chewbacca001
Goto Top

2 Routen zu einem Ziel

Hallo zusammen -
dies ist mein erster Post, wenn ich die Etikette hier verletze, bin ich im Voraus um Entschuldigung.

Ich habe ein ganz konkretes Problem und die Idee einer Lösung, zu der ich gerne von euch eure Meinung / Wissen hören würde.

Folgendes Problem:

Ich habe zwei Standorte, die per VPN vernetzt sind. Auf der einen Seite steht ein PC, der Ein serial Device (moxxa) auf der anderen Seite anspricht - klappt alles so weit ganz gut.
Nun würde ich das gerne auf der Rechner Seite durch einen zweiten Tunnel zu dem Router auf Seiten der Moxxa-Box Box sicherer (gegen Ausfall) machen
der zweite Router ist vorhanden. Die Idee :
Der zweite Router hat ein anderes IP Segment als der erste ( beide auf Seiten des Rechners) also wollte ich eine zweite Netzwerkkarte in den Rechner einbauen und auf diesen zweiten Router zugreifen.
Beide Router sollen jetzt jeweils einen Tunnel zum dem anderen Router aufbauen soweit ist das alles klar, aber bekomme ich dann Probleme, wenn es zwei Routen in einem Rechner zum gleichen Ziel gibt, oder muss ich da irgendwas in den Routen manuell eintragen (Prioritäten, Kosten oder etwas in der Art) ???
Vielleicht etwas wirr erklärt, aber zur Verdeutlichung ein Bild dazu


Ich bin für alle Hinweise oder Ideen dankbar
vpn

Content-Key: 328270

Url: https://administrator.de/contentid/328270

Ausgedruckt am: 28.03.2024 um 16:03 Uhr

Mitglied: maretz
maretz 02.02.2017 um 22:10:15 Uhr
Goto Top
Moin,

es gibt div. Router die extra dafür mehrere Interfaces haben - oder du konfigurierst sowas entsprechend. Schon hast du keine zwei Tunnel gleichzeitig mit 2 verschiedenen Netzen sondern einfach ein redundantes Gateway. Fällt ein Tunnel aus übernimmt halt das zweite Gateway... Je nach Budget halt auch 2 router die sich dann unterhalten. Fällt einer weg dann übernimmt der andere (dein Gateway ist dann die virtuelle IP die du zwischen den beiden Routern wechseln lassen kannst).

Alles andere wäre m.E. doof weil du müsstest deinem Endgerät auch 2 IPs verpassen ... Da ich als Anwender aber nicht wissen will welche Leitung es nimmt ist das unschön... Du könntest noch nen Load-Balancer nehmen der dann automatisch diese Aktion übernimmt (vorteile: Beide Leitungen werden genutzt), aber auch das kann halt je nach Applikation doof sein...
Mitglied: LordGurke
LordGurke 02.02.2017 aktualisiert um 22:15:53 Uhr
Goto Top
Sowas kann man durchaus per BGP lösen.
Alle beteiligten Router müssen dann durch die Tunnelverbindung hindurch mit ihrer jeweiligen Tunnel-Gegenstelle ein BGP-Peering aufbauen und die jeweils zu routenden IP-Präfixe austauschen. Fällt eine Tunnelverbindung aus, wird innerhalb weniger Sekunden vollautomatisch das Routing angepasst und die andere Strecke genutzt.

Der Vorteil dabei ist dass diese Funktionalität in vielen Routern bereits vorhanden ist und du in jedem Fall immer dieselben IP-Adressen hast - sie werden nur im Zweifel durch andere getunnelte Verbindungen geroutet.
Mitglied: chewbacca001
chewbacca001 02.02.2017 um 23:07:42 Uhr
Goto Top
Hmmm....

Das Problem ist, dass das eine ad hoc Lösung sein soll für ein paar Monate - bei den beteiligten Routern handelt es sich allesamt um Fritzboxen - ich glaube nicht, dass die das so können - habe in diesem Zusammenhang noch nie was von BGP gelesen.
Ich dachte da eher an einfachere Lösungen.
Mitglied: Lochkartenstanzer
Lochkartenstanzer 02.02.2017 um 23:17:48 Uhr
Goto Top
Nmm e en dual wan router statt den fritzboxen!
Mitglied: emeriks
emeriks 02.02.2017 um 23:45:39 Uhr
Goto Top
Hi,
ja das geht auch über mehrere Routen. Und ja, wenn da Sinn machen soll, dann müsstest Du am PC zwei Routen je eine über einen der Router beim PC mit jeweils verschiedenen Kosten einrichten. Auf der Gegenseite am Moxxa Standort auch. Genau dafür wurde ja das TCP/IP erfunden.

Ob das aber mit Fritten zu berwerkstelligen ist, das ist eine andere Sache. Die Router müssten die Routen überkreuz kennen, damit das auch ausfallsicher ist. Ganz ohne "komplizierte" Protokolle.

Aber das Ganze macht so keinen Sinn. Wenn beide Router am PC Standort vom selben Router am Moxxa Standort abhängig sind, dann hast Du hier wieder einen SPOF. Und die Leitungen müssten auch über vollkommen unabhängige Provider gehen, welche je eigene Leitungen haben und nicht etwa bloß bei der Telekom Untermierter sind. Also auch hier höchstwahrscheinlich wieder einen SPOF.

Mit zwei Fritten würde ich das so einrichten, dass die Zweite identisch zur Ersten konfiguriert ist und nur angeschlossen und eingeschaltet wird, wenn die Erste ausfällt.

