Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Loadbalancing trotz AnyConnect?

Frage Netzwerke Router & Routing

Mitglied: DeepThought1

DeepThought1 (Level 1) - Jetzt verbinden

12.01.2015 um 11:08 Uhr, 882 Aufrufe, 7 Kommentare

Hallo,
ich möchte gerne unsere SDSL-Leitung durch eine VDSL-Leitung ergänzen um den Webtraffic auszulagern,
mein Netzwerkbetreuer behauptet jedoch, das es wegen der Cisco AnyConnect-Clients nicht funktioniert. Stimmt das?

Hier mal unser Aufbau (etwas vereinfacht):
Unser internes Netz hängt hinter einem Cluster aus zwei Cisco ASA-5515x (Active/Standby) welcher eine Externe IP hat.
Dieser Cluster stellt den VPN-Endpunkt für die AnyConnect Clients da und ist gleichzeitig die Firewall gegenüber dem Internet.
Er stellt für alle Geräte den Gateway zum Internet und zu den Site-by-Site-VPNs da (mehr zu denen unten).
Über zwei "Transfer"-Switche ist der Cluster mit dem Providerrouter verbunden, der uns die Externen IPs zur Verfügung stellt.
Der Providerrouter ist redundant mit einer SDSL-Leitung (über mehrere "Telefonkabel") angebunden,
daher möchten wir diese auch gerne zunächst als "Fallback" nutzen aber später ggf. auch ersetzen.
Falls sich die Leitungen aktiv kombinieren ließen wäre es natürlich noch schöner.

Zugriff auf den Providerrouter haben wir nicht, er ist für uns transparent. Welche Protokolle er spricht weiß ich nicht.
Ein standard PC mit fester IP direkt an den Provider-Router gesteckt, kommt mit einer IP aus dem Bereich der zugewiesenen öffentlichen IPs und googles DNS ohne weitere Einstellungen/Software online.


Die Site-by-Site-VPNs werden über ein Cluster aus zwei Cisco 2911 realisiert die ebenfalls mit dem ASA-Cluster über die Transferswitche verbunden sind.
Die Site-to-Site-VPNs sind redundat ausgelegt und nutzen primär eine seperate SDSL-Leitung und sekundär eine DSL-Leitung mit
jeweils festen IPs.
Dieser Teil soll unangetastet bleiben, da er absolut stabiel läuft und hier ausschließlich der Traffic zu den Außenstandorten über läuft.

Das interne Netz ist komplett flach gehalten, hier gibt es keine V-LANs und kein weiteres Routing.
Lediglich die Aussenstandorte welche über die Site-to-Site-VPNs angebunden sind haben eine anderes Subnet (192.168.1.X, 192.168.2.X, 192.168.3.X, ... /24) damit das Routing (auf dem ASA-Cluster) überhaupt möglich ist.


Mein Netzwerkbetreuer behauptet nun es sei NICHT damit getan einen einfachen "Loadbalancer" zwischen Providerrouter
und Transferswitch zu schalten, da dann die AnyConnect-Verbindungen nicht mehr Zustande kommen würden.
Grob hat er es mir damit erklärt das Ziel-IP und Quell-IP der Verbindung dann nicht gleich seien. Ein "rausfiltern" und "festzurren" der AnyConnect-Pakete auf eine Route sei angeblich auch nicht möglich, da der Loadbalancer beim Versenden nicht erkennen könne ob es normaler Webrtaffic oder AnyConnect-Traffic sei.

Kann das angehen? Fachliche Inkompetenz bezweifle ich bei dem Unternehmen stark, eher das da einer zu kompliziert denkt. Hat da jemand einen Denkanstoß für uns/ihn?

edit:
Nachdem er lange behauptet hat es sei nicht möglich möchte er nun mehrere neue Geräte anschaffen sowie einen Komplettumbau der Logik durchführen (in der Größenordnung um 8.000€), ein konkretes Angebot steht noch aus. Ist das realistisch?




Mitglied: user217
12.01.2015 um 11:44 Uhr
Ich kann mir ganz gut vorstellen das es ein Problem ist diese Pakete zu identifizieren und an die richtige Internetleitung weiterzugeben.
Da der VPN Client mehrere Protokolle und Ports benutzt muss dieser an der Firewall genau definiert sein um diese richtig einordnen zu können.
Wie wäre die alternative einen extra Router für die Neue Leitung anzuschaffen und per QOS den Webtraffic an diesen zu senden. Ich habe sowas noch nicht gemacht, könnte mir aber vorstellen das es klappen würde.
Bitte warten ..
Mitglied: DeepThought1
12.01.2015 um 12:18 Uhr
Zitat von user217:

Wie wäre die alternative einen extra Router für die Neue Leitung anzuschaffen und per QOS den Webtraffic an diesen zu
senden.

