117471
Apr 27, 2016, updated at 09:01:34 (UTC)
2386
7
0
Lancom VPN-Client - überschreibt der auch bestehende Routen?
Ein Kunde hat zwei Router an einem Standort:
Router 1: Internet
Router 2: Gateway für einen VPN-Tunnel in das Netz 192.168.128.0/24
Die Clients bekommen Router 1 als Default Gateway. Zusätzlich ist auf jedem Client eine statische Route gesetzt, welche die Datenpakete für 192.168.128.0/24 über Router 2 aussteuert.
Es soll auf einigen Rechnern der LANCOM-VPN-Client installiert werden, der nach erfolgter Anmeldung ebenfalls eine Route zu 192.168.128.0/24 legt.
Meine Frage ist: Kann der LANCOM-VPN-Client die Route auch dann legen, wenn bereits eine statische Route zu dem Netz via "route add -p" gesetzt ist? Wäre das "elegant genug", oder "macht man das eigentlich anders?"
Router 1: Internet
Router 2: Gateway für einen VPN-Tunnel in das Netz 192.168.128.0/24
Die Clients bekommen Router 1 als Default Gateway. Zusätzlich ist auf jedem Client eine statische Route gesetzt, welche die Datenpakete für 192.168.128.0/24 über Router 2 aussteuert.
Es soll auf einigen Rechnern der LANCOM-VPN-Client installiert werden, der nach erfolgter Anmeldung ebenfalls eine Route zu 192.168.128.0/24 legt.
Meine Frage ist: Kann der LANCOM-VPN-Client die Route auch dann legen, wenn bereits eine statische Route zu dem Netz via "route add -p" gesetzt ist? Wäre das "elegant genug", oder "macht man das eigentlich anders?"
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 303000
Url: https://administrator.de/contentid/303000
Printed on: April 19, 2024 at 21:04 o'clock
7 Comments
Latest comment
Zitat von @117471:
Wäre das "elegant genug", oder "macht man das eigentlich anders?"
Warum setzt ihr, obwohl Router vorhanden sind, statische Routen an den Clients?Wäre das "elegant genug", oder "macht man das eigentlich anders?"
Kann der LANCOM-Client die (statisch gesetzte) Route überschreiben?
Zusätzlich ist auf jedem Client eine statische Route gesetzt, welche die Datenpakete für 192.168.128.0/24 über Router 2 aussteuert.
Eigentlich ist das routingtechnischer Blödsinn und aus IP Sicht falsch !Sinnvoll wäre eine einzige statische Route auf dem Router 1 zu definieren, der Default Gateway ist:
Zielenetz: 192.168.128.0, Maske: 255.255.255.0, Gateway: <Router-2-LAN_IP>
Das Routing soll der Router machen niemals die Endgeräte !!
Somit hast du dann auch keinerlei Konflikte mehr zw. der statische definierten Route und der die der VPN Client injiziert.
Die statisch definierte Route kann der Client nicht überschreiben aber sofern er eine kleinere Maske benutzt wird diese Route dann preferiert.
Ein route print zeigt dir immer unter Winblows an wie sich die Routen im OS verhalten und dann muss man nicht raten
Bei dem Default-Gateway handelt es sich um den Zwangsrouter eines Netzbetreibers, der WAN-seitig nur sein eingebautes Modem kennt und den gesammten Traffic per se dort hin routet. Zumal ich mal meine gelesen zu haben, dass Router andere Router immer nur auf der WAN- und niemals auf der LAN-seite sehen soll(t)en... 
Es handelt sich um den einzigen Anbieter, der bereit ist, dort eine Internetverbindung zu dem Preis zu realisieren (abgelegenes Hafengebiet ohne Perspektive auf weitere Gewerbeansiedlung). Diskussionen hierzu sind beendet.
