Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Loadbalancing trotz AnyConnect?

Mitglied: DeepThought1

DeepThought1 (Level 1) - Jetzt verbinden

12.01.2015 um 11:08 Uhr, 955 Aufrufe, 7 Kommentare

Hallo,
ich möchte gerne unsere SDSL-Leitung durch eine VDSL-Leitung ergänzen um den Webtraffic auszulagern,
mein Netzwerkbetreuer behauptet jedoch, das es wegen der Cisco AnyConnect-Clients nicht funktioniert. Stimmt das?

Hier mal unser Aufbau (etwas vereinfacht):
Unser internes Netz hängt hinter einem Cluster aus zwei Cisco ASA-5515x (Active/Standby) welcher eine Externe IP hat.
Dieser Cluster stellt den VPN-Endpunkt für die AnyConnect Clients da und ist gleichzeitig die Firewall gegenüber dem Internet.
Er stellt für alle Geräte den Gateway zum Internet und zu den Site-by-Site-VPNs da (mehr zu denen unten).
Über zwei "Transfer"-Switche ist der Cluster mit dem Providerrouter verbunden, der uns die Externen IPs zur Verfügung stellt.
Der Providerrouter ist redundant mit einer SDSL-Leitung (über mehrere "Telefonkabel") angebunden,
daher möchten wir diese auch gerne zunächst als "Fallback" nutzen aber später ggf. auch ersetzen.
Falls sich die Leitungen aktiv kombinieren ließen wäre es natürlich noch schöner.

Zugriff auf den Providerrouter haben wir nicht, er ist für uns transparent. Welche Protokolle er spricht weiß ich nicht.
Ein standard PC mit fester IP direkt an den Provider-Router gesteckt, kommt mit einer IP aus dem Bereich der zugewiesenen öffentlichen IPs und googles DNS ohne weitere Einstellungen/Software online.


Die Site-by-Site-VPNs werden über ein Cluster aus zwei Cisco 2911 realisiert die ebenfalls mit dem ASA-Cluster über die Transferswitche verbunden sind.
Die Site-to-Site-VPNs sind redundat ausgelegt und nutzen primär eine seperate SDSL-Leitung und sekundär eine DSL-Leitung mit
jeweils festen IPs.
Dieser Teil soll unangetastet bleiben, da er absolut stabiel läuft und hier ausschließlich der Traffic zu den Außenstandorten über läuft.

Das interne Netz ist komplett flach gehalten, hier gibt es keine V-LANs und kein weiteres Routing.
Lediglich die Aussenstandorte welche über die Site-to-Site-VPNs angebunden sind haben eine anderes Subnet (192.168.1.X, 192.168.2.X, 192.168.3.X, ... /24) damit das Routing (auf dem ASA-Cluster) überhaupt möglich ist.


Mein Netzwerkbetreuer behauptet nun es sei NICHT damit getan einen einfachen "Loadbalancer" zwischen Providerrouter
und Transferswitch zu schalten, da dann die AnyConnect-Verbindungen nicht mehr Zustande kommen würden.
Grob hat er es mir damit erklärt das Ziel-IP und Quell-IP der Verbindung dann nicht gleich seien. Ein "rausfiltern" und "festzurren" der AnyConnect-Pakete auf eine Route sei angeblich auch nicht möglich, da der Loadbalancer beim Versenden nicht erkennen könne ob es normaler Webrtaffic oder AnyConnect-Traffic sei.

Kann das angehen? Fachliche Inkompetenz bezweifle ich bei dem Unternehmen stark, eher das da einer zu kompliziert denkt. Hat da jemand einen Denkanstoß für uns/ihn?

edit:
Nachdem er lange behauptet hat es sei nicht möglich möchte er nun mehrere neue Geräte anschaffen sowie einen Komplettumbau der Logik durchführen (in der Größenordnung um 8.000€), ein konkretes Angebot steht noch aus. Ist das realistisch?




Mitglied: user217
12.01.2015 um 11:44 Uhr
Ich kann mir ganz gut vorstellen das es ein Problem ist diese Pakete zu identifizieren und an die richtige Internetleitung weiterzugeben.
Da der VPN Client mehrere Protokolle und Ports benutzt muss dieser an der Firewall genau definiert sein um diese richtig einordnen zu können.
Wie wäre die alternative einen extra Router für die Neue Leitung anzuschaffen und per QOS den Webtraffic an diesen zu senden. Ich habe sowas noch nicht gemacht, könnte mir aber vorstellen das es klappen würde.
Bitte warten ..
Mitglied: DeepThought1
12.01.2015 um 12:18 Uhr
Zitat von user217:

Wie wäre die alternative einen extra Router für die Neue Leitung anzuschaffen und per QOS den Webtraffic an diesen zu
senden.

