VPN über DSL (mit ISDN Backup)
Moderator: Lancom-Systems Moderatoren
- LittleAdmin
- Beiträge: 52
- Registriert: 27 Nov 2006, 09:14
- Wohnort: Remscheid
- Kontaktdaten:
VPN über DSL (mit ISDN Backup)
Hi,
habe eine nicht ganz so einfache Geschichte:
In einem Netz wählen sich alle Außenstellen über DSL in zwei Zentralen ein, was wunderbar funktioniert. Jetzt soll das ganze um ein ISDN Backup erweitert werden, dazu folgende Fragen...
1) Ist es realisierbar, dass das BU innerhalb von acht (8!) Sekunden steht? (incl. aller Timeouts, ISDN Aufbau und VPN Aufbau)
2) Wie verhindere ich das BU bei der Zwangstrennung? Das Timeout hochstellen geht ja wegen der 8 Sekunden nicht.
3) Wann schaltet der Router auf den Regelweg zurück? Einfach so, oder wenn keine Daten durch das VPN gehen, oder kann er die VPN Steuerdaten nicht erkennen und wird nie zurückkehren, weil ja Daten fließen?
So, ich hoffe das war jetzt nicht zu verwirrend? ^^
habe eine nicht ganz so einfache Geschichte:
In einem Netz wählen sich alle Außenstellen über DSL in zwei Zentralen ein, was wunderbar funktioniert. Jetzt soll das ganze um ein ISDN Backup erweitert werden, dazu folgende Fragen...
1) Ist es realisierbar, dass das BU innerhalb von acht (8!) Sekunden steht? (incl. aller Timeouts, ISDN Aufbau und VPN Aufbau)
2) Wie verhindere ich das BU bei der Zwangstrennung? Das Timeout hochstellen geht ja wegen der 8 Sekunden nicht.
3) Wann schaltet der Router auf den Regelweg zurück? Einfach so, oder wenn keine Daten durch das VPN gehen, oder kann er die VPN Steuerdaten nicht erkennen und wird nie zurückkehren, weil ja Daten fließen?
So, ich hoffe das war jetzt nicht zu verwirrend? ^^
- LittleAdmin
- Beiträge: 52
- Registriert: 27 Nov 2006, 09:14
- Wohnort: Remscheid
- Kontaktdaten:
Hi,
versuche es mit der Polling-Tabelle fuer die Gegenstelle. Dabei sind die Parameter "Ping-Invervall" sowie "Wiederholungen" interessant.
In kuerzesten Fall reden wir von 1 Sekunde bei 1 Wiederholdung.
versuche es mit der Polling-Tabelle fuer die Gegenstelle. Dabei sind die Parameter "Ping-Invervall" sowie "Wiederholungen" interessant.
In kuerzesten Fall reden wir von 1 Sekunde bei 1 Wiederholdung.
12x 1621 Anx. B-21x 1711 VPN-3x 1722 Anx. B-7x 1723 VoIP-1x 1811 DSL, 1x 7011 VPN-1 x 7111 VPN-1x 8011 VPN-10er Pack Adv. VPN Client (2x V1.3-3x 2.0)-Hotspot Option-Adv. VoIP Client/P250 Handset-Adv.VoIP Option-4x VPN-Option-2x L-54 dual-2x L54ag-2x O-18a
Hi LittleAdmin
Wenn du das DSL-Kabel am Gerät zieht - bekommst du sofort einen Layer 1 Fehler und das Backup-Delay beginnt zu laufen.
Wenn die Unterbrechung aber an anderer Stelle ist (und das wird sie i.A. sein, weil der Bagger ja nicht das Kabel aus deinem Gerät zieht...), dann müssen erstmal Polling-Mechanismen greifen, die z.B. beim PPP alle 20 Sekunden pollen (du willst dir ja nicht die Leitung mit den Pollpaketen "dicht" machen).
