Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

VPN auf einer alternativen Route

Frage Netzwerke Netzwerkgrundlagen

Mitglied: linad21

linad21 (Level 1) - Jetzt verbinden

25.04.2012, aktualisiert 30.05.2012, 3198 Aufrufe, 9 Kommentare

Folgendes, bisheriges Szenario:

am Ort Nr. 1 befindet sich ein Openvpn-Client (Subnetz 192.168.1.0/24). Dieser baut als Openvpn-Client eine Verbindung zum Openvpn-Server am Ort Nr. 2 auf (Subnetz 192.168.2.0/24). Alle Clients hinter dem Client und Server kommunizieren in beide Richtungen miteinander.

Folgendes, wünschenswertes Szenario:

am Ort Nr. 2 wird eine zusätzliche DSL-Leitung in Betrieb genommen. Auf dem Openvpn-Server am Ort Nr. 2 wird eine zusätzliche Instanz des vpn-Dienstes auf einem anderen Port gestartet. Der VPN-Server wartet also auf zwei unterschiedlichen IP-Adressen auf eine Verbindung vom Openvpn-Client, der sich am Ort Nr. 1 befindet. Der Openvpn-Client baut also zwei Routen (beide zum gleichen Subnetz 192.168.2.0/24) auf.
Nun soll es so laufen, dass die IP-Geräte, die hinter dem Openvpn-Client am Ort Nr. 1 stehen den alternativen DSL-Zugang am Ort Nr. 2 nutzen sollen, falls der erste DSL-Zugang ausfällt.
Das Problem ist aber, dass bei einem Ausfall des zuerst aufgebauten VPN-Tunnels (am Openvpn-Client) immer noch die erste Route in der Routingtabelle steht und die Pakete nicht weitergeleitet werden können.

Gibt es eine Möglichkeit zu prüfen, ob die Pakete aus dem Netz des Ortes Nr. 1 das Netz des Ortes Nr. 2 erreichen können und falls nicht, den nicht funktionierenden Tunnel abzuschießen und den zweiten Tunnel nochmal aufzubauen, damit in der Routingtabelle der zweite Tunnel steht und somit die Pakete wieder durchgeroutet werden können?

Ich hoffe, ich habe mich einigermaßen klar ausgedrückt... Danke schon mal für die Antworten.
Mitglied: atbs84
25.04.2012 um 14:55 Uhr
So wie du das beschreibst ist das doch eher Site 2 Site VPN oder? Wenn "die Clients hinter dem Client" auch die VPN-Verbindung nutzen...
Am besten wäre da wohl ein 2. VPN-Server (auf der "Client-Seite") der das Failover macht und den (echten) Clients als Gateway dient.
Bitte warten ..
Mitglied: linad21
25.04.2012 um 15:22 Uhr
Es ist site2site vpn. Das Problem ist aber, dass die Clients dann ein zweites GW hätten, oder? Mein Ziel ist ein GW auf der Seite des Ortes Nr. 1. Dieses GW, das ja auch der VPN-Server ist, sollte dann die Routen autom. wechseln, falls die erste Route ausfällt.
Bitte warten ..
Mitglied: atbs84
25.04.2012 um 15:27 Uhr
Clients an Ort 1 -> Gateway an Ort 1
(2 VPN-Verbindungen)
Gateway an Ort 2 <- Clients an Ort 2

Die Gateways sind die OpenVPN-Endpunkte. Die Clients kennen jeweils nur den Endpunkt als einziges Gateway und das Routing im Gateway entscheidet, über welche VPN-Verbindung das ganze läuft.
Bitte warten ..
Mitglied: linad21
25.04.2012 um 15:50 Uhr
Ja genau, aber: wenn die erste der beiden VPN-Verbindungen zusammenbricht, dann bleibt immer noch der Eintrag in der Routingtabelle, der auf den Tunnel zeigt, der nicht mehr existiert, z.B. dieser:

192.168.2.0 70.8.0.2 255.255.255.0 UG 0 0 0 tun0

Nun müsste dieser Tunnel abgebaut werden, also z.B. durch abschießen dieses openvpn-Prozesses mit kill, und der alternative Tunnel aufgebaut werden. Nur dann gehen die Pakete wieder in das Netz an Ort 2.
Bitte warten ..
Mitglied: atbs84
25.04.2012 um 15:56 Uhr
http://www.imped.net/oss/misc/openvpn-2.0-howto-edit.html#loadbalance

