9
TMG ISP-Redundanz switcht bei Ausfall nicht automatisch um
Hi!
Folgendes Szenario:
2 Internetanschlüsse (2 Router)
1 TMG als Back-End Firewall mit insg. 3 NIC's (2x für DMZ unterschiedliche Netze, 1x LAN)
Bei den DMZ NIC's wie nach Anleitung von MS konfiguriert (http://technet.microsoft.com/en-us/library/dd440984.aspx)
- Manuelle Metric eingetragen (niedrigere bei der primären Verbindung)
- DNS Server Routen eingetragen
- ISP Failover konfiguriert
Beide ISP Links sind online.
Internetverbindung OK
Stecke ich nun den primären ISP ab
TMG zeigt zwar an dass der ISP down ist, aber die
Internetverbindung schlägt FAIL, weil der TMG trotzdem über die primäre Leitung versucht die Verbindung aufzubauen (niedrigere Metric).
Vertausche ich die Metric der beiden DMZ NIC's, so funktioniert der Webseitenaufruf!
D.h. der TMG kapiert zwar, dass eine ISP Verbindung down ist (wird bei ALARME angezeigt), schaltet aber nicht automatisch auf den andere ISP Link um.
Hat jemand dasselbe Problem, bzw. funktioniert es bei euch? Wenn ja, wie schaut bei euch die Konfig aus?
Grüße
Folgendes Szenario:
2 Internetanschlüsse (2 Router)
1 TMG als Back-End Firewall mit insg. 3 NIC's (2x für DMZ unterschiedliche Netze, 1x LAN)
Bei den DMZ NIC's wie nach Anleitung von MS konfiguriert (http://technet.microsoft.com/en-us/library/dd440984.aspx)
- Manuelle Metric eingetragen (niedrigere bei der primären Verbindung)
- DNS Server Routen eingetragen
- ISP Failover konfiguriert
Beide ISP Links sind online.
Internetverbindung OK
Stecke ich nun den primären ISP ab
TMG zeigt zwar an dass der ISP down ist, aber die
Internetverbindung schlägt FAIL, weil der TMG trotzdem über die primäre Leitung versucht die Verbindung aufzubauen (niedrigere Metric).
Vertausche ich die Metric der beiden DMZ NIC's, so funktioniert der Webseitenaufruf!
D.h. der TMG kapiert zwar, dass eine ISP Verbindung down ist (wird bei ALARME angezeigt), schaltet aber nicht automatisch auf den andere ISP Link um.
Hat jemand dasselbe Problem, bzw. funktioniert es bei euch? Wenn ja, wie schaut bei euch die Konfig aus?
Grüße
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 148820
Url: https://administrator.de/contentid/148820
Printed on: May 4, 2024 at 07:05 o'clock
9 Comments
Latest comment
Ja, es funktioniert einwandfrei wenn man das wie in der Regel üblich mit einem Dual WAN Router erledigt wie z.B. mit einem Linksys RV082 oder einem Draytek 2910
http://www.draytek.de/Produkt_Vigor2910.htm
http://www.draytek.de/Beispiele_html/Ethernet_WAN_LAN/Load_Balance_Poli ...
http://www.draytek.de/Produkt_Vigor2910.htm
http://www.draytek.de/Beispiele_html/Ethernet_WAN_LAN/Load_Balance_Poli ...
ja gut, dies ist aber eine reine Hardware Lösung.
Ich möchte es aber über den TMG nutzen, nicht umsonst hat ja dieses ISP Redundanz Feature.
Ich möchte es aber über den TMG nutzen, nicht umsonst hat ja dieses ISP Redundanz Feature.
Hallo,
was ist TMG?
Grüße, Steffen
was ist TMG?
Grüße, Steffen
Das kann auch nicht funktionieren, weil das Metrik-Feature nur dann aktiv wird wenn ein Port seinen Link verliert.
Nur weil dir das Internet wegfällt ist aber auf dem Port immer noch eine Verbindung da und somit geht Windows auch davon aus, dass der Port online ist.
Wenn du 2 Router vor dem TMG hast kannst du das Problem dadurch lösen, dass du beide verbindest und jeweils die Default Route über den anderen mit höherer Metrik einträgst, so entsteht automatisch ein Fail-Over.
