3
Redundante Internetanbindung ohne Wechsel der externen IP-Adresse mittels VPN bonding?
Ziel ist die redundante Anbindung eines Netzwerkes an das Internet über verschiedene ISPs.
Guten Tag!
Für folgende Lage und Lösungsmöglichkeit würe ich über ein Feedback oder alternative Lösungsansätze freuen.
Das Netzwerk ist mit vier verschiedenen Internetzugängen über verschiedene Provider ausgestattet. Die verschiedenen Kanäle sollen im Wesentlichen eine Ausfallsicherheit gewährleisten, aber auch Lastspitzen abfangen.
Wichtigste Nebenbedingung: Es darf von 'außen' nur eine eindeutige IP verwendet werden. Ein wechsel der IP beim Ausfall einer Leitung ist nicht erlaubt, erst recht nicht innerhalb einer Session.
Lösungsansatz:
Alle vier Verbindungen sind derzeit an denen Level-1 FBR-4000 angeschlossen. Diese kann neben LoadBalancing auch VPN-Kanäle zusammenfassen. Als Endpunkt steht ein debian Server mit root-Zugriff bei einem beliebigem "Feld, Wald und Wiesenhoster" zur Verfügung, der ebenfalls diese Kanäle zusammenfasst.
Die IP-Adresse dieses Servers steht nun als externe IP des Netzwerkes zur Verfügung, da sämtlicher Traffic über diese Kiste läuft.
Vorteil dieser Lösung:
+Ausfallsicherheit
+Keine Beeinträchtigung der User im Netzwerk
+von Außen nur eine IP-Adresse unabhängig vom Weg
+Gleichmäßige Nutzung alle Kanäle
Nachteile dieser Lösung:
+internes Netzwerk wird mittels VPN bis in ein externes Rechenzentrum verlegt
+NAT / Firewall nun auf root-Server außerhalb des Netzwerkes
+Internetanbindung abhängig vom externen Rechenzentrum
+Hoher Konfigurationsaufwand
Alternativ zum FBR-4000 steht noch ein Draytek Vigor 3300 bereit, der den FBR-4000 ggfs. ablösen soll da dieser nicht sehr stabil läuft.
Gerne würde ich ein paar Meinungen / Ideen oder auch Erfahrungen zu dieser Thematik sammeln - vielleicht gibt es auch noch einen wesentlich einfacheren Ansatz mittels Proxys o.ä.?
Dank und Gruß,
Hajama
Für folgende Lage und Lösungsmöglichkeit würe ich über ein Feedback oder alternative Lösungsansätze freuen.
Das Netzwerk ist mit vier verschiedenen Internetzugängen über verschiedene Provider ausgestattet. Die verschiedenen Kanäle sollen im Wesentlichen eine Ausfallsicherheit gewährleisten, aber auch Lastspitzen abfangen.
Wichtigste Nebenbedingung: Es darf von 'außen' nur eine eindeutige IP verwendet werden. Ein wechsel der IP beim Ausfall einer Leitung ist nicht erlaubt, erst recht nicht innerhalb einer Session.
Lösungsansatz:
Alle vier Verbindungen sind derzeit an denen Level-1 FBR-4000 angeschlossen. Diese kann neben LoadBalancing auch VPN-Kanäle zusammenfassen. Als Endpunkt steht ein debian Server mit root-Zugriff bei einem beliebigem "Feld, Wald und Wiesenhoster" zur Verfügung, der ebenfalls diese Kanäle zusammenfasst.
Die IP-Adresse dieses Servers steht nun als externe IP des Netzwerkes zur Verfügung, da sämtlicher Traffic über diese Kiste läuft.
Vorteil dieser Lösung:
+Ausfallsicherheit
+Keine Beeinträchtigung der User im Netzwerk
+von Außen nur eine IP-Adresse unabhängig vom Weg
+Gleichmäßige Nutzung alle Kanäle
Nachteile dieser Lösung:
+internes Netzwerk wird mittels VPN bis in ein externes Rechenzentrum verlegt
+NAT / Firewall nun auf root-Server außerhalb des Netzwerkes
+Internetanbindung abhängig vom externen Rechenzentrum
+Hoher Konfigurationsaufwand
Alternativ zum FBR-4000 steht noch ein Draytek Vigor 3300 bereit, der den FBR-4000 ggfs. ablösen soll da dieser nicht sehr stabil läuft.
