Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Redundante Internetanbindung ohne Wechsel der externen IP-Adresse mittels VPN bonding?

Mitglied: Hajama

Hajama (Level 1) - Jetzt verbinden

16.09.2008, aktualisiert 17.09.2008, 10298 Aufrufe, 3 Kommentare

Ziel ist die redundante Anbindung eines Netzwerkes an das Internet über verschiedene ISPs.

Guten Tag!

Für folgende Lage und Lösungsmöglichkeit würe ich über ein Feedback oder alternative Lösungsansätze freuen.

Das Netzwerk ist mit vier verschiedenen Internetzugängen über verschiedene Provider ausgestattet. Die verschiedenen Kanäle sollen im Wesentlichen eine Ausfallsicherheit gewährleisten, aber auch Lastspitzen abfangen.
Wichtigste Nebenbedingung: Es darf von 'außen' nur eine eindeutige IP verwendet werden. Ein wechsel der IP beim Ausfall einer Leitung ist nicht erlaubt, erst recht nicht innerhalb einer Session.

Lösungsansatz:
Alle vier Verbindungen sind derzeit an denen Level-1 FBR-4000 angeschlossen. Diese kann neben LoadBalancing auch VPN-Kanäle zusammenfassen. Als Endpunkt steht ein debian Server mit root-Zugriff bei einem beliebigem "Feld, Wald und Wiesenhoster" zur Verfügung, der ebenfalls diese Kanäle zusammenfasst.
Die IP-Adresse dieses Servers steht nun als externe IP des Netzwerkes zur Verfügung, da sämtlicher Traffic über diese Kiste läuft.

Vorteil dieser Lösung:
+Ausfallsicherheit
+Keine Beeinträchtigung der User im Netzwerk
+von Außen nur eine IP-Adresse unabhängig vom Weg
+Gleichmäßige Nutzung alle Kanäle

Nachteile dieser Lösung:
+internes Netzwerk wird mittels VPN bis in ein externes Rechenzentrum verlegt
+NAT / Firewall nun auf root-Server außerhalb des Netzwerkes
+Internetanbindung abhängig vom externen Rechenzentrum
+Hoher Konfigurationsaufwand

Alternativ zum FBR-4000 steht noch ein Draytek Vigor 3300 bereit, der den FBR-4000 ggfs. ablösen soll da dieser nicht sehr stabil läuft.
Gerne würde ich ein paar Meinungen / Ideen oder auch Erfahrungen zu dieser Thematik sammeln - vielleicht gibt es auch noch einen wesentlich einfacheren Ansatz mittels Proxys o.ä.?

Dank und Gruß,
Hajama
Mitglied: aqui
16.09.2008 um 14:43 Uhr
Du gehst von völlig falschen technischen Vorausetzungen aus bei dem wie du vermutest wie deine vermeintliche Lösung funktionieren soll.
Diese Router, egal ob Level One oder Draytek, können einzig und allein nur ein sessionbasierendes Load Balancing niemals aber ein Load Balancing auf Paket Basis so wie du es vermutest.
Damit ist dein gesamtes Szenario von sich aus schon falsch, denn ein Bündeln von VPN Session (oder auch aller anderen Sessions) ist linkübergreifend technisch gar nicht möglich mit dieser Hardware !
Mal ganz abgesehen das es die Provider auch nicht oder nur extrem selten supporten.

Du hast also immer und in jedem Fall einen Sessionabbruch wenn der Link ausfällt über den diese Session läuft. Die Applikation muss also danach eine komplett neue TCP/UDP Session über einen der verbliebenen Links neu aufbauen.
Damit ist auch klar das deine vermeintliche Bandbreitenerhöhung gar keine ist, sondern lediglich eine Verteilung auf einen der parallelen Links. Eine TCP/UDP Einzelsession ist immer fixiert auf einen festen Link nutzt also niemals mehrere Links wie du denkst.
Fazit: Alle deine vermeintlichen Vorteile wie
+Ausfallsicherheit
+Keine Beeinträchtigung der User im Netzwerk
+von Außen nur eine IP-Adresse unabhängig vom Weg
+Gleichmäßige Nutzung alle Kanäle

sind gar keine weil diese schon von vorn herein gar nicht gegeben sind und auch nicht zu realisieren sind mit dieser Lösung !!

