mr.error
Goto Top

Externe Erreichbarkeit sicherstellen

Hallo liebe Gemeinde,

wir diskutieren jetzt schon eine ganze weile Abteilungs intern, wie die Ausfallsicherheit unserer externen Erreichbarkeit verbessern können und ich wollte euch einfach mal fragen, ob Ihr noch ein paar erhellende Ideen habt!

Es geht eigentlich "nur" um 3 Dienste, die wir zur Verfügung stellen müssen: Mail, Citrix, VOIP

Die Dienste sind ohne VPN nach außen hin verfügbar und über andere Einschränkungen bzw. Verschlüsselung abgesichert, das soll hier auch nicht das Thema sein.

Es geht darum, wie wir ohne, dass auf den Clients ein Fallback eingetragen wird (zb in den VOIP Telefonen nicht möglich) unsere Erreichbarkeit über 2 Carrier herstellen können.

Für Mails haben wir schon einen Secondary MX hinterlegt, das ist also zumindest eingehend schon mal geregelt. Hat einer von euch Erfahrung wie sowas realisiert werden kann, ohne, dass man Manuell den DNS oder Ähnliches umkonfiguriert?

Vielen Dank schon mal für euren Input!

Beste Grüße,

MR.Error

Content-Key: 321056

Url: https://administrator.de/contentid/321056

Ausgedruckt am: 28.03.2024 um 22:03 Uhr

Mitglied: MrCount
MrCount 15.11.2016 um 16:03:44 Uhr
Goto Top
Servus,

z.B. über die Firewall:

Carrier1 an Port x
Carrier2 an Port y

Firewall so konfigurieren, dass es per default über Carrier1 (Port x)geht, aber wenn dort kein connect ist, dann eben über Carrier2 (Port y)...

So, oder so ähnlich, haben wir das laufen.
Müsste mal bei den Netzwerkern nachfragen, wie das denn genau eingestellt ist, aber das Prinzip sollte passen.
Mitglied: SlainteMhath
SlainteMhath 15.11.2016 um 16:18:14 Uhr
Goto Top
Moin,

wieviel solls denn kosten? face-smile

Der Klassiker - dafür braucht man einen Provider der das unterstützt:
1. 2te Hauszuleitung auf anderer Gebäudeseite
2. Provider muss die 2 Zugänge über 2 POPs/Vermittlungsstellen leiten
3. 2 Router die in unterschiedlichen Brandabschnitten stehen und HSRP (o.Ä.) sprechen und dahinter dann 2 Firewalls im Cluster.

Mit dem Setup "merkt" dann keiner wenn eine der Leitungen/Router/Firewalls weg ist.

lg,
Slainte
Mitglied: Dani
Dani 15.11.2016 aktualisiert um 16:23:49 Uhr
Goto Top
Moin,
spontan fällt mir noch die Ferrari-Lösung ein:
4. Mitglied bei RIPE werden, ein eigenes AS aufbauen und dein neues Subnetz via BGP routen. Somit kannst du über eine beliebige Anzahl von Carrier routen. face-smile


Gruß,
Dani
Mitglied: Mr.Error
Mr.Error 16.11.2016 um 08:19:03 Uhr
Goto Top
Moin Moin!


Zitat von @MrCount:


Firewall so konfigurieren, dass es per default über Carrier1 (Port x)geht, aber wenn dort kein connect ist, dann eben über Carrier2 (Port y)...


Das beträfe nur unsere ausgehenden Verbindung, das ist kein Problem. Das haben wir schon mit einem 2ten kleinen DSL-Laufen, so dass zumindest die Zentrale bei einem Ausfalle einigermaßen Arbeitsfähig bleibt. Es geht mir um eingehende Verbindungen von externen Standorten.