Gerne würde ich ein paar Meinungen / Ideen oder auch Erfahrungen zu dieser Thematik sammeln - vielleicht gibt es auch noch einen wesentlich einfacheren Ansatz mittels Proxys o.ä.?
Dank und Gruß,
Hajama
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 97057
Url: https://administrator.de/contentid/97057
Printed on: April 23, 2024 at 15:04 o'clock
3 Comments
Latest comment
Du gehst von völlig falschen technischen Vorausetzungen aus bei dem wie du vermutest wie deine vermeintliche Lösung funktionieren soll.
Diese Router, egal ob Level One oder Draytek, können einzig und allein nur ein sessionbasierendes Load Balancing niemals aber ein Load Balancing auf Paket Basis so wie du es vermutest.
Damit ist dein gesamtes Szenario von sich aus schon falsch, denn ein Bündeln von VPN Session (oder auch aller anderen Sessions) ist linkübergreifend technisch gar nicht möglich mit dieser Hardware !
Mal ganz abgesehen das es die Provider auch nicht oder nur extrem selten supporten.
Du hast also immer und in jedem Fall einen Sessionabbruch wenn der Link ausfällt über den diese Session läuft. Die Applikation muss also danach eine komplett neue TCP/UDP Session über einen der verbliebenen Links neu aufbauen.
Damit ist auch klar das deine vermeintliche Bandbreitenerhöhung gar keine ist, sondern lediglich eine Verteilung auf einen der parallelen Links. Eine TCP/UDP Einzelsession ist immer fixiert auf einen festen Link nutzt also niemals mehrere Links wie du denkst.
Fazit: Alle deine vermeintlichen Vorteile wie
+Ausfallsicherheit
+Keine Beeinträchtigung der User im Netzwerk
+von Außen nur eine IP-Adresse unabhängig vom Weg
+Gleichmäßige Nutzung alle Kanäle
sind gar keine weil diese schon von vorn herein gar nicht gegeben sind und auch nicht zu realisieren sind mit dieser Lösung !!
Was du anstrebst ist sowas wie MPPP (Multilink PPP) was paketbasierend ist und auch ein Recovery machen kann sowie für einen Block von Links nur eine virtuelle IP nutzt. Das liegt an der PPP Sesion die auch einen Datenfluss über parallele PPP Links wieder recovern kann.
Sowas ist aber mit Consumer Billighardware wie du sie einsetzt, egal ob Level One oder Draytek, nicht zu realisieren. Das leisten erst Router in einer anderen Preisrange !
Abgesehen davon gibt es so gut wie keinen Provider der das derzeit Consumer Kunden anbietet.
Es sind lediglich einige wenige die MPPP Funktionen Endkunden anbieten und dann auch mit anderen Kosten als ein banaler DSL Anschluss, das ist klar.
Wenn du das wirklich willst solltest du also erstmal deinen Provider fragen ob der oder die das überhaupt unterstützen !!!
Das Thema Proxy fällt bei VPN Sessions sowieso gleich unter den Tisch !
Diese Router, egal ob Level One oder Draytek, können einzig und allein nur ein sessionbasierendes Load Balancing niemals aber ein Load Balancing auf Paket Basis so wie du es vermutest.
Damit ist dein gesamtes Szenario von sich aus schon falsch, denn ein Bündeln von VPN Session (oder auch aller anderen Sessions) ist linkübergreifend technisch gar nicht möglich mit dieser Hardware !
Mal ganz abgesehen das es die Provider auch nicht oder nur extrem selten supporten.
Du hast also immer und in jedem Fall einen Sessionabbruch wenn der Link ausfällt über den diese Session läuft. Die Applikation muss also danach eine komplett neue TCP/UDP Session über einen der verbliebenen Links neu aufbauen.
