Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Zwei Internet Provider-Redundanz

Frage Netzwerke LAN, WAN, Wireless

Mitglied: peter.hh

peter.hh (Level 1) - Jetzt verbinden

17.06.2014, aktualisiert 19.06.2014, 4462 Aufrufe, 18 Kommentare, 1 Danke

Hallo. In der Firma versuchen wir eine Lösung zu finden. Es geht um die Redundanz für unsere Kunden, die von Internet auf uns zugreiffen. Für den Zugriff werden DNS-Namen statt IP-Adressen benutzt. Zurzeit benutzen wir nur einen Provider mit seinem öffentlichen IP-Addressbereich. Welche Möglickeiten gibts es überhaupt, um eine Redundanz mit Hilfe von zwei verschidenen Providern zu schaffen?
Mitglied: Dani
17.06.2014, aktualisiert um 17:33 Uhr
Hallo Peter,
es gibt dort verschiedene Ansätze:
- Company Connect von der Telekom mit Backup. Sprich die Anbindung wird über zwei verschieden HvT geschalten. Falls ein Failover ausgelöst wird, ist trotz Backup alle Services über die gleiche IP-Adresse erreichbar. Das Produkt gibt es natürlich auch von anderen ISP.

- Eigenes IP- Subnet (PI-Space). Damit bist du flexibel und Provider unabhängig. Sprich du kannst zwei oder drei Anbindungen haben und per Routingprotokoll entscheidest du was wohin geroutet wird.

- Ansonsten könntest man noch zwei (v)Server mieten und mit HA-Proxy ein Loadbalancer/Failover einrichten. Somit kann im Hintergrund bei euch zwei simple Business Anschlüsse mit einer festen IP-Adresse verfügbar sein. Hab ich aber noch nie ausprobiert ob das ginge!


Gruß,
Dani
Bitte warten ..
Mitglied: sk
LÖSUNG 17.06.2014, aktualisiert 19.06.2014
Hallo,

die von Dani aufgezeigten zwei ersten Wege, würde ich präferieren.

Wenn das Geld knapp ist, kann man aber auch mit geeigneten Routern etwas frickeln. ZyXEL bietet dafür beispielsweise 2 Lösungswege an:
a) dynamische DNS-Registierung mit Failover
b) Inbound DNS-Loadbalancing

Bei Variante a) lässt man den Hostnamen im externen DNS per Alias auf einen DynDNS-Eintrag auflösen (oder zieht mit seiner kompletten Domain auf einen unterstützten DynDNS-Dienst um). Der MultiWAN-Router sorgt nun dafür, dass im Normalfall die Interface-IP des gewünschten Haupt-WAN-Interfaces beim DynDNS-Dienst registriert ist. Fällt dieses aus, wird automatisch die IP-Adresse des zweiten/nächsten WAN-Interfaces registriert.
Vorteil: Sehr einfach zu implementieren.
Nachteil: der Traffic kommt grundsätzlich immer nur auf einer WAN-Verbindung rein (kein Loadbalancing).

Bei Variante b) spielt die Zywall selbst DNS-Server und zwar mind. zweimal (auf mind. zwei WAN-Interfaces). Hierzu muss die DNS-(Sub-)Zone auf diese beiden DNS-Server (hinter der sich letztlich die gleiche Zywall verbirgt) delegiert werden.
Zum besseren Verständnis hier eine Illustration: http://www2012.studerus.ch/dnl/ch/de/presentation/2_technische-tipps-zl ...
Vorteil: Nicht nur Failover, sondern auch Loadbalancing möglich!
Nachteil: etwas komplexer einzurichten, Verwendung der Firewall als öff. DNS-Server m.E. in mehrfacher Hinsicht bedenklich

Diese beiden Varianten dienen der redundanten Anbindung öffentlich erreichbarer Server hinter der Zywall/in der DMZ. Für den Fall, dass die Kundenanbindung per Site-to-Site-VPN-Tunnel zur Firewall hin erfolgt, gibt es andere Optionen für eine Failoverkonfiguration.

Gruß
Steffen
Bitte warten ..
Mitglied: peter.hh
18.06.2014 um 16:41 Uhr
-Company Connect hort sich gut an. Muss ich mich informieren.

-Eigenes IP-Subnet ? Also BGP-Router und eigenes AS-Nummer im WAN?

-Wir haben eigene Server, die hinter Loadbalancer in der DMZ betrieben werden. Auf diese Loadbalancer wird mit Hilfe von DNS-Namen über TMG oder über Cisco Anyconnect zugegriffen.
Bitte warten ..
Mitglied: Dani
18.06.2014 um 16:48 Uhr
Eigenes IP-Subnet ? Also BGP-Router und eigenes AS-Nummer im WAN?
Jap. Gibt's auch als Managed Service.
Bitte warten ..
Mitglied: peter.hh
18.06.2014 um 17:11 Uhr
Die Lösung von der Telekom mit BGP-Routern und eigenen AS-Nummer für 2x100MB Leitung kostet ca 100000eur im Jahr. Finde ganz schön teuer. Die Leitung wird auch von dem normalen Internet-Traffic benutzt und konnte passieren, dass es weniger als 100MB am ende zu verfügung stehen.