Der AnyConnect Traffic ist meines Wissens nach "normaler" httpS (SSL) Traffic, also würde auch der raus sortiert werden weswegen dann wieder keine Verbindung zu Stande kommen würde.
Bitte warten ..
Mitglied: user217
12.01.2015 um 14:01 Uhr
hmmm das Thema ist echt tricky, ich stand schon mal vor dem gleichen Problem..
Hast du schon mal die Cisco Hotline dazu kontaktiert - die sollten doch für so eine Problemstellung theoretisch was im Schubladen haben.
Ansonsten such mal nach Paket shaper evtl. hilft dir sowas weiter
Bitte warten ..
Mitglied: Dani
12.01.2015 um 23:25 Uhr
Guten Abend,
einen groben Netzwerkplan hast zufällig nicht zur Hand?
D.h. für deine Frage primär geht es um die SDSL und VDSL-Leitung? Damit hast du zwei unterschiedliche öffentliche IP-Adressen(subnetze). Wie willst du mit dieser Vorraussetzung Loadbalancing machen?

Grundsätzlich würde ich dir empfehlen euer ISP - Design überdenken. Zu viele Leitungen, zu viele Router, zu viele Fehlerquellen. Euere Internetleitungen werden wahrscheinlich im Jahresschnitt keine 50% Auslastung haben. Ich würde mir einen ISP ins Haus holen mit einer redudanten Anbindung (Active Active) mit Load Sharing/Load Balancing mieten. Somit findet die Verteilung auf der Providerseite statt und du hast keinen Aufwand.


Gruß,
Dani
Bitte warten ..
Mitglied: user217
13.01.2015 um 12:22 Uhr
ich würde mir auf Dani's ansatz hin mal Multilink PPP ansehen. Ich will keine Werbung machen aber habe sehr gute Erfahrungen mit RH TEC gemacht die bieten das an und es lief 100% einwandfrei über Jahre! was ich sonst kaum erlebt habe..
Bitte warten ..
Mitglied: DeepThought1
13.01.2015 um 16:17 Uhr
Danke für Eure Antworten!

Wir möchten gerne über mindestens zwei verschiedene Provider gehen um nicht komplett offline zu sein falls bei einem was passiert, das hat uns leider die Vergangenheit gelehrt gerade weil wir auch Filialen im Ausland haben und da gelegentlich beim Routing über die Grenze Probleme bei den dortigen Providern zu einzelnen hiesigen Providern auftreten.
Das damit kein richtiges Loadbalancing/MLPPP möglich ist, ist mir klar. Ein aufsplitten der Daten würde völlig ausreichen.
z.B.:
Web + Mail primär über A,
AnyConnect primär über B,
B als Fallback für A und ggf anders herum

Das ich dann ggf. einen Engpass im Ernstfall hab, wäre Ok, denn der ist jetzt leider Standard.

Da wir Ladengeschäfte haben ist unser Traffic (fast) nur in den gängigen Öffnungszeiten relevant, wobei Mittags durch die Pausen ca. 15% mehr gesurft wird.

Momentan haben wir:
*2MBit SDSL für Site2Site-VPNs (Download etwa zur Hälfte ausgelastet, Upload ca 60%)
*eine 16.000er DSL als Backup fürs Site2Site-VPNs (ist zwar langsam wenn es alle nutzen, aber OK und meist sind es nur einzelne Filialen mit Wartungsarbeiten)
*4Mbit SDSL für AnyConnect+Internet (Download etwa 2Mbit im Schnitt, aber auch sehr lange Peaks von bis zu 20min bei 100%;
Upload etwa konstant bei 30%)

Die Peaks treten natürlich zur Hauptgeschäftszeit auf was nervt, daher sollen die weg.

Wegen eines Netzplans schau ich nochmal, den muss ich erst mal von public IPs usw. befreien. ;)
Bitte warten ..
Mitglied: Dani
13.01.2015 um 20:02 Uhr
Wir möchten gerne über mindestens zwei verschiedene Provider gehen um nicht komplett offline zu sein falls bei einem was passiert,
Dann hast du den falschen Provider. Wir haben seit über 8 Jahren die DTAG und bisher hat die Backupleitung noch nie versagt.

Web + Mail primär über A,
AnyConnect primär über B,
B als Fallback für A und ggf anders herum
Fallback für Mail und Web sollte sich mit der richtigen Firewallkonfiguration und MX-Records erschlagen lassen. Das sollte eurer Netzwerker im Schalfen hinbekommen.
Bei Anyconnect müsstest du gerade mehrere IP-Adressen bzw. ein weiteres Profil anlegen, dass der Benutzer dann bei nicht funktionieren nimmt. Aber das ist je nach Useranzahl ein höherer Wartungsaufwand.

Die Peaks treten natürlich zur Hauptgeschäftszeit auf was nervt, daher sollen die weg.
Mit dem richtigen Design und QoS kein Problem. Machen wir ähnlich.


Gruß,
Dani
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
DSL, VDSL
gelöst VPN-Probleme (CISCO AnyConnect) in Zusammenhang mit Router "Vodafone EasyBox" (7)

Frage von donnyS73lb zum Thema DSL, VDSL ...

Netzwerkprotokolle
gelöst Kurze Frage: AnyConnect woher beziehen? (8)

Frage von PharIT zum Thema Netzwerkprotokolle ...

Exchange Server
gelöst Verteilung und Loadbalancing Exchange 2016 (2)

Frage von voelkeml zum Thema Exchange Server ...

Exchange Server
gelöst Exchange 2013 Loadbalancing (5)

Frage von BirdyB zum Thema Exchange Server ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (17)

Frage von liquidbase zum Thema Windows Update ...