Was du anstrebst ist sowas wie MPPP (Multilink PPP) was paketbasierend ist und auch ein Recovery machen kann sowie für einen Block von Links nur eine virtuelle IP nutzt. Das liegt an der PPP Sesion die auch einen Datenfluss über parallele PPP Links wieder recovern kann.
Sowas ist aber mit Consumer Billighardware wie du sie einsetzt, egal ob Level One oder Draytek, nicht zu realisieren. Das leisten erst Router in einer anderen Preisrange !
Abgesehen davon gibt es so gut wie keinen Provider der das derzeit Consumer Kunden anbietet.
Es sind lediglich einige wenige die MPPP Funktionen Endkunden anbieten und dann auch mit anderen Kosten als ein banaler DSL Anschluss, das ist klar.
Wenn du das wirklich willst solltest du also erstmal deinen Provider fragen ob der oder die das überhaupt unterstützen !!!

Das Thema Proxy fällt bei VPN Sessions sowieso gleich unter den Tisch !
Bitte warten ..
Mitglied: Hajama
16.09.2008 um 17:35 Uhr
Hallo Aqui,

danke für die rasche Antwort.
Leider scheint Deine Auslegung nicht ganz zu dem von mir beschriebenen Szenario zu passen.
Grundsätzlich ist mein Ziel die redundante Anbindung über verschiedene ISPs. Dies schließt auf jeden Fall eine Aggregation der WAN-Anschlüsse aus, es sei denn diese würden alle beim selben Provider liegen, was aber eine Redundanz nicht mehr so sinnvoll erscheinen läßt - es sei denn es geht um Geschwindigkeit (hier aber gehts um Ausfallsicherheit).

Mir geht es hier um eine Lösung der Anbindung, die z.B. über das bonding von VPN-Verbindungen erfolgen kann. Das ist natürlich nicht sehr effizient und aus performance-Gründen eher nicht empfehlenswert, aber darum geht es hier auch nicht.

Die beiden Geräte würde ich beim Preis von rund EUR 500 pro Stück eigentlich nicht in die Kategorie "Consumer Billighardware" einstufen, aber das ist sicher eher eine Frage der subjektiven Bedeutung des Geldes. Mindestens aber der FBR-4000 unterstützt die Aggregation von VPN-Tunneln.

Unter Linux ist dies übrigens sehr einfach mit den tap devices zu lösen, da diese eine "virtuelle" ethernet-Schnittstelle darstellen.

Das Thema Proxy und VPN gehört natürlich nicht zusammen, ggfs. könnte es aber auch eine Lösung zu meiner Aufgabenstellung geben, die nicht mit VPN, sondern mit Proxies arbeitet.

Entscheident ist die Nebenbedingung, die besagt, dass nach "außen" hin nur eine IP-Adresse erscheinen darf. Ansonsten wäre es relativ einfach die Load Balancing Option auf den Routern zu aktivieren.

Nochmal der Hinweis: Es geht hier nicht um Bandbreite. Im Gegenteil ist im Optimalfall die maximale Bandbreite die Duchschnittsbandbreite durch alle Kanäle, abzüglich dem was durch die VPN Verschlüsselung ggfs. noch verloren geht.

Trotzdem nochmal vielen Dank für die Antwort.

Gruß,
Hajama
Bitte warten ..
Mitglied: aqui
17.09.2008 um 09:54 Uhr
Deine Aussage: "Grundsätzlich ist mein Ziel die redundante Anbindung über verschiedene ISPs. Dies schließt auf jeden Fall eine Aggregation der WAN-Anschlüsse aus..."

Stimmt ja so nicht ! Wie kommst du darauf das das eine Aggregierung der WAN Anschlüsse ausschliesst ???
Das ist ja gerade der tiefere Sinn dieser 2 Port Router !!!

Du kannst eine VPN Session Verteilung auf Round Robin Basis machen oder eben auf Basis der Quell IP Adressen. Damit erreichst du einen optimale Verteilung aller Sessions auf die 2 Links und das auch noch mit gegenseitigem Backup wenn der eine oder der andere Link beim Provider ausfallen sollte !!!

Wo ist also dein Problem ??? Das Szenario macht dann doch alles genau so wie du es willst wenn dein Schwerpunkt auf der Redundanz liegt... ??!!

