Frage zu DHCP, Zugriff auf Modem und DNS bei Multiroute

Moderator: Securepoint

Gesperrt
eny
Beiträge: 15
Registriert: Sa 13.07.2013, 14:24

Frage zu DHCP, Zugriff auf Modem und DNS bei Multiroute

Beitrag von eny »

moin,

hoffe, dass mir jemand mal ein paar Tipps geben kann.

Wir haben folgendes System:
SBS 2011 Standard + ~10 Clients
UTM v10
2x ADSL Telekom

Grob ist alles eingestellt und funktioniert auch, aber mit folgenden Problemen:

1. Sobald ich die zweite DSL Leitung an eth2 anschließe und konfiguriere, meldet der SBS Server einen anderen DHCP Server und schaltet seinen DHCP Dienst ab. Dies macht er nicht, wenn nur an eth0 eine Leitung angeschlossen ist.
DHCP würde ich aber gerne für VPN an lassen.

2. Die Firewall ist im Netz 192.168.0.0, Moden 1 in 192.168.1.0, Modem 2 in 192.168.2.0.
Wie bekomm ich jetzt Zugriff auf die beiden Modems?

3. Das größte Problem: Wenn zwei DSL Leitungen angeschlossen sind, haben wir massive DNS Probleme. Beispiel:
"Nachschlagen von a" -> ~5 Sek
dann
"Nachschlagen von a.b" -> ~5 Sek
dann
"Nachschlagen von b.b" -> ~5 Sek
dann
"Nachschlagen von c.b" -> ~5 Sek

Und dann nach 20 Sekunden baut sich vielleicht mal die Seite auf. Manche funktionieren auch garnicht.

Wie gesagt, dass ich nur, wenn die zweite DSL Leitung angeschlossen und entsprechenden dem Wiki-Eintrag konfiguriert ist.

Als DNS Server unter Servereigenschaften ist die 127.0.0.1 und ein Telekom DNS eingetragen.
Aber auch ohne die beiden Einträge, oder nur einzeln ergibt sich keine Besserung.

Benutzeravatar
Erik
Securepoint
Beiträge: 1480
Registriert: Fr 07.11.2008, 11:50

Beitrag von Erik »

1. DHCP passt zu VPN wie Grießbrei zu saurem Hering.
Wo schreiben wir egtl, dass die VPN-Clients im Tunnel eine IP per DHCP beziehen? So viele Leute, wie das denken...
Entweder es wird eine IP fest zugewiesen (IPSec) oder Sie wird aus dem L2TP-, PPTP- oder SSLVPN-Pool verteilt. In keinem Fall hat der DHCP-Server seine Finger im Spiel.

2. Le Click

3.1. Haben Sie eine Default-Route für die zweite Internet-Leitung angelegt? (Netzwerk -> Netzwerk-Konfiguration -> Routing)
Beachten Sie, dass Sie bei den beiden DSL-Providern den Haken "Default-Route setzen" entfernen und die beiden Routen stattdessen manuell anlegen müssen.

3.2. Existieren für die zweite Internet-Leitung entsprechende Firewall-Regeln/HideNATs? (Firewall -> Portfilter, Firewall -> HideNAT)
Achten Sie auf die korrekten Zonen!

3.3 Antworten die eingetragenen DNS-Server überhaupt, wenn die zweite Leitung verwendet wird?
root-User anlegen, an der SSH-Konsole anmelden, folgenden Befehl ausführen:

Code: Alles auswählen

# tcpdump -i ppp0 -nnp port 53
# tcpdump -i ppp1 -nnp port 53
Sehen Sie nur DNS-Anfragen, aber keine Antworten tragen Sie mal einen anderen DNS-Server ein (Netzwerk -> Server-Einstellungen).
Beachten Sie, dass es eine Weile dauern kann, bis alle DNS-Anfragen zu den neuen Nameservern gehen.

eny
Beiträge: 15
Registriert: Sa 13.07.2013, 14:24

Beitrag von eny »

1. Irgendwie habe ich da in Erinnerung, dass wenn ich den DHCP deaktivere, auch keine VPN Verbindung mehr möglich ist, wenn keine IP beim Client angegeben ist.
Dazu aber noch eine Frage: Ist es möglich das VPN Netz auf das selbe Netz wie das interne zu legen? Sprich VPN und internes Netz 192.168.0.0 oder nicht möglich?

2. Danke :)

3. Alles nach mehrfach jetzt nach Anleitung gemacht und alle Punkte abgearbeitet.
Den tcpdump kann ich leider erst morgen abend machen oder vielleicht sogar erst am Wochenende. Bin dann erst wieder in der Firma.
Aber wie gesagt, eigentlich alles nach Anleitung eingerichtet, Internet funktioniert auch soweit, aber beim ersten Aufrufen von Seiten dauerts ewig bis der DNS reagiert.
Beim zweiten Mal gehts dann zügig.

