Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Frage Netzwerke Router & Routing

GELÖST

CISCO ASA 5505 Site-To-Site Metrik

Mitglied: AndiStroebi

AndiStroebi (Level 1) - Jetzt verbinden

25.01.2011, aktualisiert 18.10.2012, 5664 Aufrufe, 9 Kommentare

Hallo,

ich habe 2 CISCO ASA 5505 an 2 verschiedenen Standorten. An jedem ASA sind 2 Internetleitungen. Die ASAs stellen einen Site-To-Site Tunnel her was auch perfekt funktioniert. Nun möchte ich es eigentlich so machen das wenn die primäre Internetleitung am ASA ausfällt das dann die andere Leitung genommen wird bzw. auch wenn er keine Verbindung über die primäre Internetverbindung des gegenüber nicht mehr herstellen kann das er dann versuch über die andere Verbindung sich zu verbinden.

Ist das möglich?

Gruß AndiStroebi
Mitglied: aqui
25.01.2011 um 14:41 Uhr
Eigentlich ganz einfach mit OSPF und ECMP: Du lässt 2 Tunnel laufen über die beiden Internetleitungen die jeweils ein anderes Transit IP Netz im Tunnel fahren. Dann aktivierst du ein dynamische Routing Protokoll wie OSPF auf den Tunnelstrecken bzw. lokalen LANs...fertig.
Damit fängst du sowohl Interface Probleme (Hardware) als auch Connectivity Probleme innerhalb des Providers (Linkausfälle) ab. Sinnvoll wäre dann natürlich die 2te Leitung über einen alternativen Provider laufen zu lassen.
OSPF sorgt mit seinen Protokoll Mechanismen automatisch für einen Failover auf den alternativen Link nach max. 6 Sek. Ausfallzeit. Und noch ein Goodie on top:
Wenn beide Leitungen die gleiche Cost haben, macht OSPF dann ECMP über diese Leitungen auf Basis der Ziel IP Netze oder der IP Hostadressen (per Konfig einstellbar), je nachdem was Sinn macht bei dir. (Viele Hosts oder viele Netze oder beides)
Hat den Vorteil das der 2te Link nicht einfach nur sinnlos rumdümpelt sondern aktiv mit gegenseitigem Failover genutzt wird zur Bandbreiten Ausnutzung.
Das ist in 10 Minuten per Konfig auf der ASA eingerichtet.
Bitte warten ..
Mitglied: AndiStroebi
26.01.2011 um 23:19 Uhr
danke für die schnelle Antwort, dann werde ich das mal versuchen.
Bitte warten ..
Mitglied: AndiStroebi
29.01.2011 um 19:15 Uhr
leider gibt es gerade schon bei den Grundlagen ein Problem.

Ich habe in den Interfaces für die Interverbindungen über ASDM PPPOE eingerichtet und bis jetzt war im ersten immer die option \"Obtain default route using PPPoE\" aktiviert. Jetzt wo ich die 2. Interverbindung angeschlossen habe, stehe ich vor dem Problem das ich ja nur eine route haben kann.

Es soll so sein das die 1. Verbindung nur für VPN ist und die 2. Verbindung für das surfen der User im Internet und als Ausfallverbindung für VPN wenn die 1. ausfällt.

Ich wollte jetzt vorerst es so zum laufen bringen wie ich es gerade beschrieben habe und dann die Ausfallsicherheit einbauen.

Wenn ich bei beiden Interfaces \"Obtain default route using PPPoE\" aktiviere setzt halt die Verbindung seine Route wo als erstes Online geht und für die andere Verbindung fehlt dann natürlich das richtige Gateway.

Kann mir vielleicht jemand sagen wie das geht?

Gruß AndiStroebi
Bitte warten ..
Mitglied: aqui
29.01.2011, aktualisiert 18.10.2012
OK, auch das ist kein Problem und in 10 Minuten erledigt !
Dafür nutzt du dann Policy based Routing (PBR) auf deinem Cisco.
Wie man das genau einrichtet bei Cisco erklärt dir dieser Thread:
http://www.administrator.de/forum/cisco-router-2-gateways-f%c3%bcr-vers ...

Du musst dann lediglich die ACL erweitern mit den Ports der Dienste die du über den anderen Link routen willst.
Bitte warten ..
Mitglied: AndiStroebi
30.01.2011 um 14:16 Uhr
Danke bringt mich schon mal einen Schritt weiter. Aber an einer Stelle weis ich noch nicht was ich Eintragen muss.

Und nun die PBR Liste die diesen Verkehr der Server auf den T-Interconnect Router bringt:
route-map t-inter permit 10
match ip address 110
set ip next-hop 192.168.13.254 (IP Addresse T-Interconnect Router !)


Da mein ASA direkt an das Modem angeschlossen ist und die Verbindung zum Internet macht bekomme ich das Gateway erst wenn ich mich eingewählt habe und wenn ich es in meinen Tests richtig beobachtet habe ist das Gateway bei jeder Einwahl nicht immer zwingend das gleiche.

