Hallo zusammen,
es ist mal wieder so weit. Der Kunde droht mit Auftrag :=)
Nun habe ich das Szenario, das
erstens eine Domänen-Gesamtstruktur mit 21 Servern über mehrere Standorte realisiert werden muss (über VPN Verbindungen) und
zweitens 10-20 Clients sich über den VPN Client einwählen wollen.
Zuerst die Frage, wie man am besten Redundanz konfiguriert. Ich dachte daran, 2 7111 zu installieren und den Punkt "weiter entfernte Gateways" zu konfigurieren. (müssten diesselben Konfigs sein, oder) Im Normalfall hätte ich so 200 VPN Verbindungen und im Backupfall 100, liege ich da richtig ?
Bzw. konfiguriert man auch die VPN Redundanz über VRRP ?
Ist leider mein erstes so großes Projekt und deshalb bin ich trotz Zertifizierung ein wenig überfordert.
Vielleicht hat ja schon mal jemand ähnliches aufgebaut und kann mir ein paar Tips geben.
LG
Genom
Redundanz VPN Gateway 7111
Moderator: Lancom-Systems Moderatoren
Hi Genom
- mit Erstem
Beim Aufbau des Tunnels wird immer das erste Gateway genommen - und nur wenn der Aufbau scheitert wird der Reihe nach das 2, dann das 3. etc benutzt.
- mit zuletzt Benuztzem
Beim Aufbau des Tunnels wird immer das lezte genommen, zu dem erfolgreich eine Verbindung aufgebaut werden konnte. Wenn der Aufbau scheitert werden der Reihe die nächsten in der Liste benutzt (incl. "Wraparround")
- mit Zufälligem
Jedesmal wird zufällig ein Gateway aus der Liste ausgewählt. Das kann als eine Art Loadbalancer verwendet werden.
Hier heißt die Lösung RIP:
Das Gateway, daß gerade den Tunnel aktiv hat propagiert dies über RIP, so daß das andere etwaige Pakete für den Tunnel zum richtigen Gateway kann...
Gruß
Backslash
ja, genau dafür ist der Punkt da.Zuerst die Frage, wie man am besten Redundanz konfiguriert. Ich dachte daran, 2 7111 zu installieren und den Punkt "weiter entfernte Gateways" zu konfigurieren
ja, weil sich ja nur die angesprochene IP-Adresse ändert.(müssten diesselben Konfigs sein, oder)
nein, die Anzahl der VPN-Verbidnungen ist immer gleich, weil ja von jeder Filiale immer nur ein Tunnel aufgebaut wird. Wenn der Tunnel zusammenbricht (oder der Aufbau scheitert), dann wird jedachdem, was bei den "weiteren Gateways" unter "Anfangen mit" steht, das nächste Gateway gewählt. Es gibt folgenden Möglichkeiten:Normalfall hätte ich so 200 VPN Verbindungen und im Backupfall 100, liege ich da richtig ?
- mit Erstem
Beim Aufbau des Tunnels wird immer das erste Gateway genommen - und nur wenn der Aufbau scheitert wird der Reihe nach das 2, dann das 3. etc benutzt.
- mit zuletzt Benuztzem
Beim Aufbau des Tunnels wird immer das lezte genommen, zu dem erfolgreich eine Verbindung aufgebaut werden konnte. Wenn der Aufbau scheitert werden der Reihe die nächsten in der Liste benutzt (incl. "Wraparround")
- mit Zufälligem
Jedesmal wird zufällig ein Gateway aus der Liste ausgewählt. Das kann als eine Art Loadbalancer verwendet werden.
nein, da letztendlich beide Gateways in der Zentrale jederzeit Tunnel aufnehmen können (z.B. Filiale 1 kann Gateway 1 erreichen, während Filiale 2 z.Zt nur Gateway 2 sieht), müssen sie auch immer aktiv sein.Bzw. konfiguriert man auch die VPN Redundanz über VRRP ?
Hier heißt die Lösung RIP:
Das Gateway, daß gerade den Tunnel aktiv hat propagiert dies über RIP, so daß das andere etwaige Pakete für den Tunnel zum richtigen Gateway kann...
Gruß
Backslash
@backslash
Vielen Dank für Deine ausführliche Antwort.
Ich trage also im VPN Client, bzw. im Router im Hotel 2 Gateways ein.
Das impliziert allerdings, das ich 2 WAN Verbindungen, bzw. einen CompanyConnect Anschluß mit 2 verschiedenen IP Adressen habe, oder ?
Das heißt, dass nur beim Einsatz von RIP sichergestellt werden kann, das jeder VPN Client mit jedem bei Bedarf kann, da sonst zuviele manuelle Routen geschrieben werden müssten. (bzw. es sogar zu Schleifen kommen könnte)
Dem angeschlossenen Server ist das doch alles egal, ich aktiviere RIP auf den beiden 7111 und die Clients bekommen ja durch die VPN Konfiguration (Config Mode) Ihre passende IP Adresse.... mh, ist wohl doch etwas komplizierter, als nen VPN an nem 1711
Gruß
Genom
Vielen Dank für Deine ausführliche Antwort.
Ich trage also im VPN Client, bzw. im Router im Hotel 2 Gateways ein.
Das impliziert allerdings, das ich 2 WAN Verbindungen, bzw. einen CompanyConnect Anschluß mit 2 verschiedenen IP Adressen habe, oder ?
