staybb
Goto Top

VPN Tunel geht verloren nach VM Switching

Hallo zusammen,

ich habe folgendes Problem:

Ich habe einen Server 2012R2 mit eingerichtetem PPTP Dienst. Der Server ist virtualisiert in HyperV. Von aussen ist der PPTP Tunnel erreichbar über eine Zyxel Zywall 310, welche in del lokalen Netz als Router und Firewall dient. Auf der Zywall ist der PPTP Port 1723 als Portforwarding eingetragen, werlcher auf den Win2012 R2 mit PPTP Dienst verweist.
Das funktioniert nun soweit alles ganz gut.

Nun ist es aber so, dass die VM täglich auf einen zweiten HyperV Server wandert (Stichwort: HyperV Replikation). Das dient zur Backupstrategie, falls eine HyperV Server einmal ausfallen sollte, dass der zweite Server direkt einspringen kann und die VM auf dem gleichen Stand ist.

Das Problem ist nun, dass der VPN Tunnel nicht mehr funktioniert wenn die VM auf den anderen HyperV Server wandert.
Der PPTP Dienst läuft ja auf der virtuellen Maschine, also auf der Maschine die auf den anderen Hostserver wechselt. Die IP und MAC Adresse bleibt also genau gleich und in der Firewall ist genau diese IP und MAC für das Portforwarding hinterlegt.

Habt ihr eine Idee an was das liegen könnte warum der PPTP VPN dann nicht mehr funktioniert, sobald die VM mit PPTP Dienst auf den anderen Host wechselt?

Muss ich irgendwo noch etwas einstellen oder wird irgendwo noch etwas geblockt, warum der VPN Dienst nicht mehr erreichbar ist.

Habt ihr eine Idee?

Danke und Grüsse
staybb

Content-Key: 330926

Url: https://administrator.de/contentid/330926

Ausgedruckt am: 28.03.2024 um 12:03 Uhr

Mitglied: Pjordorf
Pjordorf 02.03.2017 um 15:07:27 Uhr
Goto Top
Hallo,

Zitat von @staybb:
Auf der Zywall ist der PPTP Port 1723 als Portforwarding eingetragen
Und das benötigte Protokoll 47 (GRE) auch?

Nun ist es aber so, dass die VM täglich auf einen zweiten HyperV Server wandert (Stichwort: HyperV Replikation)
Die laufende VM?
Nur die VHD(X) Dateien?
Die gesamte VM ?

dass der zweite Server direkt einspringen kann
Welcher Hypervisor läft denn dann bzw. auf welchen Hyper-V läuft dann diese besagte VM die kein PPTP mehr kann?

Das Problem ist nun, dass der VPN Tunnel nicht mehr funktioniert wenn die VM auf den anderen HyperV Server wandert.
Die VM wandert?

Der PPTP Dienst läuft ja auf der virtuellen Maschine, also auf der Maschine die auf den anderen Hostserver wechselt.
?!?

Die IP und MAC Adresse bleibt also genau gleich und in der Firewall ist genau diese IP und MAC für das Portforwarding hinterlegt.
IP und Portforwarding OK. Aber die MAC?

Habt ihr eine Idee an was das liegen könnte warum der PPTP VPN dann nicht mehr funktioniert, sobald die VM mit PPTP Dienst auf den anderen Host wechselt?
Die VM ist nun tatsächlich auf den anderen Hyper-V und die läuft dort auch oder ist nur eine Kopie umhergewandert? Wird die VM angehalten oder pausiert (VSS) um umher zu wandern? Ein neuer Tunnel kann nicht etabliert werden oder läuft dein RRAS dann nicht mehr (Dienst beendet) oder was?

Muss ich irgendwo noch etwas einstellen oder wird irgendwo noch etwas geblockt, warum der VPN Dienst nicht mehr erreichbar ist.
Läuft denn dein RRAS noch?

Gruß,
Peter
Mitglied: GuentherH
GuentherH 02.03.2017 um 15:25:06 Uhr
Goto Top
auf einen zweiten HyperV Server wandert (Stichwort: HyperV Replikation)

Bei der Replikation wandert aber kein Server. Also erkläre bitte genau was hier gemacht wird.

Ich bin auch wie Pjordorf der Meinung, dass es bei eurem Konstrukt ein Problem mit der Mac Adresse gibt.

LG Günther
Mitglied: staybb
staybb 02.03.2017 um 20:34:50 Uhr
Goto Top
Zitat von @staybb:
Auf der Zywall ist der PPTP Port 1723 als Portforwarding eingetragen
Und das benötigte Protokoll 47 (GRE) auch?

Ja das auch.

Nun ist es aber so, dass die VM täglich auf einen zweiten HyperV Server wandert (Stichwort: HyperV Replikation)
Die laufende VM?
Nur die VHD(X) Dateien?
Die gesamte VM ?

Die VM fährt zuvor herunter und wird dann rüberkopiert. Sorry hatte ich nicht dazu geschrieben.

dass der zweite Server direkt einspringen kann
Welcher Hypervisor läft denn dann bzw. auf welchen Hyper-V läuft dann diese besagte VM die kein PPTP mehr kann?