Benutzeravatar
Erik
Securepoint
Beiträge: 1480
Registriert: Fr 07.11.2008, 11:50

Beitrag von Erik »

eny hat geschrieben:Dazu aber noch eine Frage: Ist es möglich das VPN Netz auf das selbe Netz wie das interne zu legen? Sprich VPN und internes Netz 192.168.0.0 oder nicht möglich?
Das ist möglich, wenn Sie PPTP/L2TP verwenden. Bei IPSec und SSLVPN müssen Sie ein eigenes Subnetz verwenden.

eny
Beiträge: 15
Registriert: Sa 13.07.2013, 14:24

Beitrag von eny »

Also langsam bin ich wirklich am verzweifeln...

Roadwarrior L2TP funzt einwandfrei. Außer ich nutze dafür das interne Netz ab 192.168.0.150.. Bekomme zwar ne Verbindung, aber RDP z.b. geht nicht. 192.168.1.150 geht komplett....
Gibt es irgendeine Möglichkeit, dass der VPN Client das eigene Internet nutzt oder zumindest das der Firewall?

Nächstes Problem: IMAP freigeben für Exchange im internen Netz.
http://wiki.securepoint.de/index.php/Po ... rleitungen Nach dieser Anleitung gemacht, keine Chance... Keine Logmeldung oder sonst was... garnix :rolleyes:

eny
Beiträge: 15
Registriert: Sa 13.07.2013, 14:24

Beitrag von eny »

Also Exchange und IMAP funktioniert nun. Schonmal sehr gut. Die Maske des Servers als Netzobjekt war auf /24, statt /32....

Das einzige ist jetzt noch der Internet Zugriff vom L2TP Netz und das DNS Problem wenn beide ADSL angeschlossen sind.

Benutzeravatar
Erik
Securepoint
Beiträge: 1480
Registriert: Fr 07.11.2008, 11:50

Beitrag von Erik »

Rufen Sie doch einfach mal an und lassen sich ein Ticket erstellen. Dann am besten die Zugangsdaten für die Firewall bereit halten.

eny
Beiträge: 15
Registriert: Sa 13.07.2013, 14:24

Beitrag von eny »

Naja konnte jetzt alles lösen, bis auf das Problem des langsamen Internets wenn beide ADSL Leitungen konfiguriert sind.

Wo könnte ich denn da mal nach dem Fehler suchen wenn ich alles strikt nach der oben verlinkten Anleitung gemacht habe?
Könnte das mit den Zonen zusammenhängen?
Wie gesagt, nur DNS ist langsam nach außen hin, runterladen usw. klappt tadellos.

Benutzeravatar
Erik
Securepoint
Beiträge: 1480
Registriert: Fr 07.11.2008, 11:50

Beitrag von Erik »

Na wenn "nur" DNS langsam ist, tragen Sie doch mal andere DNS-Server ein... Und dann am besten welche, die zuverlässig antworten (das schließt die von Magenta-T aus)

eny
Beiträge: 15
Registriert: Sa 13.07.2013, 14:24

Beitrag von eny »

Ok, werde ich mal testen.
Ich nehm an unter Servereinstellungen?
127.0.0.1 und bspw. 8.8.8.8 dann?

Was mir eingefallen ist...

Wenn ich über VPN was mache, erscheint im Livelog ppp1 als Schnittstelle.
Diese Schnittstelle taucht aber sonst nirgendwo auf.

Jetzt ist es warscheinlich keine gute Idee die Schnittstelle für ADSL Leitung 2 ppp1 zu nennen oder?

eny
Beiträge: 15
Registriert: Sa 13.07.2013, 14:24

Beitrag von eny »

TCP Dump ppp0

Code: Alles auswählen

# tcpdump -i ppp0 -nnp port 53
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ppp0, link-type LINUX_SLL (Linux cooked), capture size 96 bytes
15:59:00.386608 IP 217.91.59.72.21462 > 62.245.150.232.53:  52297 [1au] A? wiki.                          securepoint.de. (48)
15:59:00.429495 IP 62.245.150.232.53 > 217.91.59.72.21462:  52297*- 1/2/2 A[|dom                          ain]
15:59:08.843872 IP 217.91.59.72.50983 > 77.67.63.105.53:  26579 A? wiki.securepo                          int.de. (37)
15:59:08.886138 IP 77.67.63.105.53 > 217.91.59.72.50983:  26579- 0/2/1 (112)
15:59:16.956350 IP 217.91.59.72.52185 > 77.67.63.105.53:  59928 A? wiki.securepo                          int.de. (37)
15:59:16.999086 IP 77.67.63.105.53 > 217.91.59.72.52185:  59928- 0/2/1 (112)
15:59:25.068896 IP 217.91.59.72.51479 > 77.67.63.105.53:  16308 A? wiki.securepo                          int.de. (37)
15:59:25.110786 IP 77.67.63.105.53 > 217.91.59.72.51479:  16308- 0/2/1 (112)
15:59:29.124949 IP 217.91.59.72.51130 > 195.243.137.26.53:  11280 A? wiki.secure                          point.de. (37)
15:59:29.167634 IP 195.243.137.26.53 > 217.91.59.72.51130:  11280- 0/2/1 (112)
15:59:33.179642 IP 217.91.59.72.52790 > 81.91.164.5.53:  5575 A? wiki.securepoin                          t.de. (37)
15:59:33.217079 IP 81.91.164.5.53 > 217.91.59.72.52790:  5575- 0/2/1 (112)
15:59:41.307184 IP 217.91.59.72.52339 > 81.91.164.5.53:  48334 A? wiki.securepoi                          nt.de. (37)
15:59:41.344327 IP 81.91.164.5.53 > 217.91.59.72.52339:  48334- 0/2/1 (112)
15:59:44.349164 IP 217.91.59.72.53182 > 77.67.63.105.53:  45100 A? wiki.securepo                          int.de. (37)
15:59:44.390760 IP 77.67.63.105.53 > 217.91.59.72.53182:  45100- 0/2/1 (112)
15:59:48.405226 IP 217.91.59.72.52698 > 77.67.63.105.53:  44183 A? wiki.securepo                          int.de. (37)
15:59:48.447837 IP 77.67.63.105.53 > 217.91.59.72.52698:  44183- 0/2/1 (112)
15:59:53.475051 IP 217.91.59.72.52352 > 195.243.137.26.53:  21900 A? wiki.securepoint.de. (37)
15:59:53.512121 IP 195.243.137.26.53 > 217.91.59.72.52352:  21900- 0/2/1 (112)
15:59:57.531258 IP 217.91.59.72.53097 > 195.243.137.26.53:  11439 A? wiki.securepoint.de. (37)
15:59:57.568704 IP 195.243.137.26.53 > 217.91.59.72.53097:  11439- 0/2/1 (112)