Nun ist aber auch ein verlorenes Poll-Paket ist noch lange kein Leitungsverlust - Paketverluste sind im Internet eher die Regel als die Ausnahme. Daher wird beim Erkennen eines verlorenen Pakets erstmal ein kürzeres Poll-Intervall eingestellt (z.B. 5 Polls im Sekundentakt). Wenn die alle verloren gehen, dann - und wirklich erst dann - hast du einen Leitungsverlust. Das ganze dauerzt somit beim PPP im Best Case 25 und Worst Case 45 Sekunden bis die Unterbrechung erkannt wurde.
Ab diesem Zeitpunkt läuft das Backup-Delay. Die Verzögerung soll dazu dienen unnötige Backup-Kosten zu verhindern, wenn die Hauptleitung sofort wieder aufgebaut werden kann. Erst wenn auch das Backup-Delay abgelaufen ist, befindet sich das LANCOM im Backupfall.
Ab diesem Zeitpunkt sollte ein VPN-Aufbau incl. ISDN auch in 8 Sekunden zu schaffen sein.
Alles andere ist unrealistisch.
Wenn du wirklich eine so schnelle Umschaltung benötigst, solltest du dir lieber eine Leitung mit deutlich höherer Verfügbarkeit kaufen (oder am besten gleich zwei, über die ein Looadbalancing oder eine Kanalbüdelung gefahren wird) - dann hast du nämlich keinen Grund mehr für die schnelle Umschaltung und brauchst dir auch keine Gedanken mehr zur Zwangstrennung machen (nur leider kostet sowas mehr als 9,90EUR)...
Gruß
Backslash
ja, klar - NACHDEM das LANCOM festgestellt hat, daß der Backupfall eingetreten ist, sollte das problemlos in 8 Sekunden gehen) Ist es realisierbar, dass das BU innerhalb von acht (8!) Sekunden steht? (incl. aller Timeouts, ISDN Aufbau und VPN Aufbau)
entweder oder... Das Backup-Delay ist je gerade dafür da, bei der Zwangtrennung nicht ins Backup zu fallen...2) Wie verhindere ich das BU bei der Zwangstrennung? Das Timeout hochstellen geht ja wegen der 8 Sekunden nicht.
Tja und hier ist genau dein Problem...Habe gerade mal rumprobiert, mein Gerät erkennt in den acht Sekunden nicht mal, dass die Leitung weg ist. Kann ich irgendwo ein stärkeren KeepAlive für die PPP-Verbindung über DSL einschalten?
Wenn du das DSL-Kabel am Gerät zieht - bekommst du sofort einen Layer 1 Fehler und das Backup-Delay beginnt zu laufen.
Wenn die Unterbrechung aber an anderer Stelle ist (und das wird sie i.A. sein, weil der Bagger ja nicht das Kabel aus deinem Gerät zieht...), dann müssen erstmal Polling-Mechanismen greifen, die z.B. beim PPP alle 20 Sekunden pollen (du willst dir ja nicht die Leitung mit den Pollpaketen "dicht" machen).
Nun ist aber auch ein verlorenes Poll-Paket ist noch lange kein Leitungsverlust - Paketverluste sind im Internet eher die Regel als die Ausnahme. Daher wird beim Erkennen eines verlorenen Pakets erstmal ein kürzeres Poll-Intervall eingestellt (z.B. 5 Polls im Sekundentakt). Wenn die alle verloren gehen, dann - und wirklich erst dann - hast du einen Leitungsverlust. Das ganze dauerzt somit beim PPP im Best Case 25 und Worst Case 45 Sekunden bis die Unterbrechung erkannt wurde.
Ab diesem Zeitpunkt läuft das Backup-Delay. Die Verzögerung soll dazu dienen unnötige Backup-Kosten zu verhindern, wenn die Hauptleitung sofort wieder aufgebaut werden kann. Erst wenn auch das Backup-Delay abgelaufen ist, befindet sich das LANCOM im Backupfall.