Zitat von @SlainteMhath:

Moin,

wieviel solls denn kosten? face-smile

Der Klassiker - dafür braucht man einen Provider der das unterstützt:
1. 2te Hauszuleitung auf anderer Gebäudeseite

Tatsächlich ist in diesem Fall Geld nicht das größte Problem, da es immer Teurer ist, wenn die gut 100 MAs an den externen Standorten nicht arbeiten können. ;)

Anbindung über 2 Trassen hätten wir gerne gehabt... Dann hätten wir dieses Problem jetzt nicht... Wir haben bereits eine CC-Leitung von der Telekom, allerdings nur über eine Trasse. Eine Zuleitung von der anderen Seite ist absolut nicht drin, das haben wir bereits versucht mit der Telekom zu realisieren. Da kommt alles zusammen, Geologie, keine weitere VS in der nähe und und und...

Am liebsten würde ich komplett über einen weiteren Provider gehen zb. UnityMedia.

Zitat von @Dani:

Moin,
spontan fällt mir noch die Ferrari-Lösung ein:
4. Mitglied bei RIPE werden, ein eigenes AS aufbauen und dein neues Subnetz via BGP routen. Somit kannst du über eine beliebige Anzahl von Carrier routen. face-smile

Ooookay, kenne ich jetzt nicht direkt, schaue ich mir an!

Vielen Dank für den Input! Further Tips are highly appreciated!

Mr.Error
Mitglied: SlainteMhath
SlainteMhath 16.11.2016 um 09:19:24 Uhr
Goto Top
Anbindung über 2 Trassen hätten wir gerne gehabt... [...] Da kommt alles zusammen, Geologie, keine weitere VS in der nähe und und und...
Kenn ich, das Problem face-smile

Wenn du dann aber über einen anderen Kabelanbieter gehst, läuft der auch über die gleiche Trasse, oder?

Ggfs. wäre ein LTE-Backup eine Lösung für dich?
Mitglied: Mr.Error
Mr.Error 16.11.2016 um 09:29:44 Uhr
Goto Top
Zitat von @SlainteMhath:

Anbindung über 2 Trassen hätten wir gerne gehabt... [...] Da kommt alles zusammen, Geologie, keine weitere VS in der nähe und und und...
Kenn ich, das Problem face-smile

Wenn du dann aber über einen anderen Kabelanbieter gehst, läuft der auch über die gleiche Trasse, oder?

Ggfs. wäre ein LTE-Backup eine Lösung für dich?

Nein, zum Glück nicht, es gibt ein großes Wohnhaus direkt um die Ecke in dem UM eine VS hat. Das liegt genau in die andere Richtung face-smile

In LTE Netze rein Routen funktioniert doch nicht oder?

Zu dieser RIPE-Geschichte, kennt da Jemand einen guten Dienstleister mit dem man sich mal Kurzschließen könnte? Bei AS und BGP-Routing bin ich leider nicht ganz so zuhause face-smile
Mitglied: SlainteMhath
SlainteMhath 16.11.2016 um 09:33:57 Uhr
Goto Top
In LTE Netze rein Routen funktioniert doch nicht oder?
Doch sicher. T-* bietet für die CC's auch LTE Backup Optionen an, IIRC
Mitglied: Mr.Error
Mr.Error 16.11.2016 um 15:38:23 Uhr
Goto Top
Hallo nochmal!

Das werde ich mir auch ansehen! Danke!

Ich habe gerade mit unserem VOIP Dienstleister telefoniert, die haben für deren STUN-Server, den wir nutzen einfach zwei A-Records in deren DNS gesetzt. Jetzt bin ich mir grad nicht ganz sicher, kann das auch zb. mit dem Citrix Receiver funktionieren?

Beste Grüße!
Mitglied: Dani
Dani 19.11.2016 um 14:01:04 Uhr
Goto Top
Moin,
Jetzt bin ich mir grad nicht ganz sicher, kann das auch zb. mit dem Citrix Receiver funktionieren?
kann funktonieren, muss es aber nicht. Das Zauberwort heißt hier DNS Round Robin. Wie immer ausprobieren und das Ergebnis dokumentieren.


Gruß,
Dani