Die Lösung mit dem ZyXEL werde ich mir genau anschauen. Werde morgen die PDF lesen.
Bitte warten ..
Mitglied: peter.hh
18.06.2014 um 17:42 Uhr
Wir haben in unserer Firma sehr gute Erfahrungen mit den Loadbalancern von dem Harrsteller a10 http://www.a10networks.com/ gemacht. Kann der Link Loadbalancer von a10 dieses DNS-Inbound-Load-Balancing oder kann es nicht? gibts es bessere Geräte?
Bitte warten ..
Mitglied: Dani
18.06.2014 um 23:40 Uhr
Die Lösung von der Telekom mit BGP-Routern und eigenen AS-Nummer für 2x100MB Leitung kostet ca 100000eur im Jahr. Finde ganz schön teuer.
Das ist alles relativ... die Frage ist doch, was euch ein Ausfall pro Stunde/Tag, etc... kostet. Muss die Backup-Leitung genau so "groß" sein wie die Primäre? Welche Feature benötige ich? Wie viele feste IP-Adressen? etc...

Wenn du die Internetanbindung redudant auslegst, solltest du auch Firewall und Core-Switches redudant auslegen. Denn sonst bringt das nicht wirklich etwas.


Grüße,
Dani
Bitte warten ..
Mitglied: peter.hh
19.06.2014 um 09:21 Uhr
Unser Netzwerk ist naturlich Redundant ausgelegt. Geräte arbeiten als Cluster oder nutzen HRSP/GLBP. Wir haben nur einen Provider mit zwei WAN-Zugängen. Wir haben aber keine Redundanz wenn ausgerechnet dieser Provider ausfällt.
Bitte warten ..
Mitglied: aqui
19.06.2014 um 11:14 Uhr
2ter Provider Anschluss und den A10 mit Link Loadbalancing davor und dein "Problem" ist gelöst !
Ist doch ein simples Allerwelts Standard Design !
Bitte warten ..
Mitglied: peter.hh
19.06.2014 um 11:33 Uhr
Ich denke auch. Ich muss nur einen guten Link-Loadbalancer finden und mich schlau machen, wie DNS-Inbound-Loadbalancing funktioniert.
So wie ich verstanden habe, hat der Link-Loadbalancer eine Verbindung zum DNS-Server im Internet und kann die DNS-Replay-Pakete verändern.
Bitte warten ..
Mitglied: Dani
19.06.2014 um 11:36 Uhr
Wir haben nur einen Provider mit zwei WAN-Zugängen. Wir haben aber keine Redundanz wenn ausgerechnet dieser Provider ausfällt.
Aus meiner Sicht, fängst du mit einem 2. Provider nur logische Ausfälle ab. Sobald der Bagger das Kupfer zwischen euch und KvZ verwischt, sind beide wieder alle Internetanschlüsse tot. Ihr werdet kaum zwei verschiedene Hauseinführungen haben oder?


Grüße,
Dani
Bitte warten ..
Mitglied: peter.hh
19.06.2014 um 12:33 Uhr
Doch haben wir.
Bitte warten ..
Mitglied: peter.hh
19.06.2014 um 12:37 Uhr
Wir haben zwei Zugänge von Wilhelm.Tel, die an verschidenen Standorten vorhanden sind.
Bitte warten ..
Mitglied: aqui
19.06.2014, aktualisiert um 19:07 Uhr
Und.... wo ist dein Problem ? Dafür brauchst du nichtmal Link Loadbalancing sondern es reichen Bordmittel.
2 mal Default Routen mit entsprechender Metrik Steuerung in das Netzwerk announcen und gut ist. Ein simples Allerweltsdesign. Sinnvoll wäre dann hier dynamisches Routing über die Standorte mit RIPv2 oder OSPF.
Bitte warten ..
Mitglied: peter.hh
19.06.2014 um 22:59 Uhr
Mit einfachen Bordmittel reicht das nicht aus. Es geht um den Zugriff vom Internet zu den Servern, die in der Firma sind. Man hat also nur zwei Möglichkeiten:
a) DNS-Einträge durch eigenen DNS-Server oder durch DynDNS verändern.
b) Eigene BGP-Router mit eigener AS-Nummer, um das Routing des Providers zu verändern.
Bitte warten ..
Mitglied: peter.hh
19.06.2014 um 23:03 Uhr
Der eigene DNS-Server kann der Link-Loadbalancer sein. Er überwacht die WAN-Ports in Richtung Provider und verändert die DNS-Einträge im Internet, wenn ein WAN-Port ausfällt.
Bitte warten ..
Mitglied: aqui
22.06.2014 um 11:59 Uhr
Die DNS Einträge zu verändern ist ja unsinnig, denn die DNS zu IP Auflösung ist ja immer gleich und unabhängig vom aktiven Link.

Wenn überhaupt, dann müsste er die Default Route einemal auf den einen und einmal auf den anderen provider ändern abwechselnd nach Session. Das wäre dann Link Loadbalancing und das korrekte Ausnützen beider Leitungen zur Bandbreitenerhöhung !
Bzw. falls einer der 2 ausfällt geht dann eben der gesamte Traffic entweder in die ein oder in die andere Richtung.
Ein DNS Server kann das nicht. Das macht nur ein Link Loadbalancer oder eben ein Dual WAN Port Router.
Bitte warten ..
Mitglied: peter.hh
22.06.2014 um 15:58 Uhr
Es geht nicht nur um den Traffic von der Firma ins Internet. Sondern auch vom Internet ins firma. Das ändern der default route, reicht nicht aus.
Bitte warten ..
Neuester Wissensbeitrag
Festplatten, SSD, Raid

12TB written pro SSD in 2 Jahren mit RAID5 auf Hyper-VServer

Erfahrungsbericht von Lochkartenstanzer zum Thema Festplatten, SSD, Raid ...

Ähnliche Inhalte
Netzwerkgrundlagen
PFSense kein Internet Zugang (3)

Frage von Phill93 zum Thema Netzwerkgrundlagen ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (34)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...