2 WAN-Router + Load Balance Router + VPN-Router verknüpfen

HK1 · 3. Mai 2018 um 14:14

Hallo community,

ich habe im Moment folgende Konstellation:

2 WAN-Zugänge mit zwei Routern
Die gehen in einen extra VPN-Router (hier habe ich keinen Zugang, da dies in ein fremdes Rechenzentrum geht!) der als DHCP-Server für die Endgeräte agiert.

Frage 1:
Wieso kann ich auf bestimmte Geräte zugreifen (Drucker, PCs z. B. durch ping) und auf andere nicht (Telefonanlage) obwohl diese im selben IP-Range + Subnetzmaske + Standardgateway liegen?
Also z. B. Drucker mit 192.168.87.103 ist anpingbar. Telefonanlage mit 192.168.87.241 nicht (Zielhost nicht erreicht).

Frage 2:
Die IP des einen WAN-Routers ist 192.168.87.1 den kann ich auch nicht anpingen. Den VPN-Router mit 192.168.87.254 hingegen schon. Wie komme ich an die Weboberfläche der Fritzbox dann ran? Ist das weil der WAN-Router „vor“ dem VPN-Router liegt und der den Zugriff „sperrt“? Die Telefonanlage hängt aber eigentlich „nach“ dem VPN-Router und ist auch nicht anpingbar. Ich check es nicht mehr…

Frage 3:
Und nun wird es spannend
Ich will nun (auch aufgrund dessen, dass ich keinen Zugriff auf den VPN-Router bekommen werde) einen LoadBalancer einbinden. Sprich die zwei WANs in den LoadBalanceRouter einspeisen und dann diesen an den VPN-Router anschließen. Geht das oder kapiere ich VPN nicht?
[Btw: Ich habe die Konstellation ohne VPN-Router bei mir privat am Laufen, funktioniert einwandfrei mit Fallback und addierter Downloadperformance.]

Oje ich glaube es fehlen euch bestimmt noch Infos zur Beantwortung. Bitte nachhaken, falls nötig

Grüße HKö

X_Strom · 3. Mai 2018 um 14:36

Hallo,

manches wird durch eine Skizze einfacher verständlich.

Wenn es um einen VPN Tunnel über zwei paralelle Verbindungen geht, bei der sämtliche Datenpakete frei, immer so wie es der Durchsatz erlaubt, auf beide WAN aufgeteilt wird, so ist das etwas, was VIPRINET schon recht lange macht.
Loadbalancing dagegen ist simpler, jede Session läuft dann immer nur über ein WAN, es erfolgt keine echte Addition der Geschwindigkeiten.

Natürlich muss die Gegenstelle da mitmachen.

Wiz · 4. Mai 2018 um 08:17

Zu Frage 1: Ist denn überhaupt bei den Geräten, die nicht auf ein Ping antworten konfiguriert, dass sie dies tun sollen? Dies kann man nämlich vielfach in den Geräten abschalten/ist ggf. von Hause aus abgeschaltet.

Für den Rest wäre in der Tat eine Skizze gut. Irgendwas stimmt da angesichts des „vor bzw. nach dem VPN-Router“ mit den Netzwerksegmenten zudem vermutlich nicht. Wenn es durch dieses „vor/nach“ mehrere Netzwerksegmente gibt, dann können die nicht die selbe IP-Range und Subnetz-Maske nutzen, sondern dann bräuchte es auf der einen Seite des Routers z.B. ein 192.168.87 Netz und auf der anderen Seite ein 192.168.1 Netz, wobei der Router dann den Vermittler zwischen diesen beiden Segmenten spielt.

X_Strom · 4. Mai 2018 um 08:43

Ich lasse auch mal gerne einen Portscan im Netz laufen, z.B. den hier:

Auch der scannt zunächst nicht alle Ports, findet niemals alle offenen „Türen“.
Zudem erkennen einige Geräte, dass sie mehrmals hintereinander angsprochen werden, jeweils unter einem anderen Port. Das wird dann (i.d.R. zu Recht) als Angriff (->Portscan) gewertet und das Gerät macht komplett „dicht“.

Ein erfolgreicher Ping ist ein hinreichendes, aber nicht notwendiges Kriterium für die Erreichbarkeit eines Netzwerkgerätes!

Wiz · 4. Mai 2018 um 09:04

Mit einem Portscan muss man aber angesichts eines ggf. unsauber konfigurierten Netzes und der VPN-Verbindung vorsichtig sein. Ich denke da gerade an einen Kunden aus Studienzeiten, ein großes Veranstaltungszentrum, das an Start-Amadeus hing. Das waren die Anfangszeiten der IP-Anbindung, und wir hatten da auch gerade ein paar Novell MPR zur Anbindung von Außenstellen über ISDN installiert. Da meinte dann der Admin mal sein neues Spielzeug eines Inventarisierungstools losschicken zu müssen. Das fanden die Leute in Bad Homburg und dem Rest der Republik dann nur begrenzt lustig, und befürchteten einen Einbruch in das bislang so heilige Reisebüro-Netz.

