Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

VPN auf einer alternativen Route

Frage Netzwerke Netzwerkgrundlagen

Mitglied: linad21

linad21 (Level 1) - Jetzt verbinden

25.04.2012, aktualisiert 30.05.2012, 3130 Aufrufe, 9 Kommentare

Folgendes, bisheriges Szenario:

am Ort Nr. 1 befindet sich ein Openvpn-Client (Subnetz 192.168.1.0/24). Dieser baut als Openvpn-Client eine Verbindung zum Openvpn-Server am Ort Nr. 2 auf (Subnetz 192.168.2.0/24). Alle Clients hinter dem Client und Server kommunizieren in beide Richtungen miteinander.

Folgendes, wünschenswertes Szenario:

am Ort Nr. 2 wird eine zusätzliche DSL-Leitung in Betrieb genommen. Auf dem Openvpn-Server am Ort Nr. 2 wird eine zusätzliche Instanz des vpn-Dienstes auf einem anderen Port gestartet. Der VPN-Server wartet also auf zwei unterschiedlichen IP-Adressen auf eine Verbindung vom Openvpn-Client, der sich am Ort Nr. 1 befindet. Der Openvpn-Client baut also zwei Routen (beide zum gleichen Subnetz 192.168.2.0/24) auf.
Nun soll es so laufen, dass die IP-Geräte, die hinter dem Openvpn-Client am Ort Nr. 1 stehen den alternativen DSL-Zugang am Ort Nr. 2 nutzen sollen, falls der erste DSL-Zugang ausfällt.
Das Problem ist aber, dass bei einem Ausfall des zuerst aufgebauten VPN-Tunnels (am Openvpn-Client) immer noch die erste Route in der Routingtabelle steht und die Pakete nicht weitergeleitet werden können.

Gibt es eine Möglichkeit zu prüfen, ob die Pakete aus dem Netz des Ortes Nr. 1 das Netz des Ortes Nr. 2 erreichen können und falls nicht, den nicht funktionierenden Tunnel abzuschießen und den zweiten Tunnel nochmal aufzubauen, damit in der Routingtabelle der zweite Tunnel steht und somit die Pakete wieder durchgeroutet werden können?

Ich hoffe, ich habe mich einigermaßen klar ausgedrückt... Danke schon mal für die Antworten.
Mitglied: atbs84
25.04.2012 um 14:55 Uhr
So wie du das beschreibst ist das doch eher Site 2 Site VPN oder? Wenn "die Clients hinter dem Client" auch die VPN-Verbindung nutzen...
Am besten wäre da wohl ein 2. VPN-Server (auf der "Client-Seite") der das Failover macht und den (echten) Clients als Gateway dient.
Bitte warten ..
Mitglied: linad21
25.04.2012 um 15:22 Uhr
Es ist site2site vpn. Das Problem ist aber, dass die Clients dann ein zweites GW hätten, oder? Mein Ziel ist ein GW auf der Seite des Ortes Nr. 1. Dieses GW, das ja auch der VPN-Server ist, sollte dann die Routen autom. wechseln, falls die erste Route ausfällt.
Bitte warten ..
Mitglied: atbs84
25.04.2012 um 15:27 Uhr
Clients an Ort 1 -> Gateway an Ort 1
(2 VPN-Verbindungen)
Gateway an Ort 2 <- Clients an Ort 2

Die Gateways sind die OpenVPN-Endpunkte. Die Clients kennen jeweils nur den Endpunkt als einziges Gateway und das Routing im Gateway entscheidet, über welche VPN-Verbindung das ganze läuft.
Bitte warten ..
Mitglied: linad21
25.04.2012 um 15:50 Uhr
Ja genau, aber: wenn die erste der beiden VPN-Verbindungen zusammenbricht, dann bleibt immer noch der Eintrag in der Routingtabelle, der auf den Tunnel zeigt, der nicht mehr existiert, z.B. dieser:

192.168.2.0 70.8.0.2 255.255.255.0 UG 0 0 0 tun0

Nun müsste dieser Tunnel abgebaut werden, also z.B. durch abschießen dieses openvpn-Prozesses mit kill, und der alternative Tunnel aufgebaut werden. Nur dann gehen die Pakete wieder in das Netz an Ort 2.
Bitte warten ..
Mitglied: atbs84
25.04.2012 um 15:56 Uhr
http://www.imped.net/oss/misc/openvpn-2.0-howto-edit.html#loadbalance

Der andere VPN-Endpunkt kriegt den Ausfall doch mit und reagiert ensprechend indem er eine neue Verbindung (über die Reserve-Leitung) aufbaut und die Routingtabelle anpasst.
Bitte warten ..
Mitglied: aqui
25.04.2012 um 16:21 Uhr
So ein VPN Design ist eigentlich krank. Es ist erheblich sinnvoller an Ort 2 einen Dual WAN Port Load Balancing Router zu installieren wie z.B. einen Draytek 2910
Der kümmert sich automatisch um die Auslastung der beiden DSL Links und um ein automatisches Failover wenn einer ausfällt.
http://alt.draytek.de/Beispiele_html/Ethernet_WAN_LAN/Dual_WAN.htm
So kann man sich diese unsägliche Frickelei der 2 OVPN Instanzen sparen.
Aus Sicherheits- und Verfügbarkeits Sicht ist das die optimale Lösung.
Bitte warten ..
Mitglied: linad21
25.04.2012 um 16:33 Uhr
Danke für den Link atbs84. Hab das irgendwie nicht bedacht mit dem Failover, bzw. bisher nicht implementiert. Werde das mal testen.
Bitte warten ..
Mitglied: linad21
25.04.2012 um 16:41 Uhr
Kein schlechter Ansatz aqui. Sei bedankt. Manchmal macht man sich das Leben unnötig schwer...
Das einzig Negative an der Sache ist vielleicht, dass man sich wahrscheinlich von dem Hersteller abhängig macht.
Also am besten gleich zwei Stck. für jeden Standort kaufen.
Bitte warten ..
Mitglied: aqui
06.05.2012 um 15:59 Uhr
@linad21
Nein das ist Blödsinn. Eine Abhängigkeit gehst du damit keinesfalls ein, denn diese Dual Port WAN Router gibt es von diversen Herstellern...
Linksys, Edimax, LevelOne, Cisco usw. usw.
Da von einer Abhängigkeit zu sprechen wäre Unsinn, denn das ist ein absolut gängiges Szenario in solchen Anbindungen wo man 2 und mehr Internet Zugänge hat und auch ausnutzen will wofür man bezahlt...

Wenns das denn nun war bitte
http://www.administrator.de/index.php?faq=32
nicht vergessen !
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
LAN, WAN, Wireless
SSL VPN Appliances - Alternativen zu Sonicwall? (4)

Frage von Dancel zum Thema LAN, WAN, Wireless ...

Windows Server
RODC über VPN - Verbindung weg (9)

Frage von stefan2k1 zum Thema Windows Server ...

Router & Routing
InterVlan Routing mit Linksys LRT224 Dual WAN Gigabit VPN Router (1)

Frage von darkliving zum Thema Router & Routing ...

Firewall
gelöst Site-to-Site-VPN und Cisco VPN-Client von gleicher IP (2)

Frage von TripleDouble zum Thema Firewall ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (20)

Frage von Xaero1982 zum Thema Microsoft ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Festplatten, SSD, Raid
M.2 SSD wird nicht erkannt (14)

Frage von uridium69 zum Thema Festplatten, SSD, Raid ...