tk79
Goto Top

1x 20MBit-Leitung, 5x DSL-Leitung als Backup?

Hallo,

wir haben eine "dicke 20 MBit-Leitung" (mit 10 festen IP-Adressen) und 10 DSL-Anschlüsse.
Die 20 MBit-Leitung ist an einer ZyWALL 200 angeschlossen - über WAN1. Die ZyWALL hat die 192.168.0.1 als IP-Adresse.

Aufgrund diverser Telefonverträge haben wir auch mehrere DSL-Anschlüsse bei uns.

Nun habe ich die Idee, dass ich die Server redundant anbinden könnte.

Wenn die 20 MBit-Leitung ausfällt, würde ich gerne wollen, dass unsere Kunden über über jeweils eine andere IP auf ihre Server zugreifen können. Wie ich das mit mehreren A-Records im DNS mache, muss ich mir noch anlesen.

Nun habe ich an 5 der DSL-Leitungen einen kleinen Router hängen. Wenn ich das Gateway eines WebServers von 192.168.0.1 auf 192.168.0.2 umstelle, klappt zwar der Zugriff über die DSL-Leitung, aber natürlich nicht mehr über die 20 MBit-Leitung.
Gibt es eine Möglichkeit, dem Server beizubringen, dass er über 2 Gateways erreichbar sein soll?

Ich habe leider nur Beiträge gefunden, die nur 2 Leitungen betrachten - da würde ja ein Router mit 2 WAN-Ports reichen. Aber ich weiß nicht, wie das mit 6 Leitungen gehen soll. face-sad

Über Tipps, Hinweise und Anregungen bin ich sehr dankbar.


Grüße,

Tino


Netzwerkstruktur:

192.168.0.1 - ZyWALL 200 (20MBIt Standleitung)
192.168.0.2 - ZyWALL 2 Plus (T-DSL 16.000 - Leitung 1)
192.168.0.3 - ZyWALL 2 Plus (T-DSL 16.000 - Leitung 2)
192.168.0.4 - ZyWALL 2 Plus (T-DSL 16.000 - Leitung 3)
192.168.0.5 - ZyWALL 2 Plus (T-DSL 16.000 - Leitung 4)
192.168.0.6 - ZyWALL 2 Plus (T-DSL 16.000 - Leitung 5)
192.168.0.100 - WebServer 1
192.168.0.101 - WebServer 2
192.168.0.102 - WebServer 3
192.168.0.103 - WebServer 4
192.168.0.104 - WebServer 5

Content-Key: 155442

Url: https://administrator.de/contentid/155442

Ausgedruckt am: 29.03.2024 um 02:03 Uhr

Mitglied: EvilMoe
EvilMoe 19.11.2010 um 23:33:22 Uhr
Goto Top
Würde es nicht reichen den Servern eine 2. IP und somit auch ein neues Gateway zu geben?
Dann wäre er glaube ich über beide IP´´s erreichbar. Ich kenn mich damit leider nicht so aus. Ist nur eine reine vermutung.
Mitglied: aqui
aqui 20.11.2010 um 00:09:56 Uhr
Goto Top
Dafür benötigst du einen Link Load Balancer wie ihn Firmen wie F5, Brocade, Coyote Point, Barracuda und andere haben.
Damit sind erheblich mehr als diese 2 Leitungen zu balancen.
Policy Based Routing (PBR) wäre ein andere Ansatz wenn du nach IP Adressen routen willst über ACLs.
Mit 2 Gateways (oder 2 IPs) funktioniert sowas de facto nicht.
Mitglied: tikayevent
tikayevent 20.11.2010 um 00:14:42 Uhr
Goto Top
Für Kleinumgebungen gehts auch mit einem pfSense.

Problem was du hast ist die Überwachung der Verbindungen. Da du fünfmal die gleiche Verbindung hast, kannst du diese nicht überwachen lassen. So müsste der überwachte Endpunkt (normal der erste Routerhop nach dem DSLAM) ausfallen oder alle fünf Leitungen gleichzeitig, damit alles von den DSL-Verbindungen auf die Standleitung geht. Bei der Standleitungen ist es vermutlich einfacher zu handhaben.

Aber ist es wirklich so akut? Standleitungen haben im Normalfall ein besseres SLA als Endkunden-DSL.
Mitglied: micneu
micneu 20.11.2010 um 01:16:13 Uhr
Goto Top
ich würde auch die pfsense empfehlen, hatte gerade letztenz 2 x 6000 dsl für jemanden als loadbalancer
gekoppelt. einfach mal anschauen.

gruß michael
Mitglied: tk79
tk79 20.11.2010 um 09:45:38 Uhr
Goto Top
Hallo,

vielen Dank für die Tipps. Ich werde mir dann einmal pfsense anschauen und euch berichten, ob es geklappt hat.

Danke nochmals!


Grüße,

Tino
Mitglied: Starmanager
Starmanager 20.11.2010 um 19:32:09 Uhr
Goto Top
Hallo,

was Du da brauchst ist so was wie viprinet. Das sind Appliance die den traffic buendeln. Ein Rechner im RZ mit 2 IP Adressen und buendeln alle 6 Leitungen zu einer IP Adresse. Da wird immer die schnellste Leitung verwendet und wenn diese ausfaellt wird automatisch der Traffic auf die anderen verteilt

MFG

Starmanager
Mitglied: sk
sk 20.11.2010 um 22:27:34 Uhr
Goto Top
Hallo Tino,


Zitat von @tk79:
wir haben eine "dicke 20 MBit-Leitung" (mit 10 festen IP-Adressen) und 10 DSL-Anschlüsse.
Die 20 MBit-Leitung ist an einer ZyWALL 200 angeschlossen ...
Nun habe ich die Idee, dass ich die Server redundant anbinden könnte.