HK1 · 4. Mai 2018 um 20:53

Skizze:

Hi zusammen,

also der Load Balance Router ist noch nicht integriert. Aber das ist das Ziel am Ende.
Die (hell)roten Pfeile beschreiben den aktuellen Zustand.

Die Telefonanlage ist eigentlich auch ein „Endgerät“. Nur wie gesagt nicht anpingbar. Die anderen Endgeräte wie Rechner, Drucker schon.

Wahrscheinlich könnte ich den VPN-Router mal testweise „entfernen“ und die WAN-Router einzeln prüfen.
Dann dürfte ich mit etwas Glück auch Zugriff haben (falls ich das ohne Kenntnisse über die IPs und den DHCP-Zustand erkennen kann).

Grüße HKoe

X_Strom · 5. Mai 2018 um 08:47

Hallo,

den antiken 1722 kann man gegen einen gebrauchten 1781 ersetzen.
Kostet nen 100er.
Den TP-Link dann gleich auch in die Tonne.
Lancom kann schon ewig Loadbalancing und VPN.
Alles weitere geht dann wie von alleine.
Durch einen vorgeschalteten Loadbalancer einen VPN aufbauen geht nur dann problemlos, wenn man dem VPN Tunnel einen festen WAN zuweist.
Und deswegen sollte der bestehende Doppel-WAN Router besser weg.

HK1 · 5. Mai 2018 um 16:34

Hi,

der LANCOM 1722 kann doch auch schon LoadBalancing, oder?
Das Gerät gegen einen 1781 auszutauschen würde hohe Kosten verursachen, weil es eine Fremdfirma machen würde und ich das nicht selbst darf.

Mein Problem ist, dass der Standort kein ordentliches Internet hat.
Sprich ist habe eine teuere SDSL-Leitung mit 2 MBit Up- und Download.
Und dann noch eine ADSL-Leistung mit 16 MBit Download und 1 MBit Upload.
Ich benötige die 2 MBit Upload zwingend, würde aber gerne die 16 MBit Download der ADSL-Leitung nutzen.
Im Moment ist nur die SDSL geschaltet und wird bei Störungen manuell (auf dem VPN-Router durch die Fremdfima) auf die ADSL umgeschaltet. Meine Idee war, dass ich durch den LoadBalancer es hinbekomme, dass ich die SDSL und die ADSL-Leitung kombinieren kann.

Alles Mist ;-(

Ich dachte das funktioniert durch LoadBalancing.

Ich habe jedenfalls durch einen LoadBalancer bei mir privat erreicht, dass ich die beste Uploadgeschwindigkeit der beiden WANs nutzen kann und die Downloadrate sich aus der Summe von WAN1 und WAN2 ergibt!
Konkret habe ich:
WAN1 35 MBit Down und 1 MBit Up.
WAN2 50 MBit Down und 10 MBit Up.

Und durch den LoadBalancer habe ich dann:
85 MBit Down und 10 MBit Up, also beim Down die Summe aus beiden und beim Upload das Maximum der beiden.

Ich weiß, dass dies nicht unbedingt der Theorie entspricht (LoadBalancing vs. Viprinet …) aber das sind die Ergebnisse der Geschwindigkeitsmessungen. Das schreibt auch ein anderer User bei Amazon bei der Bewertung des tp-link TL-R470T+.

Die Frage ist nun ob die Fremdfirma den LANCOM 1722 eigentlich mit LoadBalancing einstellen könnte oder nicht.
Oder ob das nichts bringt. Oder könnte das der 1781 dann besser?

Merci und ein schönes Wochenende!!!

X_Strom · 5. Mai 2018 um 23:45

Hallo,

deine Geschwindigkeitsmessungen kommen daher, dass der Speedtest mehrere Sessions aufmacht.
Speedtest.net macht das zum Beispiel, hatte ich selber soi getestet.

Gegen den 1722 spricht schlichtweg sein Alter.
Das Produkt ist „end of life“, das letzte Firmwarerelease stammt von Januar 2016, es wurde bis 2014 gebaut und wurde 2006 das erste mal verkauft.

Ja, auch der kann Loadbalancing.
Und VPN über einen Loadbalancer geht wohl auch gar nicht so schwer:

https://www2.lancom.de/kb.nsf/1275/9F8D41E96211DBADC12570C00046B505?OpenDocument
Ich habs nur kurz überflogen, im Prinzip werden zwei Tunnel gebohrt und diese dann zusammengefasst.

Anderer Ansatz:
16/1 MBit DSL ist wohl ein Annex B Anschluss.
Würde man den auf Annex J, etwa Telekom All-IP umstellen, so hätte man dann 16/2 MBit/s DSL.