Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst CISCO ASA 5505 Site-To-Site Metrik

Mitglied: AndiStroebi

AndiStroebi (Level 1) - Jetzt verbinden

25.01.2011, aktualisiert 18.10.2012, 5674 Aufrufe, 9 Kommentare

Hallo,

ich habe 2 CISCO ASA 5505 an 2 verschiedenen Standorten. An jedem ASA sind 2 Internetleitungen. Die ASAs stellen einen Site-To-Site Tunnel her was auch perfekt funktioniert. Nun möchte ich es eigentlich so machen das wenn die primäre Internetleitung am ASA ausfällt das dann die andere Leitung genommen wird bzw. auch wenn er keine Verbindung über die primäre Internetverbindung des gegenüber nicht mehr herstellen kann das er dann versuch über die andere Verbindung sich zu verbinden.

Ist das möglich?

Gruß AndiStroebi
Mitglied: aqui
25.01.2011 um 14:41 Uhr
Eigentlich ganz einfach mit OSPF und ECMP: Du lässt 2 Tunnel laufen über die beiden Internetleitungen die jeweils ein anderes Transit IP Netz im Tunnel fahren. Dann aktivierst du ein dynamische Routing Protokoll wie OSPF auf den Tunnelstrecken bzw. lokalen LANs...fertig.
Damit fängst du sowohl Interface Probleme (Hardware) als auch Connectivity Probleme innerhalb des Providers (Linkausfälle) ab. Sinnvoll wäre dann natürlich die 2te Leitung über einen alternativen Provider laufen zu lassen.
OSPF sorgt mit seinen Protokoll Mechanismen automatisch für einen Failover auf den alternativen Link nach max. 6 Sek. Ausfallzeit. Und noch ein Goodie on top:
Wenn beide Leitungen die gleiche Cost haben, macht OSPF dann ECMP über diese Leitungen auf Basis der Ziel IP Netze oder der IP Hostadressen (per Konfig einstellbar), je nachdem was Sinn macht bei dir. (Viele Hosts oder viele Netze oder beides)
Hat den Vorteil das der 2te Link nicht einfach nur sinnlos rumdümpelt sondern aktiv mit gegenseitigem Failover genutzt wird zur Bandbreiten Ausnutzung.
Das ist in 10 Minuten per Konfig auf der ASA eingerichtet.
Bitte warten ..
Mitglied: AndiStroebi
26.01.2011 um 23:19 Uhr
danke für die schnelle Antwort, dann werde ich das mal versuchen.
Bitte warten ..
Mitglied: AndiStroebi
29.01.2011 um 19:15 Uhr
leider gibt es gerade schon bei den Grundlagen ein Problem.

Ich habe in den Interfaces für die Interverbindungen über ASDM PPPOE eingerichtet und bis jetzt war im ersten immer die option \"Obtain default route using PPPoE\" aktiviert. Jetzt wo ich die 2. Interverbindung angeschlossen habe, stehe ich vor dem Problem das ich ja nur eine route haben kann.

Es soll so sein das die 1. Verbindung nur für VPN ist und die 2. Verbindung für das surfen der User im Internet und als Ausfallverbindung für VPN wenn die 1. ausfällt.

Ich wollte jetzt vorerst es so zum laufen bringen wie ich es gerade beschrieben habe und dann die Ausfallsicherheit einbauen.

Wenn ich bei beiden Interfaces \"Obtain default route using PPPoE\" aktiviere setzt halt die Verbindung seine Route wo als erstes Online geht und für die andere Verbindung fehlt dann natürlich das richtige Gateway.

Kann mir vielleicht jemand sagen wie das geht?

Gruß AndiStroebi
Bitte warten ..
Mitglied: aqui
29.01.2011, aktualisiert 18.10.2012
OK, auch das ist kein Problem und in 10 Minuten erledigt !
Dafür nutzt du dann Policy based Routing (PBR) auf deinem Cisco.
Wie man das genau einrichtet bei Cisco erklärt dir dieser Thread:
https://www.administrator.de/forum/cisco-router-2-gateways-f%c3%bcr-vers ...

Du musst dann lediglich die ACL erweitern mit den Ports der Dienste die du über den anderen Link routen willst.
Bitte warten ..
Mitglied: AndiStroebi
30.01.2011 um 14:16 Uhr
Danke bringt mich schon mal einen Schritt weiter. Aber an einer Stelle weis ich noch nicht was ich Eintragen muss.

Und nun die PBR Liste die diesen Verkehr der Server auf den T-Interconnect Router bringt:
route-map t-inter permit 10
match ip address 110
set ip next-hop 192.168.13.254 (IP Addresse T-Interconnect Router !)


Da mein ASA direkt an das Modem angeschlossen ist und die Verbindung zum Internet macht bekomme ich das Gateway erst wenn ich mich eingewählt habe und wenn ich es in meinen Tests richtig beobachtet habe ist das Gateway bei jeder Einwahl nicht immer zwingend das gleiche.