Ab diesem Zeitpunkt sollte ein VPN-Aufbau incl. ISDN auch in 8 Sekunden zu schaffen sein.
Alles andere ist unrealistisch.
Wenn du wirklich eine so schnelle Umschaltung benötigst, solltest du dir lieber eine Leitung mit deutlich höherer Verfügbarkeit kaufen (oder am besten gleich zwei, über die ein Looadbalancing oder eine Kanalbüdelung gefahren wird) - dann hast du nämlich keinen Grund mehr für die schnelle Umschaltung und brauchst dir auch keine Gedanken mehr zur Zwangstrennung machen (nur leider kostet sowas mehr als 9,90EUR)...
Gruß
Backslash
- LittleAdmin
- Beiträge: 52
- Registriert: 27 Nov 2006, 09:14
- Wohnort: Remscheid
- Kontaktdaten:
Hi,
danke erstmal für die Antworten!
Die Leitung wird nicht wirklich ausgenutzt was die Bandbreite angeht, ein krasseres Polling währe also denkbar. Wo stelle ich das ein, einfach in der Polling-Table, oder wo anders?
Ich weiß, dass DSL Kindergarten ist, aber leider entscheide ich nicht, was gekauft wird. Sonst hätte der Kunde eine Menge CompanyConnects mehr.
Kann ich bei einer kurzen BU-Delay nicht über ein Script bei der Zwangstrennung das BU Verhindern?
P.S.: LoadBalancing? Und wie baue ich dann die Tunnel auf? Über zwei IPs?
danke erstmal für die Antworten!
Die Leitung wird nicht wirklich ausgenutzt was die Bandbreite angeht, ein krasseres Polling währe also denkbar. Wo stelle ich das ein, einfach in der Polling-Table, oder wo anders?
Ich weiß, dass DSL Kindergarten ist, aber leider entscheide ich nicht, was gekauft wird. Sonst hätte der Kunde eine Menge CompanyConnects mehr.
Kann ich bei einer kurzen BU-Delay nicht über ein Script bei der Zwangstrennung das BU Verhindern?
P.S.: LoadBalancing? Und wie baue ich dann die Tunnel auf? Über zwei IPs?
Hi LittleAdmin
Das ändert aber nichts daran, daß du tunlichst ein Backup-Delay von mehr als 10 Sekunden halten solltest, da es sonst passieren kann, daß das Backup unnötig aufgebaut wird.
nur wie gesagt: ob sich der ganze Aufwand wirklich lohnt und der Schuß nicht nach hinten losgeht, mußt du wissen...
Gruß
Backslash
In der Polling-Tabelle kannst du das Poll-Intervall auf eine Sekunde herabsetzen. Dazu kommen dann noch die Wiederholungen... Und du solltest tunlichst mehr als eine Wiederholöung machen um sicherzugehen...ein krasseres Polling währe also denkbar. Wo stelle ich das ein, einfach in der Polling-Table, oder wo anders?
Das ändert aber nichts daran, daß du tunlichst ein Backup-Delay von mehr als 10 Sekunden halten solltest, da es sonst passieren kann, daß das Backup unnötig aufgebaut wird.
ich frage mich ja nur: wenn der Kunde hier schon knausert, was wird er sagen, wenn er für die (meist unnötigen) Backups eine gesalzene Rechnung vom Provider bekommt...Ich weiß, dass DSL Kindergarten ist, aber leider entscheide ich nicht, was gekauft wird. Sonst hätte der Kunde eine Menge CompanyConnects mehr
klar, du kannst alles per Cron-Script ändern... So kannst du natürlich vor der Zwangstrennung (die du über ein Cron-Script selbst auslöst) das Backup-Delay hochsetzen und dann eine Minute später wieder runtersetzenKann ich bei einer kurzen BU-Delay nicht über ein Script bei der Zwangstrennung das BU Verhindern?
nur wie gesagt: ob sich der ganze Aufwand wirklich lohnt und der Schuß nicht nach hinten losgeht, mußt du wissen...
