Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

VPN verbindung mit vpn fähigem router hinter 2 vpn unfähigen router

Frage Netzwerke Router & Routing

Mitglied: LeChuck

LeChuck (Level 1) - Jetzt verbinden

21.09.2007, aktualisiert 18.10.2012, 7644 Aufrufe, 6 Kommentare

Ich möchte gerne eine VPN-Verbindung herstellen.
Nun stellt sich mir folgende Frage:

Ich möchte 2 ADSL-Leitungen mit MLPPP zu einer logischen Leitung verbinden (das ist hier aber nicht das problem, das hat sich in der Theorie schon gelöst, da ein MLPPP fähiger Provider gefunden wurde)
Um diese ADSL Leitungen zu bündeln brauche für jede Leitung einen Router (Cisco 1712 Security Access Router in meinem Fall).
Diese Router werden jedoch so konfiguriert, dass Zusatzfunktionen wie VPN nicht mehr möglich sind.
Wenn man jetzt einen anderen VPN-fähigen Router (z.B. auch der Cisco 1712) zwischen den beiden an DSL angeschlossenen Routern und dem LAN anschließt, ist dann wieder eine VPN-Verbindung möglich?
Mitglied: aqui
21.09.2007 um 12:38 Uhr
Da du mit keinem Wort erwähnst was für eine VPN Verbindung (VPN Protokoll !) du realisieren willst kann man diese Frage nicht wirklich umfassend beantworten. Ebenso schreibst du nicht ob dieser Router NAT oder PAT machen was auch einen Einfluss auf die Beantwortung der Frage hat.

Warum du diese Router nicht gleich mit einem Crypto IOS ausstattest und die VPN Terminierung gleich hier machst ist ebenfalls nicht einleuchtetd, denn das wäre die einfachste und technisch beste Variante dieses Szenarios ! Der Satz ...dass Zusatzfunktionen wie VPN nicht mehr möglich sind beraubt dich also dieser technisch gesehen, besten Lösung.

Generell kann man erstmal sagen wenn du NAT oder PAT machst auf dem Cisco zum Provider dann ist ein solches VPN Szenarion nur bedingt möglich, da sich manche VPN Protokolle eben nicht oder nur sehr eingeschränkt revers über NAT/PAT Konfigs übertragen lassen.

Kannst du allerdings transparent routen, d.h. die Router dahinter befinden sich auch in einem öffentlichen IP Segment und erst diese Router machen NAT/PAT zum eigentlichen lokalen LAN, ist so eine VPN Installation problemlos realisierbar.
Warum du dann allerdings 2 extra Router dafür eigentlich sinnloserweise verbrätst bleibt dann unverständlich ?!
Möglicherweise liegt es daran das dein Provider die Zugangsrouter betreust und die die VPNs deshalb dort nicht terminieren willst, sondern auf Systemen die in deinem Zugriffsbereich liegen. In diesem Falle bleibt dir dann keine andere Wahl...das ist richtig !
Bitte warten ..
Mitglied: LeChuck
21.09.2007 um 13:20 Uhr
was heißt hier verbraten? Ich hab diese Lösung von einem MLPPP-Provider. Und die Einstellungen die für die "Kanalbündelung" notwenig sind erlauben halt keine VPN-Funktion auf diesen beiden Routern. Mir bleib im Moment nichts anderes übrig, als diesen Sachverhalt als gegeben anzusehen.

Wenn ich dich jetzt richtig verstehe, würde es also gehen, wenn ich das netz in etwa so aufbauen würde:
01.
                ---|                            |                            | 
02.
                ---|                            |                            |---[MLPPP-Router1]--->>>DSL-Leitung1<<< 
03.
             LAN---|--------[NAT-Router]--------|--------[VPN-Router]--------| 
04.
                ---|                            |                            |---[MLPPP-Router2]--->>>DSL-Leitung2<<< 
05.
                ---|                            |                            |
Bitte warten ..
Mitglied: aqui
21.09.2007 um 13:29 Uhr
Das ist Unsinn, wenn diese Router Cisco Router sind !!! Wer hat dir das erzählt ???
Eine VPN Terminierung auf einem Cisco hat mit einem Multilink PPP Szenario rein gar nichts zu tun und das schliesst sich auch nicht gegenseitig aus !
Deine ASCII Zeichnung ist etwas durcheinenader geraten man kann sie nicht wirklich lesen...sorry
Ich denke mal sie soll so aussehen, oder:

2d28338d27688c783b393883d78a3b1f-mlppp1 - Klicke auf das Bild, um es zu vergrößern

...und das ist die Lösung mit dem VPN System, richtig ?

c5672d592dd59300c32453b55f88f386-mlppp2 - Klicke auf das Bild, um es zu vergrößern


Wie gesagt der 3te VPN Router ist eigentlich überflüssig, denn man kann beides sehr wohl auf den PPP Routern betreiben. Sgar mit IPsec oder PPTP oder was auch immer, das ist bei Cisco nicht abhängig von einer PPP Konfig. Lediglich ein Crypto IOS Image brauchst du auf den Router Systemen, das ist klar. Standard IOS Images können kein VPN realisieren, denn das musst du bei Cisco extra bezahlen ! Vielleicht meinte das dein vermeintlicher Berater ?! Das ist aber ein SW Feature und hat mit der eigentlichen Plattform nichts zu
tun !