Wie muss der Schritt bei mir dann aussehen?
set ip next-hop 192.168.13.254 (IP Addresse T-Interconnect Router !)
Bitte warten ..
Mitglied: aqui
30.01.2011 um 14:23 Uhr
Statt der IP Adresse als next Hop kannst du auch einen Interface Namen eingeben !
Das du ein "?" eingeben kannst um deine Konfig Alternativen zu sehen weisst du schon, oder ??
Bitte warten ..
Mitglied: AndiStroebi
30.01.2011 um 14:27 Uhr
Ja weis ich, leider sind die Geräte in der Firma und da ich bei der Umkonfiguration immer die VPN Verbindung zwischen den Firmen trennen muss möchte ich diesesmal sicher gehen das es funktioniert.

Aber danke für die viele Hilfe.
Bitte warten ..
Mitglied: AndiStroebi
31.01.2011 um 13:50 Uhr
Jetzt bin ich gerade auf dem Gerät, aber leider geht das nicht

ich habe den Parameter IP nicht, sondern nur metric und metric-type
set ip next-hop 192.168.13.254

und im Interface habe ich kein policy sonder nur audit, local und verify
ip policy route-map t-inter

Habe auch bei CISCO auf der Seite nachgeschaut und beim ASA diese Parameter nicht gefunden.

Hast du mir nochmal einen Tip?
Bitte warten ..
Mitglied: aqui
03.02.2011 um 00:23 Uhr
Dann benötigst du auf der ASA eine andere Release oder Featureset. Ohne PBR wirst du das sonst nicht umsetzen können !
Bitte warten ..
Ähnliche Inhalte
Router & Routing

Cisco 5505 kein Internet nach Site-to-Site VPN

gelöst Frage von dz1987Router & Routing3 Kommentare

Hallo, über die Suche habe ich leider zu diesem spezifischen Problem nichts finden können. (Oder ich bin zu blöd) ...

Firewall

Site to Site Tunnel bei Cisco 5505 ist weg

Frage von Christian75Firewall3 Kommentare

Hallo zusammen, ich habe mir hier nun einige Einträge zu dem Thema durchgelesen, habe aber leider noch nicht die ...

Netzwerke

Site-to-Site VPN mit Cisco RV320 und AVM

gelöst Frage von quirmiNetzwerke8 Kommentare

Hallo liebe Admins! :) ich habe momentan folgendes Szenario: Drei Standorte sind mit drei Fritzboxen (2x3370, 1x3270) via VPN ...

Router & Routing

PFSense OpenVPN Site to Site

gelöst Frage von m.reegerRouter & Routing7 Kommentare

Hallo zusammen, ich habe hier gerade ein Site to Site VPN zwischen 2 virtuellen PFSense eingerichtet. Die Folgende Anleitung ...

Neue Wissensbeiträge
Humor (lol)
IoT-Gefahr: Smartes Aquarium leckt!
Information von Lochkartenstanzer vor 2 TagenHumor (lol)3 Kommentare

Moin, Die IoT-Manie hat weitere Opfer gefunden. Ein Casino-Leck durch ein smartes Aquarium: Allerdings haben sie kein Wasser, sondern ...

Router & Routing

Alte Fritzbox 7270 mit VPN und SIP-Telefonie hinter O2 Homebox 6641 als "Modem"

Erfahrungsbericht von the-buccaneer vor 2 TagenRouter & Routing3 Kommentare

Nun war es soweit: Auch O2 hat mich mit VOIP zwangsbeglückt. Heute am Privatanschluss, in 2 Wochen ist das ...

Sicherheit

Ungepatchte Remote Code Execution-Lücke in LG NAS

Information von kgborn vor 3 TagenSicherheit

Nutzt wer LG NAS-Einheiten? In den NAS-Einheiten der LG Network Storage-Einheiten gibt es eine sehr unschöne Schwachstelle, die einen ...

Windows Update

Neue Version KB4099950 NIC Einstellungen gehen verloren

Information von sabines vor 3 TagenWindows Update2 Kommentare

Es ist eine neue Version des KB4099950 verfügbar, die das Problem mit den verlorenen Netzwerkeinstellungen lösen soll. Das Datum ...

Heiß diskutierte Inhalte
Netzwerkgrundlagen
VLAN - Offene Fragen
Frage von KnettenbrechNetzwerkgrundlagen17 Kommentare

Hallo zusammen, ich befasse mich derzeit mit dem Thema VLAN. Hierzu habe ich schon einige Guides gelesen, einschließlich des ...

Netzwerkmanagement
Netzwerkmanagment im Haus mit Switch, Panel und pfsense
gelöst Frage von CorraggiounoNetzwerkmanagement17 Kommentare

hi zusammen, wir sind gerade dabei das ganze Haus bzw. die einzelnen Zimmer mit netzwerkdosen zu versorgen. Vom Keller ...

Google Android
Empfehlung: Android Ortungsapp
gelöst Frage von certifiedit.netGoogle Android13 Kommentare

Guten Morgen, grundsätzlich vorweg, ich wollte mich eben schlau machen, bzgl einer Ortungsapp, welche Androidbasiert einem anderen Androidsmartphone mitteilt, ...

Vmware
Server 2008 r2 vmware terminalserver
Frage von MasterCVmware12 Kommentare

Guten Abend zusammen, ich hoffe , dass einer von euch mir weiterhelfen kann ,bei meinem kack Problem ! Ist ...