Die VPN-Tunnel werden jeweils über eine einzelne Verbindung aufgebaut - der Loadbalancer verteilt die Tunnel nur über die Verbindungen (Tunnel 1 -> Leitung 1, Tunnel 2 -> Leitung 2, Tunnel 3 -> Leitung 1 ... )P.S.: LoadBalancing? Und wie baue ich dann die Tunnel auf? Über zwei IPs?
Gruß
Backslash
- LittleAdmin
- Beiträge: 52
- Registriert: 27 Nov 2006, 09:14
- Wohnort: Remscheid
- Kontaktdaten:
Habe 3 IPs eingetragen die alle 3 Sekunden gepingt werden, bei drei Wiederholungen. Hab ein Delay von drei Sekunden eingetragen!backslash hat geschrieben:Hi LittleAdmin
In der Polling-Tabelle kannst du das Poll-Intervall auf eine Sekunde herabsetzen. Dazu kommen dann noch die Wiederholungen... Und du solltest tunlichst mehr als eine Wiederholöung machen um sicherzugehen...
Das ändert aber nichts daran, daß du tunlichst ein Backup-Delay von mehr als 10 Sekunden halten solltest, da es sonst passieren kann, daß das Backup unnötig aufgebaut wird.
Eigentlich sollte es also zwischen neun und zwölf Sekunden dauern, bis der BU anspringt, dahert aber leider bis zu 40.
Was mache ich falsch?
Muss ich das PPP-Polling ausschalten?
Der Kunde ist ein größeres Unternehmen, da werden Backup-Kosten bezahlt, aber eine bessere Leitung muss beantragt und genehmigt werden.backslash hat geschrieben: ich frage mich ja nur: wenn der Kunde hier schon knausert, was wird er sagen, wenn er für die (meist unnötigen) Backups eine gesalzene Rechnung vom Provider bekommt...
Hab ich gemacht, das zumindst funktioniert! ^^backslash hat geschrieben:klar, du kannst alles per Cron-Script ändern... So kannst du natürlich vor der Zwangstrennung (die du über ein Cron-Script selbst auslöst) das Backup-Delay hochsetzen und dann eine Minute später wieder runtersetzen
nur wie gesagt: ob sich der ganze Aufwand wirklich lohnt und der Schuß nicht nach hinten losgeht, mußt du wissen...
Hi,
trage fuer die Gegenstelle nur ein Pruefziel (IP) ein.
Ferner kannst du unter der Rufverwaltung die Zeitspanne von standardmaeßig 20 Sekunden herabsetzen. Ich denke aber, dass alles Relevante zur Sinnhaftigkeit dazu bereits von backslash gesagt wurde.
trage fuer die Gegenstelle nur ein Pruefziel (IP) ein.
Ferner kannst du unter der Rufverwaltung die Zeitspanne von standardmaeßig 20 Sekunden herabsetzen. Ich denke aber, dass alles Relevante zur Sinnhaftigkeit dazu bereits von backslash gesagt wurde.
12x 1621 Anx. B-21x 1711 VPN-3x 1722 Anx. B-7x 1723 VoIP-1x 1811 DSL, 1x 7011 VPN-1 x 7111 VPN-1x 8011 VPN-10er Pack Adv. VPN Client (2x V1.3-3x 2.0)-Hotspot Option-Adv. VoIP Client/P250 Handset-Adv.VoIP Option-4x VPN-Option-2x L-54 dual-2x L54ag-2x O-18a
- LittleAdmin
- Beiträge: 52
- Registriert: 27 Nov 2006, 09:14
- Wohnort: Remscheid
- Kontaktdaten:
Sinn macht das für mich!ittk hat geschrieben:Hi,
trage fuer die Gegenstelle nur ein Pruefziel (IP) ein.