Warum du 500 Euro für so ein System ausgibst ist auch unverständlich. Die Draytek Systeme haben im Test erheblich besser abgeschnitten als der Level 1 Router und bei einem Strassenpreis von ca. 240 Euro für das grosse Modell (2930) bekommst du 2 Systeme für den Preis eines Systems von Level 1 und das mit einem erheblich besseren Featureset !!!
Bitte warten ..
Ähnliche Inhalte
Router & Routing

VPN(IPSec) mit pfsense, externe IP Adressen sind nicht erreichbar

gelöst Frage von ss140207Router & Routing11 Kommentare

Liebe Community, ich betreibe eine pfsense als Firewall in meinem Heimnetz. Die pfsense befindet sich hinter einem Kabelmodem. Konfiguriert ...

MikroTik RouterOS

MikroTik und externe IP Adressen

gelöst Frage von Chris2272MikroTik RouterOS4 Kommentare

Hallo ;) Ich hab da eine große Bitte bzw. Frage an euch. Wir haben jetzt in der Firma eine ...

DNS

Nameserver externe IP Adresse Ändern

Frage von D-LineDNS3 Kommentare

Guten Tag Zusammen Wir betreiben in unserer Umgebung zwei eigene Namserver (ns1 & ns2, beide Microsoft DNS). Nun steht ...

Windows Netzwerk

Mehrere Server mit einer externen IP Adresse

Frage von technikdealerWindows Netzwerk7 Kommentare

Hay Ihr. Ich hab da mal wieder ne Frage. Ich habe ein Exchange, ein Remotegateway und ein Sharepoint. Alle ...

Neue Wissensbeiträge
Humor (lol)
IoT-Gefahr: Smartes Aquarium leckt!
Information von Lochkartenstanzer vor 18 StundenHumor (lol)3 Kommentare

Moin, Die IoT-Manie hat weitere Opfer gefunden. Ein Casino-Leck durch ein smartes Aquarium: Allerdings haben sie kein Wasser, sondern ...

Router & Routing

Alte Fritzbox 7270 mit VPN und SIP-Telefonie hinter O2 Homebox 6641 als "Modem"

Erfahrungsbericht von the-buccaneer vor 1 TagRouter & Routing3 Kommentare

Nun war es soweit: Auch O2 hat mich mit VOIP zwangsbeglückt. Heute am Privatanschluss, in 2 Wochen ist das ...

Sicherheit

Ungepatchte Remote Code Execution-Lücke in LG NAS

Information von kgborn vor 1 TagSicherheit

Nutzt wer LG NAS-Einheiten? In den NAS-Einheiten der LG Network Storage-Einheiten gibt es eine sehr unschöne Schwachstelle, die einen ...

Windows Update

Neue Version KB4099950 NIC Einstellungen gehen verloren

Information von sabines vor 1 TagWindows Update2 Kommentare

Es ist eine neue Version des KB4099950 verfügbar, die das Problem mit den verlorenen Netzwerkeinstellungen lösen soll. Das Datum ...

Heiß diskutierte Inhalte
Sicherheit
Verbindliche Zustellung per E-Mail?
Frage von ahussainSicherheit18 Kommentare

Hallo allerseits, ein Kunde von mir nutzt intensiv Fax. Hauptgrund: zusammen mit einer Empfangsbestätigung ist eine verbindliche Zustellung gewährleistet. ...

Sonstige Systeme
Wie Normenkataloge im Unternehmen bereit stellen?
Frage von MuzzepuckelSonstige Systeme14 Kommentare

Hallo Kollegen, ich lese schon lange hier mit, nun mein ersrer Beitrag, bzw. Frage. :-) Wir benötigen für unsere ...

Linux Netzwerk
Raspberry Pi 3: WLAN Power save deaktivieren
Frage von nordie92Linux Netzwerk13 Kommentare

Moin moin, mein Raspberry Pi 3 Model B benötigt eine dauerhaft aktive WLAN-Verbindung. Leider bricht die WLAN-Verbindung nach einigen ...

SAN, NAS, DAS
Entscheidung SAN Dell oder HP
Frage von VincorSAN, NAS, DAS13 Kommentare

Hallo, wir wollen uns für unsere Hyper V Umgebung eine neue SAN Anschaffen. Es laufen 30 VM's darunter, DC; ...