Puh, stimmt, da war ja noch wasHier heißt die Lösung RIP:
Das heißt, dass nur beim Einsatz von RIP sichergestellt werden kann, das jeder VPN Client mit jedem bei Bedarf kann, da sonst zuviele manuelle Routen geschrieben werden müssten. (bzw. es sogar zu Schleifen kommen könnte) Dem angeschlossenen Server ist das doch alles egal, ich aktiviere RIP auf den beiden 7111 und die Clients bekommen ja durch die VPN Konfiguration (Config Mode) Ihre passende IP Adresse.... mh, ist wohl doch etwas komplizierter, als nen VPN an nem 1711
Gruß
Genom
Hi Genom
Im Client brauchst du dann zwei Profile, die sich nur im Gateway unterscheiden (under der User muß manuell umschalten)
Das RIP dient dazu, daß alle Beteiligten wissen, daß der Tunnel zur Filiale X nun auf LANCOM 2 aufgebaut ist und nicht mehr auf LANCOM 1
Wenn der Tunnel irgendwann auf dem LANCOM 2 zusammenbricht und danach wieder auf LANCOM 1 aufgebaut wird, dann läuft das Spielchen halt anders herum: Das Paket, das der Server zu LANCOM 2 schickt, wird von diesem zu LANCOM 1 geschickt und der Server bekommt wieder ein ICMP-Redirect.
Gruß
Backslash
nun ja, im Router geht das - wenn's ein LANCOM ist...Ich trage also im VPN Client, bzw. im Router im Hotel 2 Gateways ein
Im Client brauchst du dann zwei Profile, die sich nur im Gateway unterscheiden (under der User muß manuell umschalten)
in der Zentrale ja...Das impliziert allerdings, das ich 2 WAN Verbindungen (...) habe, oder ?
Der CompanyConnect Anschluß mit 2 verschiedenen IP Adressen wird dir zwecks Redundanz nicht viel bringen - zumindest nicht wenn die Leitung oder der Grenzrouter ausfällt... Der hilft nur, wenn eins der LANCOMs dahinter ausfälltbzw. einen CompanyConnect Anschluß mit 2 verschiedenen IP Adressen
nein, das hat nichts mit zu vielen Routen zu tun - du mußt ja trotzdem in jedem LANCOM alle VPN-Verbindungen komplett eintragen (oder mit Zertifikaten und vereinfachter Einwahl arbeiten).Das heißt, dass nur beim Einsatz von RIP sichergestellt werden kann, das jeder VPN Client mit jedem bei Bedarf kann, da sonst zuviele manuelle Routen geschrieben werden müssten. (bzw. es sogar zu Schleifen kommen könnte)
Das RIP dient dazu, daß alle Beteiligten wissen, daß der Tunnel zur Filiale X nun auf LANCOM 2 aufgebaut ist und nicht mehr auf LANCOM 1
Richtig - dem Server ist das egal. Der schickt ggf. Pakete für einen Tunnel, der auf LANCOM 2 endet zunächst mal zu LANCOM 1. Das LANCOM weiß aber wegen des RIPs, daß der Tunnel nun auf dem anderen LANCOM aufgebaut ist und schickt nun zum Einen das Paket an LANCOM 2 und zum anderen ein ICMP-Redirect zum Server. Das nächste Paket schickt der Server dann direkt an LANCOM 2.Dem angeschlossenen Server ist das doch alles egal, ich aktiviere RIP auf den beiden 7111 und die Clients bekommen ja durch die VPN Konfiguration (Config Mode) Ihre passende IP Adresse....
Wenn der Tunnel irgendwann auf dem LANCOM 2 zusammenbricht und danach wieder auf LANCOM 1 aufgebaut wird, dann läuft das Spielchen halt anders herum: Das Paket, das der Server zu LANCOM 2 schickt, wird von diesem zu LANCOM 1 geschickt und der Server bekommt wieder ein ICMP-Redirect.
das Szenario ist ja auch komplexer, als ein einzelner Tunnel...mh, ist wohl doch etwas komplizierter, als nen VPN an nem 1711
Gruß
Backslash
Natürlich würde ich dann durchgehend Lancom einsetzennun ja, im Router geht das - wenn's ein LANCOM ist...
Stimmt, war eher ein Beispiel. Ich wollte 2 seperate WAN Anschlüsse, sowie 2 Domänencontroller einsetzen.Der CompanyConnect Anschluß mit 2 verschiedenen IP Adressen wird dir zwecks Redundanz nicht viel bringen
Die 2 Switches kann ich mir ja dank der integrierten 5 Ports im Lancom sparen
Ich habe jetzt erst mal keine Fragen mehr
Thx nochmal
Genom
Hallo nochmal,
mittlerweile habe ich mich dazu entschieden, den Domänencontrollen als ESX Server mit 2 Maschinen aufzubauen. (+ Managementserver)
Wenn ich dann ein Gateway eintrage, aber 2 Lancomrouter habe, wäre es doch sinnig über die ganze Geschichte noch VRRP zu ziehen, um eine zentrale GatewayIP zu haben, oder ? Somit würde es bei den Lancoms auch keinen Single Point of Failure mehr geben.. Ach ich freu mich schon auf den Aufbau *G*
Gruß
mittlerweile habe ich mich dazu entschieden, den Domänencontrollen als ESX Server mit 2 Maschinen aufzubauen. (+ Managementserver)
Wenn ich dann ein Gateway eintrage, aber 2 Lancomrouter habe, wäre es doch sinnig über die ganze Geschichte noch VRRP zu ziehen, um eine zentrale GatewayIP zu haben, oder ?
Somit würde es bei den Lancoms auch keinen Single Point of Failure mehr geben.. Ach ich freu mich schon auf den Aufbau *G*Gruß