Wie muss der Schritt bei mir dann aussehen?
set ip next-hop 192.168.13.254 (IP Addresse T-Interconnect Router !)
Bitte warten ..
Mitglied: aqui
30.01.2011 um 14:23 Uhr
Statt der IP Adresse als next Hop kannst du auch einen Interface Namen eingeben !
Das du ein "?" eingeben kannst um deine Konfig Alternativen zu sehen weisst du schon, oder ??
Bitte warten ..
Mitglied: AndiStroebi
30.01.2011 um 14:27 Uhr
Ja weis ich, leider sind die Geräte in der Firma und da ich bei der Umkonfiguration immer die VPN Verbindung zwischen den Firmen trennen muss möchte ich diesesmal sicher gehen das es funktioniert.

Aber danke für die viele Hilfe.
Bitte warten ..
Mitglied: AndiStroebi
31.01.2011 um 13:50 Uhr
Jetzt bin ich gerade auf dem Gerät, aber leider geht das nicht

ich habe den Parameter IP nicht, sondern nur metric und metric-type
set ip next-hop 192.168.13.254

und im Interface habe ich kein policy sonder nur audit, local und verify
ip policy route-map t-inter

Habe auch bei CISCO auf der Seite nachgeschaut und beim ASA diese Parameter nicht gefunden.

Hast du mir nochmal einen Tip?
Bitte warten ..
Mitglied: aqui
03.02.2011 um 00:23 Uhr
Dann benötigst du auf der ASA eine andere Release oder Featureset. Ohne PBR wirst du das sonst nicht umsetzen können !
Bitte warten ..
Ähnliche Inhalte
Router & Routing
Cisco 5505 kein Internet nach Site-to-Site VPN
gelöst Frage von dz1987Router & Routing3 Kommentare

Hallo, über die Suche habe ich leider zu diesem spezifischen Problem nichts finden können. (Oder ich bin zu blöd) ...

Firewall
Site to Site Tunnel bei Cisco 5505 ist weg
Frage von Christian75Firewall3 Kommentare

Hallo zusammen, ich habe mir hier nun einige Einträge zu dem Thema durchgelesen, habe aber leider noch nicht die ...

Netzwerke
Site-to-Site VPN mit Cisco RV320 und AVM
gelöst Frage von quirmiNetzwerke8 Kommentare

Hallo liebe Admins! :) ich habe momentan folgendes Szenario: Drei Standorte sind mit drei Fritzboxen (2x3370, 1x3270) via VPN ...

LAN, WAN, Wireless
Abbruch eines Site to Site VPN Tunnel zw. zwei Cisco ASA 5505
Frage von mcgigaLAN, WAN, Wireless17 Kommentare

Hallo Community, ich habe eine Problem mit einem Site to Site VPN Tunnel. Zw. zwei Standorten kommt es nach ...

Neue Wissensbeiträge
Router & Routing

PfSense als Addon auf QNAP

Information von magicteddy vor 6 StundenRouter & Routing2 Kommentare

Moin, für Spielereien eine ganz nette Idee aber ich fürchte das soetwas auch als echte Firewall genutzt wird: In ...

Datenschutz

Teamviewer kommt für IoT-Geräte wie den Raspberry Pi

Information von magicteddy vor 12 StundenDatenschutz

Moin, jetzt werden IoT Geräte endgültig zur Wanze? Anscheinend kann man auf einem Dashboard seine Geräte visualisieren Ich stelle ...

Microsoft

Letzte Updates für Win10 und Server2016 müssen bei Bedarf über den Update catalogue in den WSUS importiert werden!

Tipp von DerWoWusste vor 17 StundenMicrosoft1 Kommentar

automatisch kommt da nichts an im WSUS und auch nicht im SCCM. Siehe Hinweise zum Bezug der jeweils neuesten ...

Linux

Meltdown und Spectre: Linux Update

Information von Frank vor 3 TagenLinux

Meltdown (Variante 3 des Prozessorfehlers) Der Kernel 4.14.13 mit den Page-Table-Isolation-Code (PTI) ist nun für Fedora freigegeben worden. Er ...

Heiß diskutierte Inhalte
Netzwerkmanagement
Preis für Wartungsvertrag ok?
gelöst Frage von a-za-zNetzwerkmanagement22 Kommentare

Hallo! Mal ne Frage, weil ich mich mit dem akzeptablen Preis für einen Reaktionszeitvertrag nicht auskenne. Meine Firma hat ...

Windows Netzwerk
Ist ein Portforwarding auf einen PC ohne lauschendes Programm ein (großes) Sicherheitsproblem?
Frage von PluwimWindows Netzwerk13 Kommentare

Hallo zusammen, zur Fernwartung eines Rechners an einem anderen Ort nutze ich VNC. Da dieser Rechner einfach nur eine ...

Windows Server
Terminal Server 2016 erkennt Berechtigungen nicht
gelöst Frage von Thomas2Windows Server10 Kommentare

Hallo Administratoren, folgendes Problem stellt sich dar: Es gibt zwei Windows Server 2016, die als Terminal Server fungieren. Jetzt ...

Sonstige Systeme
7-zip: Programm frägt nach Passwort erst bei einzelnen Dateien
Frage von freeskierchrisSonstige Systeme7 Kommentare

Guten Morgen, ich habe ein Problem beim Arbeiten mit 7-zip: Wenn ich die einzelnen Dateien zu einem Archiv verpacke ...