Der AnyConnect Traffic ist meines Wissens nach "normaler" httpS (SSL) Traffic, also würde auch der raus sortiert werden weswegen dann wieder keine Verbindung zu Stande kommen würde.
Bitte warten ..
Mitglied: user217
12.01.2015 um 14:01 Uhr
hmmm das Thema ist echt tricky, ich stand schon mal vor dem gleichen Problem..
Hast du schon mal die Cisco Hotline dazu kontaktiert - die sollten doch für so eine Problemstellung theoretisch was im Schubladen haben.
Ansonsten such mal nach Paket shaper evtl. hilft dir sowas weiter
Bitte warten ..
Mitglied: Dani
12.01.2015 um 23:25 Uhr
Guten Abend,
einen groben Netzwerkplan hast zufällig nicht zur Hand?
D.h. für deine Frage primär geht es um die SDSL und VDSL-Leitung? Damit hast du zwei unterschiedliche öffentliche IP-Adressen(subnetze). Wie willst du mit dieser Vorraussetzung Loadbalancing machen?

Grundsätzlich würde ich dir empfehlen euer ISP - Design überdenken. Zu viele Leitungen, zu viele Router, zu viele Fehlerquellen. Euere Internetleitungen werden wahrscheinlich im Jahresschnitt keine 50% Auslastung haben. Ich würde mir einen ISP ins Haus holen mit einer redudanten Anbindung (Active Active) mit Load Sharing/Load Balancing mieten. Somit findet die Verteilung auf der Providerseite statt und du hast keinen Aufwand.


Gruß,
Dani
Bitte warten ..
Mitglied: user217
13.01.2015 um 12:22 Uhr
ich würde mir auf Dani's ansatz hin mal Multilink PPP ansehen. Ich will keine Werbung machen aber habe sehr gute Erfahrungen mit RH TEC gemacht die bieten das an und es lief 100% einwandfrei über Jahre! was ich sonst kaum erlebt habe..
Bitte warten ..
Mitglied: DeepThought1
13.01.2015 um 16:17 Uhr
Danke für Eure Antworten!

Wir möchten gerne über mindestens zwei verschiedene Provider gehen um nicht komplett offline zu sein falls bei einem was passiert, das hat uns leider die Vergangenheit gelehrt gerade weil wir auch Filialen im Ausland haben und da gelegentlich beim Routing über die Grenze Probleme bei den dortigen Providern zu einzelnen hiesigen Providern auftreten.
Das damit kein richtiges Loadbalancing/MLPPP möglich ist, ist mir klar. Ein aufsplitten der Daten würde völlig ausreichen.
z.B.:
Web + Mail primär über A,
AnyConnect primär über B,
B als Fallback für A und ggf anders herum

Das ich dann ggf. einen Engpass im Ernstfall hab, wäre Ok, denn der ist jetzt leider Standard.

Da wir Ladengeschäfte haben ist unser Traffic (fast) nur in den gängigen Öffnungszeiten relevant, wobei Mittags durch die Pausen ca. 15% mehr gesurft wird.

Momentan haben wir:
*2MBit SDSL für Site2Site-VPNs (Download etwa zur Hälfte ausgelastet, Upload ca 60%)
*eine 16.000er DSL als Backup fürs Site2Site-VPNs (ist zwar langsam wenn es alle nutzen, aber OK und meist sind es nur einzelne Filialen mit Wartungsarbeiten)
*4Mbit SDSL für AnyConnect+Internet (Download etwa 2Mbit im Schnitt, aber auch sehr lange Peaks von bis zu 20min bei 100%;
Upload etwa konstant bei 30%)

Die Peaks treten natürlich zur Hauptgeschäftszeit auf was nervt, daher sollen die weg.

Wegen eines Netzplans schau ich nochmal, den muss ich erst mal von public IPs usw. befreien. ;)
Bitte warten ..
Mitglied: Dani
13.01.2015 um 20:02 Uhr
Wir möchten gerne über mindestens zwei verschiedene Provider gehen um nicht komplett offline zu sein falls bei einem was passiert,
Dann hast du den falschen Provider. Wir haben seit über 8 Jahren die DTAG und bisher hat die Backupleitung noch nie versagt.

