist zwar etwas unschön, dass man einen Tunnel in einen Tunnel legt, das merkt man auch etwas bei der Performance, da die MTU darunter leidet, aber besser eine schlechtere Performance als gar keine Verbindung mehr.

Trackbacks

Trackback-URL für diesen Eintrag

Keine Trackbacks

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

Noch keine Kommentare

Kommentar schreiben

Name

E-Mail

Homepage

Kommentar

Antwort zu

Phone*

Was ist Eins plus Neun?

Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.

Umschließende Sterne heben ein Wort hervor (*wort*), per _wort_ kann ein Wort unterstrichen werden.

Ich stimme zu, dass meine Daten gespeichert werden dürfen. Weitere Einzelheiten und Informationen siehe Datenschutzerklärung / Impressum.

Formular-Optionen

Daten merken?

Kommentare werden erst nach redaktioneller Prüfung freigeschaltet!