VPN über DSL (mit ISDN Backup)

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

Antworten
Benutzeravatar
LittleAdmin
Beiträge: 52
Registriert: 27 Nov 2006, 09:14
Wohnort: Remscheid
Kontaktdaten:

VPN über DSL (mit ISDN Backup)

Beitrag von LittleAdmin »

Hi,
habe eine nicht ganz so einfache Geschichte:

In einem Netz wählen sich alle Außenstellen über DSL in zwei Zentralen ein, was wunderbar funktioniert. Jetzt soll das ganze um ein ISDN Backup erweitert werden, dazu folgende Fragen...

1) Ist es realisierbar, dass das BU innerhalb von acht (8!) Sekunden steht? (incl. aller Timeouts, ISDN Aufbau und VPN Aufbau)

2) Wie verhindere ich das BU bei der Zwangstrennung? Das Timeout hochstellen geht ja wegen der 8 Sekunden nicht.

3) Wann schaltet der Router auf den Regelweg zurück? Einfach so, oder wenn keine Daten durch das VPN gehen, oder kann er die VPN Steuerdaten nicht erkennen und wird nie zurückkehren, weil ja Daten fließen?

So, ich hoffe das war jetzt nicht zu verwirrend? ^^
Benutzeravatar
LittleAdmin
Beiträge: 52
Registriert: 27 Nov 2006, 09:14
Wohnort: Remscheid
Kontaktdaten:

Beitrag von LittleAdmin »

Nachtrag:
Habe gerade mal rumprobiert, mein Gerät erkennt in den acht Sekunden nicht mal, dass die Leitung weg ist. Kann ich irgendwo ein stärkeren KeepAlive für die PPP-Verbindung über DSL einschalten?
ittk
Beiträge: 1244
Registriert: 27 Apr 2006, 09:56

Beitrag von ittk »

Hi,

versuche es mit der Polling-Tabelle fuer die Gegenstelle. Dabei sind die Parameter "Ping-Invervall" sowie "Wiederholungen" interessant.

In kuerzesten Fall reden wir von 1 Sekunde bei 1 Wiederholdung.
12x 1621 Anx. B-21x 1711 VPN-3x 1722 Anx. B-7x 1723 VoIP-1x 1811 DSL, 1x 7011 VPN-1 x 7111 VPN-1x 8011 VPN-10er Pack Adv. VPN Client (2x V1.3-3x 2.0)-Hotspot Option-Adv. VoIP Client/P250 Handset-Adv.VoIP Option-4x VPN-Option-2x L-54 dual-2x L54ag-2x O-18a
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Beitrag von backslash »

Hi LittleAdmin
) Ist es realisierbar, dass das BU innerhalb von acht (8!) Sekunden steht? (incl. aller Timeouts, ISDN Aufbau und VPN Aufbau)
ja, klar - NACHDEM das LANCOM festgestellt hat, daß der Backupfall eingetreten ist, sollte das problemlos in 8 Sekunden gehen
2) Wie verhindere ich das BU bei der Zwangstrennung? Das Timeout hochstellen geht ja wegen der 8 Sekunden nicht.
entweder oder... Das Backup-Delay ist je gerade dafür da, bei der Zwangtrennung nicht ins Backup zu fallen...
Habe gerade mal rumprobiert, mein Gerät erkennt in den acht Sekunden nicht mal, dass die Leitung weg ist. Kann ich irgendwo ein stärkeren KeepAlive für die PPP-Verbindung über DSL einschalten?
Tja und hier ist genau dein Problem...
Wenn du das DSL-Kabel am Gerät zieht - bekommst du sofort einen Layer 1 Fehler und das Backup-Delay beginnt zu laufen.

Wenn die Unterbrechung aber an anderer Stelle ist (und das wird sie i.A. sein, weil der Bagger ja nicht das Kabel aus deinem Gerät zieht...), dann müssen erstmal Polling-Mechanismen greifen, die z.B. beim PPP alle 20 Sekunden pollen (du willst dir ja nicht die Leitung mit den Pollpaketen "dicht" machen).