Web + Mail primär über A,
AnyConnect primär über B,
B als Fallback für A und ggf anders herum
Fallback für Mail und Web sollte sich mit der richtigen Firewallkonfiguration und MX-Records erschlagen lassen. Das sollte eurer Netzwerker im Schalfen hinbekommen.
Bei Anyconnect müsstest du gerade mehrere IP-Adressen bzw. ein weiteres Profil anlegen, dass der Benutzer dann bei nicht funktionieren nimmt. Aber das ist je nach Useranzahl ein höherer Wartungsaufwand.

Die Peaks treten natürlich zur Hauptgeschäftszeit auf was nervt, daher sollen die weg.
Mit dem richtigen Design und QoS kein Problem. Machen wir ähnlich.


Gruß,
Dani
Bitte warten ..
Ähnliche Inhalte
Exchange Server
Exchange 2013 Loadbalancing
gelöst Frage von BirdyBExchange Server5 Kommentare

Hallo zusammen, ich habe heute zur Evaluierung mal PRTG als Monitoring-Lösung installiert und ein bisschen damit herumgespielt. Dabei ist ...

LAN, WAN, Wireless
Loadbalancing über zwei LAN-Karten
Frage von NF112-deLAN, WAN, Wireless11 Kommentare

Hallo zusammen, folgende Situation: Ich besitze zwei DSL-Zugänge zwecks mehr Geschwindigkeit. An beiden TAL hängt jeweils eine Fritzbox. Nun ...

Netzwerkmanagement
Best-Practice Loadbalancing WebServer
Frage von LorderichNetzwerkmanagement10 Kommentare

Hallo zusammen, ich versuche gerade einen neuen Netzwerkaufbau, allerdings stoße ich an irgendeiner Stelle immer an etwas, dass für ...

LAN, WAN, Wireless

Eine CISCO Anyconnect Verbindung für ganzes Netzwerk

Frage von twicefaceLAN, WAN, Wireless4 Kommentare

Guten Abend allerseits, ich habe eine Frage zu Cisco Anyconnect. Mein Plan ist es die Verbindung zum Host freizugeben ...

Neue Wissensbeiträge
Windows 10

Neue Sicherheitslücke in Windows 10 (Version 1709) durch Google öffentlich geworden

Information von kgborn vor 14 StundenWindows 10

Vor ein paar Tagen haben Googles Sicherheitsforscher vom Projekt Zero eine Sicherheitslücke im Edge-Browser publiziert. Jetzt wurde eine weitere ...

iOS
IOS 11.2.6 verfügbar
Information von sabines vor 19 StundeniOS

Mit dem Update soll der Bug behoben werden, bei dem eine bestimmte Zeichenkette IOS zum Absturz gebracht hat.

Sicherheit
Sicherheitsrisiko: Die Krux mit 7-Zip
Information von kgborn vor 1 TagSicherheit8 Kommentare

Bei vielen Anwendern ist das Tool 7-Zip zum Entpacken von Archivdateien im Einsatz. Die Software ist kostenlos und steht ...

Internet

Datendealing im WWW Tracking Methoden immer brutaler

Information von sabines vor 1 TagInternet

Interessanter Artikel zum Thema Tracking im WWW und die immer "besseren" Methoden des Trackings. Professor Arvind Narayanan (Princeton-Universität) betreibt ...

Heiß diskutierte Inhalte
Router & Routing
LANCOM VPN CLIENT einrichten
Frage von Finchen961988Router & Routing27 Kommentare

Hallo, ich habe ein Problem und hoffe ihr könnt mir helfen, wir haben einen Kunden der hat einen Speedport ...

Windows Server
AD DS findet Domäne nicht, behebbar?
Frage von schapitzWindows Server25 Kommentare

Guten Tag, ich habe bei einem Kunden ein Problem mit den AD DS. Umgebung ist folgende: Windows Server 2016 ...

LAN, WAN, Wireless
VPN Cisco ASA5505 PaloAlto PA-200
gelöst Frage von YannoschLAN, WAN, Wireless22 Kommentare

Hallo zusammen, ich würde gerne ein Site-to-Site VPN zwischen den beiden Standorten aufbauen. PaloAlto PA200 Internetanschluss Deutsche Telekom GK ...

SAN, NAS, DAS
Qnap TS-453S Pro - Anbindung Active Directory
Frage von JuckieSAN, NAS, DAS13 Kommentare

Hallo zusammen, ich habe hier eine Qnap TS-453S Pro die sich mal so absolut gar nicht in das Active ...