Das Problem ist nun, dass der VPN Tunnel nicht mehr funktioniert wenn die VM auf den anderen HyperV Server wandert.
Die VM wandert?

"wandert" -> Sie wird auf den anderen HyperV Host kopiert

Der PPTP Dienst läuft ja auf der virtuellen Maschine, also auf der Maschine die auf den anderen Hostserver wechselt.
?!?

Auf der virtuellen Maschine ist der VPN Server eingerichtet.

Die IP und MAC Adresse bleibt also genau gleich und in der Firewall ist genau diese IP und MAC für das Portforwarding hinterlegt.
IP und Portforwarding OK. Aber die MAC?

MAC ist die gleiche auf der Firewall. Meinst du die MAC ändert sich von der VM wenn sie auf den anderen Host kopiert wird?
Das virtuelle LAN Interface ändert sich ja eigentlich nicht,.

Habt ihr eine Idee an was das liegen könnte warum der PPTP VPN dann nicht mehr funktioniert, sobald die VM mit PPTP Dienst auf den anderen Host wechselt?
Die VM ist nun tatsächlich auf den anderen Hyper-V und die läuft dort auch oder ist nur eine Kopie umhergewandert? Wird die VM angehalten oder pausiert (VSS) um umher zu wandern? Ein neuer Tunnel kann nicht etabliert werden oder läuft dein RRAS dann nicht mehr (Dienst beendet) oder was?

Die VM wird angehalten und dann rüberkopiert. Der RRAS Dienst läuft.
Mitglied: Pjordorf
Pjordorf 03.03.2017 um 00:14:31 Uhr
Goto Top
Hallo,

Zitat von @staybb:
Die VM fährt zuvor herunter und wird dann rüberkopiert. Sorry hatte ich nicht dazu geschrieben.
Also du fährst eine VM herunter und kopierst dann nur die VHD(X) oder wird auch dessen Konfiguration der VM sowie deines Hyper-V inkl. aller Einstellungen rüberkopiert?

"wandert" -> Sie wird auf den anderen HyperV Host kopiert
Nochmals die Frage: nur dessen VHD(X) oder auch alles andere was die VM zum laufen benötigt (dazu auch die Rechte und Orte nicht vergessen. Pro Hyper-V gibt es immer noch den Hyper-V Benutzer vom Hyper-V selbst (meist nur dessen GUID zu erkennen))?

Auf der virtuellen Maschine ist der VPN Server eingerichtet.
Ja, das ist schon klar. Wird nun die VM welche kopiert wurde erneut gestartet und dabei kommt kein PPTP Tunnel mehr zustande? Wer initiert denn deine PPTP Verbindung - der RRAS Server (VM) oder der entfernte Client (was immer das sein mag)?

MAC ist die gleiche auf der Firewall.
?!? Erläutere das bitte mal. Vermutlich verstehst nur du das.

Meinst du die MAC ändert sich von der VM wenn sie auf den anderen Host kopiert wird?
Sofern beim Kopieren auch die Konfiguration der VM kopiert wird - ändert die sich beim kopieren nicht. Die MAC ändert sich aber wenn die VM gestartet wird. Das liegt aber an deine Definition von Hyper-V Replikation.

Das virtuelle LAN Interface ändert sich ja eigentlich nicht,.
Nö, das bleibt ja gleich (Sofern du die Konfiguration rüberkopiert hast). Allerdings 2 Geräte mit gleicher MAC in ein Broadcastnetz - das soll und darf nicht sein. Ebenso 2 gleiche IPs in ein Broadcastnetz - darf eenfalls nicht sein. Beides gilt aber nur wenn beide am laufen sind und im Netz hängen. daher sagt dein Hyper-V beim starten der VM - nö dem geb ich jetzt ne andere MAC - egal was dann mit deiner VM passiert. Ausser du hast alles Manuell gepflegt und auch die MACS alle per Hand ....

Die VM wird angehalten und dann rüberkopiert. Der RRAS Dienst läuft.
Nun, wenn nach Starten der VM (die welche ja vorher auch schon lief) keine PPTP Verbindung mehr etabliert werden kann wird evtl. die Gegenstelle nicht mehr existieren, aufgehangen, ausgeschaltet oder sonstwas sein. Was sagt denn deine Firewall dann - kommt da noch etwas von den Gegenstellen rein oder oder nicht. Deine Firewall wird ja ein Log haben, oder? Ansonsten die Logs für dein RRAS Dienst durchgehen und schauen was dort passiert, notfalls auch einen Wireshark auf deine VM gepappt (reicht der Portable) und geschaut ob noch was von dein Router dort ankommt. Vielleicht muss ja nur deine Gegenstelle(n) einfach einen neuen VPN PPTP Tunnel etablieren (sich neu einwählen). Das hängt aber alles von deine gewünschten Konfiguration bei dir (VM usw.) sowie den gegenstellen ab.

Gruß,
Peter
Mitglied: falscher-sperrstatus
falscher-sperrstatus 04.03.2017 um 17:26:56 Uhr
Goto Top
Hallo,

stumpfe Frage, aber warum die VPN auf den Server?

Wenn der Server wandert und du das Low-Cost umsetzt wird natürlich auch die VPN getrennt.

VG