Nun ist aber auch ein verlorenes Poll-Paket ist noch lange kein Leitungsverlust - Paketverluste sind im Internet eher die Regel als die Ausnahme. Daher wird beim Erkennen eines verlorenen Pakets erstmal ein kürzeres Poll-Intervall eingestellt (z.B. 5 Polls im Sekundentakt). Wenn die alle verloren gehen, dann - und wirklich erst dann - hast du einen Leitungsverlust. Das ganze dauerzt somit beim PPP im Best Case 25 und Worst Case 45 Sekunden bis die Unterbrechung erkannt wurde.

Ab diesem Zeitpunkt läuft das Backup-Delay. Die Verzögerung soll dazu dienen unnötige Backup-Kosten zu verhindern, wenn die Hauptleitung sofort wieder aufgebaut werden kann. Erst wenn auch das Backup-Delay abgelaufen ist, befindet sich das LANCOM im Backupfall.

Ab diesem Zeitpunkt sollte ein VPN-Aufbau incl. ISDN auch in 8 Sekunden zu schaffen sein.

Alles andere ist unrealistisch.

Wenn du wirklich eine so schnelle Umschaltung benötigst, solltest du dir lieber eine Leitung mit deutlich höherer Verfügbarkeit kaufen (oder am besten gleich zwei, über die ein Looadbalancing oder eine Kanalbüdelung gefahren wird) - dann hast du nämlich keinen Grund mehr für die schnelle Umschaltung und brauchst dir auch keine Gedanken mehr zur Zwangstrennung machen (nur leider kostet sowas mehr als 9,90EUR)...


Gruß
Backslash
Benutzeravatar
LittleAdmin
Beiträge: 52
Registriert: 27 Nov 2006, 09:14
Wohnort: Remscheid
Kontaktdaten:

Beitrag von LittleAdmin »

Hi,
danke erstmal für die Antworten!
Die Leitung wird nicht wirklich ausgenutzt was die Bandbreite angeht, ein krasseres Polling währe also denkbar. Wo stelle ich das ein, einfach in der Polling-Table, oder wo anders?

Ich weiß, dass DSL Kindergarten ist, aber leider entscheide ich nicht, was gekauft wird. Sonst hätte der Kunde eine Menge CompanyConnects mehr. :-(

Kann ich bei einer kurzen BU-Delay nicht über ein Script bei der Zwangstrennung das BU Verhindern?

P.S.: LoadBalancing? Und wie baue ich dann die Tunnel auf? Über zwei IPs?
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Beitrag von backslash »

Hi LittleAdmin
ein krasseres Polling währe also denkbar. Wo stelle ich das ein, einfach in der Polling-Table, oder wo anders?
In der Polling-Tabelle kannst du das Poll-Intervall auf eine Sekunde herabsetzen. Dazu kommen dann noch die Wiederholungen... Und du solltest tunlichst mehr als eine Wiederholöung machen um sicherzugehen...

Das ändert aber nichts daran, daß du tunlichst ein Backup-Delay von mehr als 10 Sekunden halten solltest, da es sonst passieren kann, daß das Backup unnötig aufgebaut wird.
Ich weiß, dass DSL Kindergarten ist, aber leider entscheide ich nicht, was gekauft wird. Sonst hätte der Kunde eine Menge CompanyConnects mehr
ich frage mich ja nur: wenn der Kunde hier schon knausert, was wird er sagen, wenn er für die (meist unnötigen) Backups eine gesalzene Rechnung vom Provider bekommt...
Kann ich bei einer kurzen BU-Delay nicht über ein Script bei der Zwangstrennung das BU Verhindern?
klar, du kannst alles per Cron-Script ändern... So kannst du natürlich vor der Zwangstrennung (die du über ein Cron-Script selbst auslöst) das Backup-Delay hochsetzen und dann eine Minute später wieder runtersetzen

nur wie gesagt: ob sich der ganze Aufwand wirklich lohnt und der Schuß nicht nach hinten losgeht, mußt du wissen...
P.S.: LoadBalancing? Und wie baue ich dann die Tunnel auf? Über zwei IPs?
Die VPN-Tunnel werden jeweils über eine einzelne Verbindung aufgebaut - der Loadbalancer verteilt die Tunnel nur über die Verbindungen (Tunnel 1 -> Leitung 1, Tunnel 2 -> Leitung 2, Tunnel 3 -> Leitung 1 ... )

