Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Redundante Internetanbindung ohne Wechsel der externen IP-Adresse mittels VPN bonding?

Frage Netzwerke LAN, WAN, Wireless

Mitglied: Hajama

Hajama (Level 1) - Jetzt verbinden

16.09.2008, aktualisiert 17.09.2008, 9916 Aufrufe, 3 Kommentare

Ziel ist die redundante Anbindung eines Netzwerkes an das Internet über verschiedene ISPs.

Guten Tag!

Für folgende Lage und Lösungsmöglichkeit würe ich über ein Feedback oder alternative Lösungsansätze freuen.

Das Netzwerk ist mit vier verschiedenen Internetzugängen über verschiedene Provider ausgestattet. Die verschiedenen Kanäle sollen im Wesentlichen eine Ausfallsicherheit gewährleisten, aber auch Lastspitzen abfangen.
Wichtigste Nebenbedingung: Es darf von 'außen' nur eine eindeutige IP verwendet werden. Ein wechsel der IP beim Ausfall einer Leitung ist nicht erlaubt, erst recht nicht innerhalb einer Session.

Lösungsansatz:
Alle vier Verbindungen sind derzeit an denen Level-1 FBR-4000 angeschlossen. Diese kann neben LoadBalancing auch VPN-Kanäle zusammenfassen. Als Endpunkt steht ein debian Server mit root-Zugriff bei einem beliebigem "Feld, Wald und Wiesenhoster" zur Verfügung, der ebenfalls diese Kanäle zusammenfasst.
Die IP-Adresse dieses Servers steht nun als externe IP des Netzwerkes zur Verfügung, da sämtlicher Traffic über diese Kiste läuft.

Vorteil dieser Lösung:
+Ausfallsicherheit
+Keine Beeinträchtigung der User im Netzwerk
+von Außen nur eine IP-Adresse unabhängig vom Weg
+Gleichmäßige Nutzung alle Kanäle

Nachteile dieser Lösung:
+internes Netzwerk wird mittels VPN bis in ein externes Rechenzentrum verlegt
+NAT / Firewall nun auf root-Server außerhalb des Netzwerkes
+Internetanbindung abhängig vom externen Rechenzentrum
+Hoher Konfigurationsaufwand

Alternativ zum FBR-4000 steht noch ein Draytek Vigor 3300 bereit, der den FBR-4000 ggfs. ablösen soll da dieser nicht sehr stabil läuft.
Gerne würde ich ein paar Meinungen / Ideen oder auch Erfahrungen zu dieser Thematik sammeln - vielleicht gibt es auch noch einen wesentlich einfacheren Ansatz mittels Proxys o.ä.?

Dank und Gruß,
Hajama
Mitglied: aqui
16.09.2008 um 14:43 Uhr
Du gehst von völlig falschen technischen Vorausetzungen aus bei dem wie du vermutest wie deine vermeintliche Lösung funktionieren soll.
Diese Router, egal ob Level One oder Draytek, können einzig und allein nur ein sessionbasierendes Load Balancing niemals aber ein Load Balancing auf Paket Basis so wie du es vermutest.
Damit ist dein gesamtes Szenario von sich aus schon falsch, denn ein Bündeln von VPN Session (oder auch aller anderen Sessions) ist linkübergreifend technisch gar nicht möglich mit dieser Hardware !
Mal ganz abgesehen das es die Provider auch nicht oder nur extrem selten supporten.

Du hast also immer und in jedem Fall einen Sessionabbruch wenn der Link ausfällt über den diese Session läuft. Die Applikation muss also danach eine komplett neue TCP/UDP Session über einen der verbliebenen Links neu aufbauen.
Damit ist auch klar das deine vermeintliche Bandbreitenerhöhung gar keine ist, sondern lediglich eine Verteilung auf einen der parallelen Links. Eine TCP/UDP Einzelsession ist immer fixiert auf einen festen Link nutzt also niemals mehrere Links wie du denkst.
Fazit: Alle deine vermeintlichen Vorteile wie
+Ausfallsicherheit
+Keine Beeinträchtigung der User im Netzwerk
+von Außen nur eine IP-Adresse unabhängig vom Weg
+Gleichmäßige Nutzung alle Kanäle

sind gar keine weil diese schon von vorn herein gar nicht gegeben sind und auch nicht zu realisieren sind mit dieser Lösung !!

Was du anstrebst ist sowas wie MPPP (Multilink PPP) was paketbasierend ist und auch ein Recovery machen kann sowie für einen Block von Links nur eine virtuelle IP nutzt. Das liegt an der PPP Sesion die auch einen Datenfluss über parallele PPP Links wieder recovern kann.
Sowas ist aber mit Consumer Billighardware wie du sie einsetzt, egal ob Level One oder Draytek, nicht zu realisieren. Das leisten erst Router in einer anderen Preisrange !
Abgesehen davon gibt es so gut wie keinen Provider der das derzeit Consumer Kunden anbietet.
Es sind lediglich einige wenige die MPPP Funktionen Endkunden anbieten und dann auch mit anderen Kosten als ein banaler DSL Anschluss, das ist klar.
Wenn du das wirklich willst solltest du also erstmal deinen Provider fragen ob der oder die das überhaupt unterstützen !!!