Damit ist auch klar das deine vermeintliche Bandbreitenerhöhung gar keine ist, sondern lediglich eine Verteilung auf einen der parallelen Links. Eine TCP/UDP Einzelsession ist immer fixiert auf einen festen Link nutzt also niemals mehrere Links wie du denkst.
Fazit: Alle deine vermeintlichen Vorteile wie
+Ausfallsicherheit
+Keine Beeinträchtigung der User im Netzwerk
+von Außen nur eine IP-Adresse unabhängig vom Weg
+Gleichmäßige Nutzung alle Kanäle
sind gar keine weil diese schon von vorn herein gar nicht gegeben sind und auch nicht zu realisieren sind mit dieser Lösung !!
Was du anstrebst ist sowas wie MPPP (Multilink PPP) was paketbasierend ist und auch ein Recovery machen kann sowie für einen Block von Links nur eine virtuelle IP nutzt. Das liegt an der PPP Sesion die auch einen Datenfluss über parallele PPP Links wieder recovern kann.
Sowas ist aber mit Consumer Billighardware wie du sie einsetzt, egal ob Level One oder Draytek, nicht zu realisieren. Das leisten erst Router in einer anderen Preisrange !
Abgesehen davon gibt es so gut wie keinen Provider der das derzeit Consumer Kunden anbietet.
Es sind lediglich einige wenige die MPPP Funktionen Endkunden anbieten und dann auch mit anderen Kosten als ein banaler DSL Anschluss, das ist klar.
Wenn du das wirklich willst solltest du also erstmal deinen Provider fragen ob der oder die das überhaupt unterstützen !!!
Das Thema Proxy fällt bei VPN Sessions sowieso gleich unter den Tisch !
Hallo Aqui,
danke für die rasche Antwort.
Leider scheint Deine Auslegung nicht ganz zu dem von mir beschriebenen Szenario zu passen.
Grundsätzlich ist mein Ziel die redundante Anbindung über verschiedene ISPs. Dies schließt auf jeden Fall eine Aggregation der WAN-Anschlüsse aus, es sei denn diese würden alle beim selben Provider liegen, was aber eine Redundanz nicht mehr so sinnvoll erscheinen läßt - es sei denn es geht um Geschwindigkeit (hier aber gehts um Ausfallsicherheit).
Mir geht es hier um eine Lösung der Anbindung, die z.B. über das bonding von VPN-Verbindungen erfolgen kann. Das ist natürlich nicht sehr effizient und aus performance-Gründen eher nicht empfehlenswert, aber darum geht es hier auch nicht.
Die beiden Geräte würde ich beim Preis von rund EUR 500 pro Stück eigentlich nicht in die Kategorie "Consumer Billighardware" einstufen, aber das ist sicher eher eine Frage der subjektiven Bedeutung des Geldes. Mindestens aber der FBR-4000 unterstützt die Aggregation von VPN-Tunneln.
Unter Linux ist dies übrigens sehr einfach mit den tap devices zu lösen, da diese eine "virtuelle" ethernet-Schnittstelle darstellen.
Das Thema Proxy und VPN gehört natürlich nicht zusammen, ggfs. könnte es aber auch eine Lösung zu meiner Aufgabenstellung geben, die nicht mit VPN, sondern mit Proxies arbeitet.
Entscheident ist die Nebenbedingung, die besagt, dass nach "außen" hin nur eine IP-Adresse erscheinen darf. Ansonsten wäre es relativ einfach die Load Balancing Option auf den Routern zu aktivieren.
Nochmal der Hinweis: Es geht hier nicht um Bandbreite. Im Gegenteil ist im Optimalfall die maximale Bandbreite die Duchschnittsbandbreite durch alle Kanäle, abzüglich dem was durch die VPN Verschlüsselung ggfs. noch verloren geht.
Trotzdem nochmal vielen Dank für die Antwort.
Gruß,
Hajama
danke für die rasche Antwort.
Leider scheint Deine Auslegung nicht ganz zu dem von mir beschriebenen Szenario zu passen.
Grundsätzlich ist mein Ziel die redundante Anbindung über verschiedene ISPs. Dies schließt auf jeden Fall eine Aggregation der WAN-Anschlüsse aus, es sei denn diese würden alle beim selben Provider liegen, was aber eine Redundanz nicht mehr so sinnvoll erscheinen läßt - es sei denn es geht um Geschwindigkeit (hier aber gehts um Ausfallsicherheit).
