Bintec-Router - mehr wie 1 VPN-Verbindung für zu Problemen

Dieses Thema im Forum "Bintec" wurde erstellt von Iduiga, 1. November 2019.

  1. Iduiga

    Iduiga Aufsteiger

    Registriert seit:
    2. April 2013
    Beiträge:
    40
    Punkte für Erfolge:
    6
    Hallo zusammen,

    wir nutzen im Office einen bintec r3502, im Homeoffice steht in rw353j welche per lan2lan Verbindung miteinander fest verbunden sind. Dies klappt auch problemlos.

    Im Office-Router r3502 wählen sich seit kurzem 2 weitere Nutzer ein was zu Problemen führt. Mit der 2. Einwahl bekommt jeder andere inkl. der lan2lan-Verbindung Probleme und Abbrüche. Die lan2lan Verbindung wird zwar selbst lt. Einwahl-Router nicht abgebaut, allerdings weist im Log der Heartbeat-Dienst eine Unterbrechung aus.

    Was haben wir schon geprüft?
    - Lizenzen - der r3502 weisst auf der Startseite 2 lan2lan und der r353 3x lan2lan aus. Eigentlich sollten beide doch per Standard 5 Kanäle zur Verfügung stellen können?
    - Multiple-User Einwahl ermöglicht (vpn-Einstellungen) ist aktiv

    Bevor ich Logs poste - vielleicht gibt es noch rundimentäre Dinge welche ich vorab prüfen kann?

    Meine Ideen waren noch:
    • Lizenzen
      • Vielleicht doch ein Problem/zu wenige? Wie sähe eine Fehlermeldung aus und wo fände sich diese (ipsec, allgemeines log, lizenz log?
    • Firewall
      • Wobei der Zugriff bei einer Einwahl kein Problem ist
    • DHCP bzw. IP Adressen
      • Teilweise aus historischen Gründen noch im gleichen Netz. Evtl. erschöft?
    • NAT/Routing
      • Wobei nur die LAN2LAN Verbindung einen Eintrag dort hat um das jew. andere Netzwerk zu kennen
      • NAT erlaubt per any-route IP-Sec Verbindungen auf allen Interfaces

    Freue mich auf jegliche Ideen und Hinweise.
    Logfiles reiche ich nach.

    Danke & Grüße
     
  2. corl33t

    corl33t Gelegenheits-User

    Registriert seit:
    29. September 2018
    Beiträge:
    11
    Punkte für Erfolge:
    3
    Wurde die Auslastung des Routers (CPU) geprüft?
    Ich habe bei meinen IPsec Verbindungen festgestellt, dass die Verschlüsselung zu stark ist.

    Bei mir geht teilweise die CPU je nach VPN Auslastung auf 100% über einen längeren Zeitraum.
    Resultat ist, dass die normale Verbindung ohne VPN kaum noch nutzbar ist.
     
  3. CapFloor

    CapFloor Moderator

    Registriert seit:
    9. August 2010
    Beiträge:
    3.131
    Punkte für Erfolge:
    120
    Hi,

    wie sind die Clients angebunden? Welche Plattform, welche Client-Software?
    Was soll denn "erschöpft" sein? Wenn die IP-Adressen für die VPN-Clients aus dem Bereich des LAN-Segments kommen, dann muss am entsprechenden LAN-Interface und bei den VPN Peers "Proxy-ARP" angeschaltet sein.

    Poste bitte die Peer Konfiguration vom Router für die Clients und für die S2S Verbindung.

    VG
     
  4. Kalle2013

    Kalle2013 Freak

    Registriert seit:
    19. Mai 2013
    Beiträge:
    579
    Punkte für Erfolge:
    18
    Jede VPN - Verbindung benötigt ihren eigenen VPN - Account.
     
  5. CapFloor

    CapFloor Moderator

    Registriert seit:
    9. August 2010
    Beiträge:
    3.131
    Punkte für Erfolge:
    120
    Hi,

    mehrere gleichartige VPN-Client Verbindungen können mit einem VPN-Peer abgedeckt werden.

    VG
     
  6. Kalle2013

    Kalle2013 Freak

    Registriert seit:
    19. Mai 2013
    Beiträge:
    579
    Punkte für Erfolge:
    18
    Hm, ich habe die Erfahrung gemacht, das dann eine Verbindung die andere rauswirft. Aber vielleicht habe ich ja etwas übersehen.
    Ich finde es aber sowieso besser, die Zugänge getrennt zu definieren, denn dann kann man auch leichter einen Zugang wieder rausnehmen wenn z.B. der Mitarbeiter das Unternehmen verlässt.
     
  7. CapFloor

    CapFloor Moderator

    Registriert seit:
    9. August 2010
    Beiträge:
    3.131
    Punkte für Erfolge:
    120
    #7 CapFloor, 8. November 2019
    Zuletzt bearbeitet: 9. November 2019
    Hi,

    in dieser speziellen Multi-User Konfiguration des IPSec-Peers bleibt die Peer-ID leer und matched damit "auf Alles". Deshalb muss dieses Peer am Ende der Peer-Liste stehen.

    Der bintec Router generiert dann ein dynamische Interface für jeden Client, der sich verbindet. Funktioniert seit Jahren wunderbar...

    @Iduiga: So - und nur so - funktioniert die Verbindung von mehreren Clients zu einem IPSec-Peer beim bintec.

    VG
     

    Anhänge:

  8. tms

    tms Fachmann

    Registriert seit:
    4. Oktober 2014
    Beiträge:
    162
    Punkte für Erfolge:
    18
    Nach meiner Erfahrung machen mehrere Verbindungen über einen Peer auch Probleme.
    Deswegen habe ich es mir angewöhnt jedem Nutzer einen eigenen Peer zu spendieren.

    Hat auch den Vorteil, dass man bei Bedarf den jeweiligen Peer deaktivieren kann (wenn z.B. der Nutzer kein Zugriff mehr haben soll)