Mit der Zywall USG-200 hast Du schon eine sehr gute Basis für Dein Vorhaben! Offiziell unterstützt die zwar "nur" 3x WAN, aber die diesbezüglichen küstlichen Restriktionen der 200er gegenüber den größeren Modellen lassen sich in diesem Szenario m.E. umgehen bzw. wirken sich nicht hinderlich aus.


Zitat von @tk79:
Netzwerkstruktur:
192.168.0.1 - ZyWALL 200 (20MBIt Standleitung)
192.168.0.2 - ZyWALL 2 Plus (T-DSL 16.000 - Leitung 1)
192.168.0.3 - ZyWALL 2 Plus (T-DSL 16.000 - Leitung 2)
192.168.0.4 - ZyWALL 2 Plus (T-DSL 16.000 - Leitung 3)
192.168.0.5 - ZyWALL 2 Plus (T-DSL 16.000 - Leitung 4)
192.168.0.6 - ZyWALL 2 Plus (T-DSL 16.000 - Leitung 5)

Werden die DSLer bereits für etwas anderes (mit)genutzt? Unter u.U. wäre es vorteilhaft, die kleinen Zywalls entfallen zu lassen und die Logik komplett in die USG zu verlegen...
Stünde ggf. ein VLAN-fähiger Switch zur Verfügung?


Zitat von @tk79:
Wenn die 20 MBit-Leitung ausfällt, würde ich gerne wollen, dass unsere Kunden über über jeweils eine andere IP
auf ihre Server zugreifen können. Wie ich das mit mehreren A-Records im DNS mache, muss ich mir noch anlesen.

Was sind denn das für Server? Bei Mailservern gibt es keine Probleme, denn da kann man mehrere MX-Records mit unterschiedlichen Preferences anlegen. Bei z.B. Webservern ist es hingegen nicht so leicht, dies über DNS zu lösen. Zwar kann man mehrere A-Records anlegen, aber dies ist dann nur ein Round Robin und passt daher nicht in dieses Szenario! Aber es gibt diesbezügliche Dienste: google mal nach "DNS failover"!
Mit bis zu 5 Hostnamen ließe sich das sogar kostenfrei mit der USG200 hinbasteln. Man würde im DNS die Hostnamen als CNAME anlegen und auf unterschiedliche A-Records bei DynDNS zeigen lassen. Im Normalbetrieb würde die Zywall die jeweiligen IP-Adressen der Standleitung im DynDNS eintragen. Im Failover-Fall würde die Zywall die DynDNS-Records mit den IP-Adressen der DSL-Anschlüsse aktualisieren. Folglich würde im Fehlerfall eine DNS-Auflösung auf den CNAME eine andere IP-Adresse zurückliefern, als im Normalbetrieb.
Es sollte allerdings klar sein, dass sich das nicht in Echtzeit im Internet herumspricht - insbesondere diejenigen User, die gerade mit dem Server verbunden waren, werden eine ganze Weile keinen Zugriff auf die Server haben. Das ist definitiv eine Frickellösung! Wenn man es richtig machen will, löst man das bereits auf Layer 3 (entweder VRRP durch Deinen Provider oder noch besser mit einem eigenen autonomen System und Peering mit mind. 2 ISPs).

Ich schlage vor, Du Du lädst Dir hier mal die Supportnotes für ZLD2.20 herunter: ftp://ftp.zyxel.com/ZYWALL_USG_200/support_note
und richtest das gemaß Punkt 1.10 (S. 41ff) ersteinmal für einen Server ein. Wenn dann der Server über 2 öff. IP-Adressen auf unterschiedlichen Leitungen erreichbar ist, richten wir den CNAME und DynDNS ein und testen, ob das überhaupt zu akzeptablen Ergebnissen führt. Sollte dies der Fall sein, lässt sich dies mit mit leichten Abwandlungen auf max. 5 Hostnames und 5 DSL-Leitungen ausbauen. Weitere DSL-Leitungen wären möglich, aber dann muss die DNS-Geschichte über einen kommerziellen Anbieter laufen, weil die USG200 auf 5 DynDNS-Profile kastriert ist


Gruß
Steffen
Mitglied: tikayevent
tikayevent 20.11.2010 um 22:39:35 Uhr
Goto Top
Bei Mailservern gibt es keine Probleme, denn da kann man mehrere MX-Records mit unterschiedlichen Preferences anlegen.
Bedingt ist das korrekt.
Beim Empfangen ist dies richtig, da nimmt der Mailserver dies an, aber beim Versenden kann es Probleme geben. Manche Server (lieber wären mir alle) prüfen ob der verwendete HELO-Name mit dem DNS-Namen übereinstimmt und ob eine Vorwärtsauflösung und eine Rückwärtsauflösung im DNS ein zusammenpassendes Ergebnis erbringen. Da würde dann beim Failover ein Problem entstehen, da sich der Mailserver mit seinem normalen HELO-Name meldet, aber die Auflösungen dann fehlschlagen. Sprich die Mail würden abgewiesen oder als SPAM deklariert.
Mitglied: sk
sk 21.11.2010 um 08:56:45 Uhr
Goto Top
Ja outbound SMTP müsste man noch gesondert betrachten. Hier käme noch verschärfend hinzu, dass die DSLer vermutlich dynamische IP-Adressen haben und diese häufig auf den Blacklists stehen. Das Einfachste dürfte die Verwendung eines oder mehrerer Smarthosts beim Provider sein.

Gruß
Steffen