Der Nachfolger von ISA
Weitere Anleitungen findet man bei Google:
http://www.isaserver.org/tutorials/Microsoft-Forefront-TMG-ISP-Redundan ...
http://www.isaserver.org/tutorials/Kicking-Tires-TMG-2010-RC-ISP-Redund ...
http://blogs.technet.com/b/isablog/archive/2009/02/16/keeping-high-avai ...
Nur weil dir das Internet wegfällt ist aber auf dem Port immer noch eine Verbindung da und somit geht Windows auch davon aus, dass der Port online ist.
Wenn du 2 Router vor dem TMG hast kannst du das Problem dadurch lösen, dass du beide verbindest und jeweils die Default Route über den anderen mit höherer Metrik einträgst, so entsteht automatisch ein Fail-Over.
was ist TMG?
Der Nachfolger von ISA
Weitere Anleitungen findet man bei Google:
http://www.isaserver.org/tutorials/Microsoft-Forefront-TMG-ISP-Redundan ...
http://www.isaserver.org/tutorials/Kicking-Tires-TMG-2010-RC-ISP-Redund ...
http://blogs.technet.com/b/isablog/archive/2009/02/16/keeping-high-avai ...
Also doch Hardware Lösung....wie üblich !
Hi,
TMG steht für Forefront Threat Management Gateway.
Zieh mal den Stecker der primären Leitung am TMG. Was passiert?
Grüße,
Dani
TMG steht für Forefront Threat Management Gateway.
Zieh mal den Stecker der primären Leitung am TMG. Was passiert?
Grüße,
Dani
Hallo,
dog schrieb schon etwas dazu:
Überlege Dir einfach, wie der Router wissen soll, dass eine Internetleitung gestört ist. Das ist ein Grundproblem! Der Link steht, aber manche oder auch alle Gegenstellen sind nicht erreichbar. Ab wann wird die Leitung geswitcht.
Mit vielen Routern ist es möglich, dass eine Gegenstelle im Internet überprüft wird. Ist diese nicht erreichbar, wird der Link für ausgefallen erklärt. Das schafft aber meist mehr Probleme, als es löst...
Dual-WAN ist immer kompliziert - außer es geht um VPNs
Phil
dog schrieb schon etwas dazu:
Überlege Dir einfach, wie der Router wissen soll, dass eine Internetleitung gestört ist. Das ist ein Grundproblem! Der Link steht, aber manche oder auch alle Gegenstellen sind nicht erreichbar. Ab wann wird die Leitung geswitcht.
Mit vielen Routern ist es möglich, dass eine Gegenstelle im Internet überprüft wird. Ist diese nicht erreichbar, wird der Link für ausgefallen erklärt. Das schafft aber meist mehr Probleme, als es löst...
Dual-WAN ist immer kompliziert - außer es geht um VPNs
Phil
Danke für eure Infos.
Wollte es über den TMG lösen, aber anscheinend funktioniert das nicht in einer Back-End Konstellation.
(Lasse mich gerne eines besseren belehren ) Im Internet gibt es zwar Anleitungen (wie dog auch schon gepostet hat), die bei der ISP Failover oder Load Balancing private Adressen nutzen, d.h. auch wie bei mir als Back-End, aber ob diese auch erfolgreich getestet wurden steht in den Sternen.
Denn wenn ich die Netzwerkverbindung zwischen TMG und Router trenne, dann geht dieser automatisch über den anderen Link.
Aber dies funktioniert auch, wenn ISP-Redundanz Feature beim TMG deaktiviert ist.
Hat niemand das ISP-Redundanz Feature im Einsatz?
Wollte es über den TMG lösen, aber anscheinend funktioniert das nicht in einer Back-End Konstellation.
(Lasse mich gerne eines besseren belehren
) Im Internet gibt es zwar Anleitungen (wie dog auch schon gepostet hat), die bei der ISP Failover oder Load Balancing private Adressen nutzen, d.h. auch wie bei mir als Back-End, aber ob diese auch erfolgreich getestet wurden steht in den Sternen.Denn wenn ich die Netzwerkverbindung zwischen TMG und Router trenne, dann geht dieser automatisch über den anderen Link.
Aber dies funktioniert auch, wenn ISP-Redundanz Feature beim TMG deaktiviert ist.
Hat niemand das ISP-Redundanz Feature im Einsatz?
Sorry, leider nein... läuft bei uns als reiner Proxy. Loadbalancing und Failover wird alles über unsere Router gesteuert.
Grüße,
Dani
Grüße,
Dani