Der andere VPN-Endpunkt kriegt den Ausfall doch mit und reagiert ensprechend indem er eine neue Verbindung (über die Reserve-Leitung) aufbaut und die Routingtabelle anpasst.
Bitte warten ..
Mitglied: aqui
25.04.2012 um 16:21 Uhr
So ein VPN Design ist eigentlich krank. Es ist erheblich sinnvoller an Ort 2 einen Dual WAN Port Load Balancing Router zu installieren wie z.B. einen Draytek 2910
Der kümmert sich automatisch um die Auslastung der beiden DSL Links und um ein automatisches Failover wenn einer ausfällt.
http://alt.draytek.de/Beispiele_html/Ethernet_WAN_LAN/Dual_WAN.htm
So kann man sich diese unsägliche Frickelei der 2 OVPN Instanzen sparen.
Aus Sicherheits- und Verfügbarkeits Sicht ist das die optimale Lösung.
Bitte warten ..
Mitglied: linad21
25.04.2012 um 16:33 Uhr
Danke für den Link atbs84. Hab das irgendwie nicht bedacht mit dem Failover, bzw. bisher nicht implementiert. Werde das mal testen.
Bitte warten ..
Mitglied: linad21
25.04.2012 um 16:41 Uhr
Kein schlechter Ansatz aqui. Sei bedankt. Manchmal macht man sich das Leben unnötig schwer...
Das einzig Negative an der Sache ist vielleicht, dass man sich wahrscheinlich von dem Hersteller abhängig macht.
Also am besten gleich zwei Stck. für jeden Standort kaufen.
Bitte warten ..
Mitglied: aqui
06.05.2012 um 15:59 Uhr
@linad21
Nein das ist Blödsinn. Eine Abhängigkeit gehst du damit keinesfalls ein, denn diese Dual Port WAN Router gibt es von diversen Herstellern...
Linksys, Edimax, LevelOne, Cisco usw. usw.
Da von einer Abhängigkeit zu sprechen wäre Unsinn, denn das ist ein absolut gängiges Szenario in solchen Anbindungen wo man 2 und mehr Internet Zugänge hat und auch ausnutzen will wofür man bezahlt...

Wenns das denn nun war bitte
http://www.administrator.de/index.php?faq=32
nicht vergessen !
Bitte warten ..
Ähnliche Inhalte
Router & Routing
Alternative - Router die OPENVPN unterstützen
gelöst Frage von planetITRouter & Routing9 Kommentare

Liebe Community, im Bereich Standordvernetzung setzen wir auf IPSec und OpenVPN. Warum Open VPN: OpenVPN ist mit eins der ...

LAN, WAN, Wireless
VPN Verbindung bzw. Alternative
gelöst Frage von Diddi-tbLAN, WAN, Wireless16 Kommentare

Hallo zusammen, meine beiden Chefs möchten gerne von zu Hause aus auf unseren Server bzw. die Freigaben zugreifen. Nun ...

LAN, WAN, Wireless
Alternativen für VPN bei schlechter Internetverbindung
Frage von HamsertLAN, WAN, Wireless9 Kommentare

Hallo liebe Kollegen, folgendes Problem: Unsere Mitarbeiter greifen mit ihren Firmennotebooks von zu Hause auf das Firmennetzwerk (bzw. eigentlich ...

Voice over IP
VPN Router hinter VoIP Router
Frage von baxxter333Voice over IP1 Kommentar

Hallo, ich habe das Problem, dass ich ein Firmennetzwerk mit über 30 per VPN angebundenen Außenstellen betreibe, und die ...

Neue Wissensbeiträge
Windows 10

Autsch: Microsoft bündelt Windows 10 mit unsicherer Passwort-Manager-App

Tipp von kgborn vor 9 StundenWindows 101 Kommentar

Unter Microsofts Windows 10 haben Endbenutzer keine Kontrolle mehr, was Microsoft an Apps auf dem Betriebssystem installiert (die Windows ...

Sicherheits-Tools

Achtung: Sicherheitslücke im FortiClient VPN-Client

Tipp von kgborn vor 11 StundenSicherheits-Tools

Ich weiß nicht, wie häufig die NextGeneration Endpoint Protection-Lösung von Fortinet in deutschen Unternehmen eingesetzt wird. An dieser Stelle ...

Internet

USA: Die FCC schaff die Netzneutralität ab

Information von Frank vor 1 TagInternet3 Kommentare

Jetzt beschädigt US-Präsident Donald Trump auch noch das Internet. Der neu eingesetzte FCC-Chef Ajit Pai ist bekannter Gegner einer ...

DSL, VDSL

ALL-BM200VDSL2V - Neues VDSL-Modem mit Vectoring von Allnet

Information von Lochkartenstanzer vor 1 TagDSL, VDSL2 Kommentare

Moin, Falls jemand eine Alternative zu dem draytek sucht: Gruß lks

Heiß diskutierte Inhalte
TK-Netze & Geräte
VPN-fähige IP-Telefone
Frage von the-buccaneerTK-Netze & Geräte16 Kommentare

Hi! Weiss noch jemand ein VPN-fähiges IP-Telefon mit dem man z.B. einen Heimarbeitsplatz gesichert anbinden könnte? Habe nur einen ...

Windows Server
GPO nur für bestimmte Computer
Frage von Leo-leWindows Server12 Kommentare

Hallo Forum, gern würde ich ein Robocopy script per Bat an eine GPO hängen. Wichtig wäre aber dort der ...

Windows Server
KMS Facts for Client configuration
Frage von winlinWindows Server12 Kommentare

Hey Leute, wir haben in unserem Netz nun einen neuen KMS Server. Haben Bestands-VMs die noch nicht aktiviert sind. ...

Netzwerkgrundlagen
Laufwerkszuordnung mit zwei IPs
Frage von Alex29Netzwerkgrundlagen11 Kommentare

Hallo in die Runde, Ich als Hobbyadmin hätte mal wieder eine Frage an die Profis. Ich habe ein Netzwerk ...