Wir haben überlegt, den VPN-Router durch eine pfSense abzulösen, die:
- den Zwangsrouter "Router 1" auf WAN_1 hat und diesen als Default Gateway benutzt
- das Modem von "Router 2" auf WAN_2 hat und hier PPPoE spricht
- den VPN-Tunnel über WAN_2 aufbaut
...aber das ist wie gesagt etwas umfangreicher und somit "Zukunftsmusik".
Damit ich Dich richtig verstanden habe:
- wir richtigen die statische Route mit einer hohen Metrik ein
- der LANCOM-Client legt die gleiche Route bei Bedarf noch einmal mit einer niedrigeren Metrik an
Korrekt so?
Es handelt sich um den einzigen Anbieter, der bereit ist, dort eine Internetverbindung zu dem Preis zu realisieren (abgelegenes Hafengebiet ohne Perspektive auf weitere Gewerbeansiedlung). Diskussionen hierzu sind beendet.
Wir haben überlegt, den VPN-Router durch eine pfSense abzulösen, die:
- den Zwangsrouter "Router 1" auf WAN_1 hat und diesen als Default Gateway benutzt
- das Modem von "Router 2" auf WAN_2 hat und hier PPPoE spricht
- den VPN-Tunnel über WAN_2 aufbaut
...aber das ist wie gesagt etwas umfangreicher und somit "Zukunftsmusik".
Damit ich Dich richtig verstanden habe:
- wir richtigen die statische Route mit einer hohen Metrik ein
- der LANCOM-Client legt die gleiche Route bei Bedarf noch einmal mit einer niedrigeren Metrik an
Korrekt so?
Bei dem Default-Gateway handelt es sich um den Zwangsrouter eines Netzbetreibers
Igitt !!Aber dafür gint es eine vertragliche Regelung. Der Zwangsrouter muss vom Netzbetreiber entsprechend angepasst werden ! Das geschieht auch wenn man das entsprechend kommuniziert.
Scheinbar scheitert es wieder am einfachsten ?!
Die Lösung mit der pfSense wäre aber ein gangbarer Workaround.
Ob der Lancom Client eine Route injiziert war jetzt nur geraten. Ggf. kann er auch das default Gateway des Clients umbiegen. Dazu müsste man sich mal den Client im Betrieb ansehen bzw. dann die Routing Table was der macht.
Wenn er Metrik 0 nimmt oder eine höhere als die statische Route hat das Priorität.
Es ist aber zu bezweifeln das die so subtil mit Metriken jonglieren....aber wie gesagt nur erstmal geraten.
Wie gesagt - für 50 Euro im Monat kannst Du in bestimmten Gegenden froh sein, wenn Du überhaupt etwas > 512KBit/s bekommst.
Wir sind Dienstleister. Letztendlich entscheiden die Geschäftsführer, was sie wollen und welche Kompromisse sie dafür eingehen.
Wir reißen die Tunnel eh' auseinander, stellen auf OpenVPN um und in dem Zusammenhang frickel ich die Sense da rein. Wobei das noch etwas komplexer wird, da auf der Gegenseite ein ähnliches Chaos herrscht Das Szenario mit der Netzkopplung via OpenVPN habe ich nicht grundlos getestet^^
Wir sind Dienstleister. Letztendlich entscheiden die Geschäftsführer, was sie wollen und welche Kompromisse sie dafür eingehen.
Wir reißen die Tunnel eh' auseinander, stellen auf OpenVPN um und in dem Zusammenhang frickel ich die Sense da rein. Wobei das noch etwas komplexer wird, da auf der Gegenseite ein ähnliches Chaos herrscht
Das Szenario mit der Netzkopplung via OpenVPN habe ich nicht grundlos getestet^^Letztendlich entscheiden die Geschäftsführer, was sie wollen und welche Kompromisse sie dafür eingehen.
Aber dann meist NACH einer fachkompetenten Beratung durch den Dienstleister Die Lösung mit der FW ist aber der richtige Weg. Nur so wird man das für alle Beteiligten stabil und wartbar lösen können.