E.
Mitglied: 108012
108012 02.02.2017 um 23:51:43 Uhr
Goto Top
Hallo,

ich würde auch zu einem Dual WAN Router raten wollen und/oder einen Switch zwischen dem PC und den Routern
der auch Routing Protokolle wie PBR unterstützt.

Gruß
Dobby
Mitglied: chewbacca001
chewbacca001 03.02.2017 um 01:40:59 Uhr
Goto Top
Ist schon klar, der zweite Router geht über GSM ins Netz - an dem Standort hat ein Provider die Hoheit - Alternativen gehen nur über Funk. Saublöd, aber ich wurde erst ins Boot geholt, als schon alles "geplant" war - ich muss jetzt die Scherben wegräumen und will das so gut wie möglich und auch so Preiswert wie möglich machen, da es halt nur für ein paar Monate so sein soll.
Naja, ich werde mal etwas basteln - mal sehen ob das so klappt, wie ich mir das denke - für konstruktive Tipps bin ich aber weiterhin offen !
Mitglied: 108012
108012 03.02.2017 um 02:05:51 Uhr
Goto Top
Naja, ich werde mal etwas basteln - mal sehen ob das so klappt, wie ich mir das denke - für konstruktive Tipps bin ich aber weiterhin offen !
APU2C4 mit pfSense sollte ganze Problem lösen denn da kann man eine mSATA und ein internes Modem (miniPCIe) einbauen,
und für den anderen Internetzugang hast Du dann eben ein DrayTek 130 VDSL2 Modem.

Gruß
Dobby
Mitglied: Lochkartenstanzer
Lochkartenstanzer 03.02.2017 aktualisiert um 08:32:47 Uhr
Goto Top
Zitat von @chewbacca001:

Ist schon klar, der zweite Router geht über GSM ins Netz - an dem Standort hat ein Provider die Hoheit - Alternativen gehen nur über Funk.

Dann steck doch an die DSL-Fritte einen Mobilfunk-stick. Die kann dann automatisch auf funk umschalten, wenn DSL ausfällt.

lks

PS:. Dazu mußt Du die Fritzbüx freetzen und ein wenig Handarbeit anlegen.
Mitglied: aqui
aqui 03.02.2017 aktualisiert um 10:45:47 Uhr
Goto Top
Dual WAN Port Router oder der Vorschlag vom Kollegen LKS mit FB und Stick wäre sicher die einfachste Alternative das umzusetzen.
Allerdings hat man mit einem zentralen Router auch wieder einen Single Point of Failure !
Zusätzlich hat diese Variante, wie auch die mit 2 statischen Routen unterschiedlicher Metrik, den Nachteil das immer nur ein Link aktiv genutzt wird. Deshalb sollte man die anderen oben schon richtig beschriebenen Optionen auch mal näher betrachten.
Router oder insbesondere Endgeräte wie PCs aktivieren den 2ten Link niedrigerer Metrik nur wenn es einen Link Loss gibt auf dem Interface das den primären Link hält.
Das kann von entscheidendem Nachteil sein wenn z.B. ein Switch oder ein anderes L2 Device im Pfad ist so das der Link niemals runter geht.
Manche Router auch Dual WAN Port Router haben deshalb einen Ping Prozess oder ähnliches der ein entsprechendes Endgerät auf der anderen Seite zyklisch pingt und so die Verfügbarkeit prüft.
Kommt der Ping z.B. an 5 Paketen hintereinander nicht durch geht der Router davon aus das der Link down ist und aktiviert den Backup.
Letztlich das bessere Verfahren da hier der gesamte Link in allen Ebenen überwacht wird. Das Feature is aber Hersteller abhängig.
Andere Option ist wie oben 2 Router zu verwenden die sich am LAN Port per VRRP unterhalten und ein gemeinsames Gateway dem PC zur Verfügung stellen. Der VRRP Prozess wird dann auch nach Verfügbarkeit der VPN Links getriggert. Fällt einer aus wird auf den Tunnel am anderen Router umgeschaltet.
VRRP und solche Features gibt es aber natürlich nicht auf billigen Plastik Consumer Routern wie einer FritzBox, das sollte auch klar sein.
Ideal wäre natürlich das Konzept von Lord Gurke oben, das 2 VPN Links in Kombination mit einem dynamischen Routing Protokoll vorschlägt. Der Klassiker...
Statt BGP reicht hier auch OSPF was weiter verbreitet ist. Damit könnte man beide Tunnel parallel laufen lassen und OSPF darüber laufen lassen. Im Falle des Ausfalls schaltet das OSPF Protokoll innerhalb von 10 Sekunden automatisch auf den Backup Link ohne manuelle Intervention oder aufwendige Konfig mit Metriken, Ping SLAs oder VRRP.
Auch durch dessen ECMP Feature ist sogar ein dynamische Load Balancing machbar über beide Links sofern beide Links gleiche Bandbreite haben. Sie werden also aktiv genutzt.
Zudem liesse sich das mit 2 kleinen 35 Euro Routern z.B. Mikrotik hLite sehr einfach und zudem preiswert realisieren.
BGP können die auch falls einem OSPF nicht genehm ist.
VRRP usw. haben die üblichen Business Router, Lancom Cisco 880 Bintec etc.
So oder so ist das eigentlich recht einfach zu lösen, egal für welche Option zur Lösung man/du sich letztlich entscheidet.