TCP Dump ppp2

Code: Alles auswählen

# tcpdump -i ppp2 -nnp port 53
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ppp2, link-type LINUX_SLL (Linux cooked), capture size 96 bytes
16:02:10.559374 IP 217.245.236.145.65183 > 216.163.188.153.53:  45622 [1au] A? resolver2.securep.ctmail.com. (57)
16:02:10.759769 IP 216.163.188.153.53 > 217.245.236.145.65183:  45622*- 2/0/0[|domain]
16:02:10.812943 IP 217.245.236.145.63311 > 216.163.188.153.53:  46575 [1au] A? resolver4.securep.ctmail.com. (57)
16:02:11.014372 IP 216.163.188.153.53 > 217.245.236.145.63311:  46575*- 2/0/0[|domain]
16:03:31.701964 IP 217.245.236.145.65170 > 216.239.32.10.53:  32425 [1au] A? safebrowsing.clients.google.com. (60)
16:03:31.734108 IP 216.239.32.10.53 > 217.245.236.145.65170:  32425*- 7/0/0[|domain]
16:03:31.918628 IP 217.245.236.145.9802 > 216.239.32.10.53:  59203 [1au] A? safebrowsing.cache.l.google.com. (60)
16:03:31.950953 IP 216.239.32.10.53 > 217.245.236.145.9802:  59203*- 6/0/0[|domain]

eny
Beiträge: 15
Registriert: Sa 13.07.2013, 14:24

Beitrag von eny »

Noch eine Info:

Wenn ich den DNS Server ausschalte an der FW, bekomme ich ein ähnliches Verhalten.
Auch wenn ich im Nameserver 8.8.8.8 und 8.8.4.4 eintrage.

Benutzeravatar
Erik
Securepoint
Beiträge: 1480
Registriert: Fr 07.11.2008, 11:50

Beitrag von Erik »

Wenn Sie zu zwei PPPoE-Internetverbindungen parallel noch L2TP oder PPTP verwenden wollen, sollten die PPPoE-Interfaces z.b. ppp90 und ppp91 genannt werden. Sonst kann es passieren, dass eine DSL-Leitung ausfällt, ppp1 somit frei ist und der nächste VPN-User dann dieses Interface zugewiesen bekommt.

Zu dem DNS-Problem:
Aus dem tcpdump ist nur zu erkennen, dass die eingetragenen Nameserver antworten. Schauen Sie doch mal auf dem internen Interface der Firewall, ob dort unbeantwortete DNS-Requests zu sehen sind.

Bitte beachten Sie, dass es eine Weile dauert, bis neu eingetragene DNS-Server auch wirklich verwendet werden. Sofort geht es nach eine Reboot.

eny
Beiträge: 15
Registriert: Sa 13.07.2013, 14:24

Beitrag von eny »

Danke, das werde ich mal machen.

Im Log finde ich keine Fehler die auf DNS hindeuten.

Aber man sieht ja im ersten tcpdump, wieviel Zeit dabei vergeht. Das versteh ich nicht.

eny
Beiträge: 15
Registriert: Sa 13.07.2013, 14:24

Beitrag von eny »

So, danke Erik für die Mühen.
Habe einmal einen kompletten Reset durchgeführt und nun funktioniert alles, wie es soll.
Ich hatte wohl bei der ersten Konfiguration zunächst die Erste DSL Leitung eingerichtet, dann Roadwarrior VPN und dann die zweite DSL Leitung. Dadurch ist wohl ppp1 irgendwie doppelt vorhanden gewesen.
Ist aber nur eine Vermutung.

Danke nochmal :)

Gesperrt