Ferner kannst du unter der Rufverwaltung die Zeitspanne von standardmaeßig 20 Sekunden herabsetzen. Ich denke aber, dass alles Relevante zur Sinnhaftigkeit dazu bereits von backslash gesagt wurde.
Kunde will schnelles BU, bekommt er auch!
Dass er dann nen paar EUR zu viel fürs BU zahlt ist nicht mein Problem!
Sind ürigens 30 Sekunden.
#####
War gerade mal vor Ort und hab mit ansehen können, dass der Router gar nicht so lange braucht um ins BU zu fallen! Das Problem ist, dass ihn der Zentalrouter nicht mehr reinlässt, bis das Timeout für seinen Tunnel abgelaufen ist. Ich muss also das Polling für die IPSec-Strecke erhöhen.
Das werde ich dann übers WE mal testen...
Apropos: Das Polling in der PPP-Liste, was sind was für Zeitabstände? Sekunden? Oder Minuten? Oder was?
- LittleAdmin
- Beiträge: 52
- Registriert: 27 Nov 2006, 09:14
- Wohnort: Remscheid
- Kontaktdaten:
Diese Information hätte ich gern in der Quickinfo gelesen. ^^backslash hat geschrieben:Hi LittleAdmin
Das Polling in der PPP-Liste geht in 10 Sekunden Schritten, d.h. 1 = 10 sek., 2 = 20 sek. etc...
Gruß
Backslash
Funktioniert das dort eingetragene Polling nur für reine PPP Verbindungen, oder auch für PPTP und IP-SEC?
P.S.: Der Router schafft es übrigens ohne Probleme in 8 Sekunden ins Backup, größtes Problem war, dass die Zentralrouter die alte VPN-Verbindung noch aktiv hatte und somit den Verbindungaufbau über Backup nicht akzeptierte.
Hi LittleAdmin
Zusätzlich wird der Eintrag auch noch für das ICMP-Polling im IPSec verwendet, wenn dynamic VPN genutzt wird.
Gruß
Backslash
Das funktioniert zunächst überall, wo PPP enthalten ist (PPP, PPPoE, PPTP)...Funktioniert das dort eingetragene Polling nur für reine PPP Verbindungen, oder auch für PPTP und IP-SEC?
Zusätzlich wird der Eintrag auch noch für das ICMP-Polling im IPSec verwendet, wenn dynamic VPN genutzt wird.
Das mag sein, nur ist die Gefahr der "Fehlalarme" dabei sehr großDer Router schafft es übrigens ohne Probleme in 8 Sekunden ins Backup
Gruß
Backslash
- LittleAdmin
- Beiträge: 52
- Registriert: 27 Nov 2006, 09:14
- Wohnort: Remscheid
- Kontaktdaten:
Ich habe jetzt alle 10 Sekunden polling drinn, bei 5 Wiederholungen und 3 Sekunden delay.
Bei 20 Routern hatte ich seit dem Wochenende zwei BU-Fälle, ob Fehlalarm oder nicht, ist mir so lange egal, wie der Kunde die ISDN-Kosten zahlt. ^^
Danke für die Hilfe hier!
P.S.: Nachts stelle ich die Werte per Cron auf default zurück, das funktioniert auch ganz gut! Da der Kunde nachts eigentlich nie arbeitet an den Außenstellen ist das ne feine Sache!
Bei 20 Routern hatte ich seit dem Wochenende zwei BU-Fälle, ob Fehlalarm oder nicht, ist mir so lange egal, wie der Kunde die ISDN-Kosten zahlt. ^^
Danke für die Hilfe hier!
P.S.: Nachts stelle ich die Werte per Cron auf default zurück, das funktioniert auch ganz gut! Da der Kunde nachts eigentlich nie arbeitet an den Außenstellen ist das ne feine Sache!