Mir geht es hier um eine Lösung der Anbindung, die z.B. über das bonding von VPN-Verbindungen erfolgen kann. Das ist natürlich nicht sehr effizient und aus performance-Gründen eher nicht empfehlenswert, aber darum geht es hier auch nicht.
Die beiden Geräte würde ich beim Preis von rund EUR 500 pro Stück eigentlich nicht in die Kategorie "Consumer Billighardware" einstufen, aber das ist sicher eher eine Frage der subjektiven Bedeutung des Geldes. Mindestens aber der FBR-4000 unterstützt die Aggregation von VPN-Tunneln.
Unter Linux ist dies übrigens sehr einfach mit den tap devices zu lösen, da diese eine "virtuelle" ethernet-Schnittstelle darstellen.
Das Thema Proxy und VPN gehört natürlich nicht zusammen, ggfs. könnte es aber auch eine Lösung zu meiner Aufgabenstellung geben, die nicht mit VPN, sondern mit Proxies arbeitet.
Entscheident ist die Nebenbedingung, die besagt, dass nach "außen" hin nur eine IP-Adresse erscheinen darf. Ansonsten wäre es relativ einfach die Load Balancing Option auf den Routern zu aktivieren.
Nochmal der Hinweis: Es geht hier nicht um Bandbreite. Im Gegenteil ist im Optimalfall die maximale Bandbreite die Duchschnittsbandbreite durch alle Kanäle, abzüglich dem was durch die VPN Verschlüsselung ggfs. noch verloren geht.
Trotzdem nochmal vielen Dank für die Antwort.
Gruß,
Hajama
Deine Aussage: "Grundsätzlich ist mein Ziel die redundante Anbindung über verschiedene ISPs. Dies schließt auf jeden Fall eine Aggregation der WAN-Anschlüsse aus..."
Stimmt ja so nicht ! Wie kommst du darauf das das eine Aggregierung der WAN Anschlüsse ausschliesst ???
Das ist ja gerade der tiefere Sinn dieser 2 Port Router !!!
Du kannst eine VPN Session Verteilung auf Round Robin Basis machen oder eben auf Basis der Quell IP Adressen. Damit erreichst du einen optimale Verteilung aller Sessions auf die 2 Links und das auch noch mit gegenseitigem Backup wenn der eine oder der andere Link beim Provider ausfallen sollte !!!
Wo ist also dein Problem ??? Das Szenario macht dann doch alles genau so wie du es willst wenn dein Schwerpunkt auf der Redundanz liegt... ??!!
Warum du 500 Euro für so ein System ausgibst ist auch unverständlich. Die Draytek Systeme haben im Test erheblich besser abgeschnitten als der Level 1 Router und bei einem Strassenpreis von ca. 240 Euro für das grosse Modell (2930) bekommst du 2 Systeme für den Preis eines Systems von Level 1 und das mit einem erheblich besseren Featureset !!!
Stimmt ja so nicht ! Wie kommst du darauf das das eine Aggregierung der WAN Anschlüsse ausschliesst ???
Das ist ja gerade der tiefere Sinn dieser 2 Port Router !!!
Du kannst eine VPN Session Verteilung auf Round Robin Basis machen oder eben auf Basis der Quell IP Adressen. Damit erreichst du einen optimale Verteilung aller Sessions auf die 2 Links und das auch noch mit gegenseitigem Backup wenn der eine oder der andere Link beim Provider ausfallen sollte !!!
Wo ist also dein Problem ??? Das Szenario macht dann doch alles genau so wie du es willst wenn dein Schwerpunkt auf der Redundanz liegt... ??!!
Warum du 500 Euro für so ein System ausgibst ist auch unverständlich. Die Draytek Systeme haben im Test erheblich besser abgeschnitten als der Level 1 Router und bei einem Strassenpreis von ca. 240 Euro für das grosse Modell (2930) bekommst du 2 Systeme für den Preis eines Systems von Level 1 und das mit einem erheblich besseren Featureset !!!