Das Thema Proxy fällt bei VPN Sessions sowieso gleich unter den Tisch !
Bitte warten ..
Mitglied: Hajama
16.09.2008 um 17:35 Uhr
Hallo Aqui,

danke für die rasche Antwort.
Leider scheint Deine Auslegung nicht ganz zu dem von mir beschriebenen Szenario zu passen.
Grundsätzlich ist mein Ziel die redundante Anbindung über verschiedene ISPs. Dies schließt auf jeden Fall eine Aggregation der WAN-Anschlüsse aus, es sei denn diese würden alle beim selben Provider liegen, was aber eine Redundanz nicht mehr so sinnvoll erscheinen läßt - es sei denn es geht um Geschwindigkeit (hier aber gehts um Ausfallsicherheit).

Mir geht es hier um eine Lösung der Anbindung, die z.B. über das bonding von VPN-Verbindungen erfolgen kann. Das ist natürlich nicht sehr effizient und aus performance-Gründen eher nicht empfehlenswert, aber darum geht es hier auch nicht.

Die beiden Geräte würde ich beim Preis von rund EUR 500 pro Stück eigentlich nicht in die Kategorie "Consumer Billighardware" einstufen, aber das ist sicher eher eine Frage der subjektiven Bedeutung des Geldes. Mindestens aber der FBR-4000 unterstützt die Aggregation von VPN-Tunneln.

Unter Linux ist dies übrigens sehr einfach mit den tap devices zu lösen, da diese eine "virtuelle" ethernet-Schnittstelle darstellen.

Das Thema Proxy und VPN gehört natürlich nicht zusammen, ggfs. könnte es aber auch eine Lösung zu meiner Aufgabenstellung geben, die nicht mit VPN, sondern mit Proxies arbeitet.

Entscheident ist die Nebenbedingung, die besagt, dass nach "außen" hin nur eine IP-Adresse erscheinen darf. Ansonsten wäre es relativ einfach die Load Balancing Option auf den Routern zu aktivieren.

Nochmal der Hinweis: Es geht hier nicht um Bandbreite. Im Gegenteil ist im Optimalfall die maximale Bandbreite die Duchschnittsbandbreite durch alle Kanäle, abzüglich dem was durch die VPN Verschlüsselung ggfs. noch verloren geht.

Trotzdem nochmal vielen Dank für die Antwort.

Gruß,
Hajama
Bitte warten ..
Mitglied: aqui
17.09.2008 um 09:54 Uhr
Deine Aussage: "Grundsätzlich ist mein Ziel die redundante Anbindung über verschiedene ISPs. Dies schließt auf jeden Fall eine Aggregation der WAN-Anschlüsse aus..."

Stimmt ja so nicht ! Wie kommst du darauf das das eine Aggregierung der WAN Anschlüsse ausschliesst ???
Das ist ja gerade der tiefere Sinn dieser 2 Port Router !!!

Du kannst eine VPN Session Verteilung auf Round Robin Basis machen oder eben auf Basis der Quell IP Adressen. Damit erreichst du einen optimale Verteilung aller Sessions auf die 2 Links und das auch noch mit gegenseitigem Backup wenn der eine oder der andere Link beim Provider ausfallen sollte !!!

Wo ist also dein Problem ??? Das Szenario macht dann doch alles genau so wie du es willst wenn dein Schwerpunkt auf der Redundanz liegt... ??!!

Warum du 500 Euro für so ein System ausgibst ist auch unverständlich. Die Draytek Systeme haben im Test erheblich besser abgeschnitten als der Level 1 Router und bei einem Strassenpreis von ca. 240 Euro für das grosse Modell (2930) bekommst du 2 Systeme für den Preis eines Systems von Level 1 und das mit einem erheblich besseren Featureset !!!
Bitte warten ..
Neuester Wissensbeitrag
CPU, RAM, Mainboards

Angetestet: PC Engines APU 3a2 im Rack-Gehäuse

(2)

Erfahrungsbericht von ashnod zum Thema CPU, RAM, Mainboards ...

Ähnliche Inhalte
LAN, WAN, Wireless
gelöst VPN Tunnel - Client bekommt falsche IP Adresse (16)

Frage von Markowitsch zum Thema LAN, WAN, Wireless ...

Firewall
gelöst Cisco ASA - Wechsel der Outside IP Adresse auf der Remote Site ASA (3)

Frage von tweishaar zum Thema Firewall ...

LAN, WAN, Wireless
gelöst TP-Link WA501G als Client einrichten - Keine IP Adresse wir bezogen (14)

Frage von bestelitt zum Thema LAN, WAN, Wireless ...

E-Mail
gelöst Falsche SMTP Server IP Adresse (6)

Frage von laster zum Thema E-Mail ...

Heiß diskutierte Inhalte
Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (15)

Frage von JayyyH zum Thema Switche und Hubs ...

DSL, VDSL
DSL-Signal bewerten (13)

Frage von SarekHL zum Thema DSL, VDSL ...

Windows Server
Mailserver auf Windows Server 2012 (9)

Frage von StefanT81 zum Thema Windows Server ...