2 Internet Leitungen und PPTP-VPN

Dieses Thema im Forum "Bintec" wurde erstellt von AndreasL, 10. Oktober 2015.

  1. AndreasL

    AndreasL Freak

    Registriert seit:
    18. November 2002
    Beiträge:
    509
    Punkte für Erfolge:
    18
    Ich stehe seit heute mit meiner R3002 (V9.1) vor einer neuen Herausforderung.
    Bislang hatte dieses Gerät einen ADSL Internetzugang mit statischer IP über eth50 (internes ADSL Modem). Konfiguriert sind u.a. PPTP VPN Zugänge (jaja, ich weiss ...) und IPsec Zugänge. Von außen kann über die statische IP oder einen DNS Eintrag bei einem Hoster erreicht werden. Alles geht (ging).

    Heute ist eine 2. stärkere Leitung ins Internet hinzu gekommen. Realisiert über ETH5 mit einem Router von einem Provider. Eingerichtet über den Wizzard mit der Auswahl Kabelmodem/Router. Diese neue Internetverbindung hat die Default Gateway Route mit Metric 0, die alte ADSL Verbindung ist zusätzlich drin mit Metric 1.

    Internet geht wunderbar, IPsec Verbindungen gehen weiter über die ADSL Verbindung problemlos. PPTP macht aber Probleme.

    Im NAT für die neue Verbindung ist schon GRE und 1723 konfiguriert, so wie auch für die ADSL NAT Verbindung. Das ist aber nicht das eigentliche Problem. Vielmehr scheint es bei PPTP ein Problem damit zu geben, das ich über ADSL (alte IP) reinkomme und die Verifizierung dann zusammenbricht weil raus gehend die aktuelle Default Route Metric 0 über den neuen Zugang verwendet wird. Damit scheitert dann der Verbindungsaufbau.

    Verwende ich für die PPTP Verbindung die neue Statische IP der neuen Leitung kann ich Problemlos eine PPTP Verbindung etablieren.

    Die spannende Frage ist nun: warum ist das bei PPTP so und IPsec nicht? Was kann ich machen um auch mit PPTP über den alten Anschluss eine Verbindung herzustellen? Ich denke, das hat irgendwas mit dem Routing zu tun und bedarf ggf. zusätzlicher Einträge in den jeweiligen PPTP Settings der Zugänge. Das Debug ist wenig hilfreich, da steht lediglich 'closing control connection'

    Hat da jemand eine Idee, wo ich ansetzen kann?

    Gruß Andreas
     
  2. Marcus67

    Marcus67 Fachmann

    Registriert seit:
    6. September 2015
    Beiträge:
    151
    Punkte für Erfolge:
    18
    Dazu fallen mir 2 Dinge ein:

    1. Bei einem IPSec Partner kann ich einstellen über welches Interface geroutet wird. So kann man das Steuern.
    2. Evtl. ist IPSec auch egal ob da unterschiedliche Quelladressen drin stehen.

    Gruß, Marcus
     
  3. AndreasL

    AndreasL Freak

    Registriert seit:
    18. November 2002
    Beiträge:
    509
    Punkte für Erfolge:
    18
    ich bin da auf einen alten Thread zum Thema gestoßen:
    http://www.router-forum.de/board-bi...s/thread-extended-routing-2-53035-page-1.html

    Eine weitere exemplarische Anleitung habe ich hier gefunden:
    http://www.neo-one.de/downloads/dok...ice und Source based Routing (Setup-Tool).pdf

    Das versuche ich gerade zu verstehen und umzusetzen. Leider komme ich nur Remote an den entsprechenden Router und muss aufpassen mich nicht auszusperren. Wenn ich das richtig verstehe muss ich 1723 und gre über das ext-routing auf das entsprechende Interface leiten damit ich über den alten Anschluss mit PPTP rein komme.

    Gruß Andreas
     
  4. CapFloor

    CapFloor Moderator

    Registriert seit:
    9. August 2010
    Beiträge:
    2.759
    Punkte für Erfolge:
    68
    Hi,
    Was du brauchst, ist, dass (Antwort-)Pakete, die zu einer eingehenden Verbindung über ein bestimmtes WAN Interface gehören, auch wieder über den Anschluss rausgehen.

    Wie man sowas machen kann mit Default Routen unterschiedlicher Metrik und einer "Extended Route", ist - hier - beschrieben. Dort ging es zwar um Telnet, aber das macht keinen Unterschied, da die "Extended Route" nicht nach Service, also Portnummer, filtert, sondern über das Subnetz letztendlich nach dem Interface, über das der Request rein kam.

    VG
     
  5. AndreasL

    AndreasL Freak

    Registriert seit:
    18. November 2002
    Beiträge:
    509
    Punkte für Erfolge:
    18
    Danke für den Tipp. Wir müssen jetzt doch erst mal klären worüber was laufen soll. So klar ist das nun doch leider nicht. Möglicherweise kann ich mir den ganzen Aufwand sparen wenn pptp über den neuen Provider laufen soll. Mal abwarten ... Trotzdem habe ich wieder was gelernt und weiß was zu tun ist, wenn es nötig wird.

    Gruß Andreas