Damit ist dann auch eine ganz einfache und presiwerte Variante wie diese hier denkbar:

3e2cb2657f3bb0b297d3f1d45654f4e5-mlppp3 - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: LeChuck
21.09.2007 um 14:04 Uhr
nur noch mal zur sicherheit die frage:
Kann bei deiner Variante mit einem einzigen Router und MLPPP eine Datei aus dem Internet mit voller Bandbreite runtergeladen werden? Also bei z.B. 2x DSL 6000 mit 12 Mbit/s ??
und auf der anderen Seite (im Rechenzentrum) braucht man dann auch nur einen Router mit den selben Einstellungen?
Bitte warten ..
Mitglied: aqui
21.09.2007, aktualisiert 18.10.2012
Ja, technisch gesehen spielt es keine Rolle ob die ML-PPP Verbindung über 2 Interfaces auf einem einzigen Router oder über 2 separate Router erfolgt.
Da Packet Laufzeitunterschiede bei Verwendung eines Routers mit 2 Interfaces wegfallen ist das technisch meist die bessere Lösung. Die 2 Router Variante kann aber auch Sinn machen bei z.B. in Redundanzszenarien (Ausfall). Das macht dann aber wiederum nur Sinn bei getrennter Leitungsführung zum Provider.

Bei Linkaggregierung muss man generell unterscheiden zwischen separaten parallelen Leitungen und ML-PPP Links, da deren Verhalten etwas unterschiedlich ist.
Ein sehr guter Artikel der diese Technik beschreibt ist hier zu finden:

http://www.heise.de/kiosk/archiv/ct/07/18/126_Doppel-DSL
bzw.
http://www.heise.de/kiosk/archiv/ct/07/18/132_Viel_hilft_viel

Kurz gesagt hat MLPPP den Vorteil das dort eine gleichmässige Round Robin Verteilung der einzelnen Packete auch innerhalb einer IP TCP Session auf den Links erfolgt. Die Router auf beiden Enden sorgen dafür das der Packetstrom wieder in der richtigen Reihenfolge zusammengebastelt wird. Hier ist aber zwingende Voraussetzung das:
a.) Der Provider sowas überhaupt supportet !
b.) Deine Hardware Multilink PPP supportet

Bei a.) machen das nur sehr sehr wenige Provider und man muss es zudem noch extra bezahlen sofern man einen findet. Bei b.) können das nur sehr wenige Router da es im Consumer DSL Bereich so gut wie nie gefordert wird oder Consumer User mit der Einrichtung schlicht überfordert sind. Auch ein Grund für a.)

Im Consumer Bereich werden dann meist 2 separate DSL Links über Link Loadbalancing zusammengefasst. Details dazu kannst du hier genauer nachlesen:

http://www.administrator.de/forum/zwei-internetanschl%c3%bcsse-%c3%bcbe ...

und auch hier:

http://www.administrator.de/forum/dsl-anschlussb%c3%bcndelung-und-vpn-t ...

So oder so verdopplest du niemals deine Bandbreite...wie soll das auch gehen, denn dein Provider taktet dir beide Leitungen physisch ja nur mit 6 Mbit und nicht mit 12 Mbit. Datenpackete fliessen also immer nur mit 6 Mbit über eine Leitung. Du erreichst nur eine Kapazitätsvergrößerung aber nie eine Geschwindigkeitsänderung wie bei einer nativen 12 Mbit Leitung, das ist klar.
Mehr User können also diese Links besser nutzen ohne schnell in Überlast Situationen zu kommen.
In der Tat funktioniert das mit ML-PPP besser als mit einem Linkloadbalancing wie Router wie der Draytek 2950 oder Linksys RV082 das machen.
ML-PPP ist aber das teurere weil aufwendigere Verfahren. Es erfordert den Provider der es supportet und auch eine entsprechende Routerhardware.
Viele Betreiber von Klein- und Kleinstnetzen oder Privatanwender die sowas machen wollen betreiben dann meist das Load Balancing über 2 separate Links da es preiswerter zu realisieren ist aus Sicht der hardware und der Linkkosten.
Nachteil wie gesagt das es weniger effizient ist, was im Privatbereich aber meist nicht so die Rolle spielt....
Bitte warten ..
Mitglied: mali2008
06.04.2008 um 14:24 Uhr
Hallo,

bekomme folgendes nicht hin:

1. FB710 mit DSL 192.168.1.1/24 und xxx.dyndns.org
2. Vigor 2500WE mit VPN - PPTP Tunnel 192.168.1.11/24
3. Testrechner 192.168.1.2/24

PortFW von FBF nach Vigor = 1723 TCP udn alle GRE.

Pingen geht, somit besteht eine intakte Verbindung.
Leider bekomme ich keine VPN Verbindung her, wede über xxx.dyndns.org als auch 192.168.1.11 ( LAN).

Hat jmd Rat????

Gruß - mali
Bitte warten ..
Neuester Wissensbeitrag
CPU, RAM, Mainboards

Angetestet: PC Engines APU 3a2 im Rack-Gehäuse

(1)

Erfahrungsbericht von ashnod zum Thema CPU, RAM, Mainboards ...

Ähnliche Inhalte
Router & Routing
TP-Link Router VPN Verbindung Router Oberfläche nicht erreichbar (3)

Frage von D46505Pl zum Thema Router & Routing ...

Router & Routing
gelöst Zwei Router - Drei Internetanschlüsse - VPN Verbindung (14)

Frage von mcmacca zum Thema Router & Routing ...

Netzwerkmanagement
gelöst Macht eine VPN Verbindung in eine DMZ sinn? (8)

Frage von M.Marz zum Thema Netzwerkmanagement ...

Heiß diskutierte Inhalte
Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (14)

Frage von JayyyH zum Thema Switche und Hubs ...

DSL, VDSL
DSL-Signal bewerten (13)

Frage von SarekHL zum Thema DSL, VDSL ...

Windows Server
Mailserver auf Windows Server 2012 (9)

Frage von StefanT81 zum Thema Windows Server ...