Gruß
Backslash
Benutzeravatar
LittleAdmin
Beiträge: 52
Registriert: 27 Nov 2006, 09:14
Wohnort: Remscheid
Kontaktdaten:

Beitrag von LittleAdmin »

backslash hat geschrieben:Hi LittleAdmin

In der Polling-Tabelle kannst du das Poll-Intervall auf eine Sekunde herabsetzen. Dazu kommen dann noch die Wiederholungen... Und du solltest tunlichst mehr als eine Wiederholöung machen um sicherzugehen...

Das ändert aber nichts daran, daß du tunlichst ein Backup-Delay von mehr als 10 Sekunden halten solltest, da es sonst passieren kann, daß das Backup unnötig aufgebaut wird.
Habe 3 IPs eingetragen die alle 3 Sekunden gepingt werden, bei drei Wiederholungen. Hab ein Delay von drei Sekunden eingetragen!
Eigentlich sollte es also zwischen neun und zwölf Sekunden dauern, bis der BU anspringt, dahert aber leider bis zu 40.
Was mache ich falsch?
Muss ich das PPP-Polling ausschalten?
backslash hat geschrieben: ich frage mich ja nur: wenn der Kunde hier schon knausert, was wird er sagen, wenn er für die (meist unnötigen) Backups eine gesalzene Rechnung vom Provider bekommt...
Der Kunde ist ein größeres Unternehmen, da werden Backup-Kosten bezahlt, aber eine bessere Leitung muss beantragt und genehmigt werden. ;-)
backslash hat geschrieben:klar, du kannst alles per Cron-Script ändern... So kannst du natürlich vor der Zwangstrennung (die du über ein Cron-Script selbst auslöst) das Backup-Delay hochsetzen und dann eine Minute später wieder runtersetzen

nur wie gesagt: ob sich der ganze Aufwand wirklich lohnt und der Schuß nicht nach hinten losgeht, mußt du wissen...
Hab ich gemacht, das zumindst funktioniert! ^^
ittk
Beiträge: 1244
Registriert: 27 Apr 2006, 09:56

Beitrag von ittk »

Hi,

trage fuer die Gegenstelle nur ein Pruefziel (IP) ein.

Ferner kannst du unter der Rufverwaltung die Zeitspanne von standardmaeßig 20 Sekunden herabsetzen. Ich denke aber, dass alles Relevante zur Sinnhaftigkeit dazu bereits von backslash gesagt wurde.
12x 1621 Anx. B-21x 1711 VPN-3x 1722 Anx. B-7x 1723 VoIP-1x 1811 DSL, 1x 7011 VPN-1 x 7111 VPN-1x 8011 VPN-10er Pack Adv. VPN Client (2x V1.3-3x 2.0)-Hotspot Option-Adv. VoIP Client/P250 Handset-Adv.VoIP Option-4x VPN-Option-2x L-54 dual-2x L54ag-2x O-18a
Benutzeravatar
LittleAdmin
Beiträge: 52
Registriert: 27 Nov 2006, 09:14
Wohnort: Remscheid
Kontaktdaten:

Beitrag von LittleAdmin »

ittk hat geschrieben:Hi,

trage fuer die Gegenstelle nur ein Pruefziel (IP) ein.

Ferner kannst du unter der Rufverwaltung die Zeitspanne von standardmaeßig 20 Sekunden herabsetzen. Ich denke aber, dass alles Relevante zur Sinnhaftigkeit dazu bereits von backslash gesagt wurde.
Sinn macht das für mich!
Kunde will schnelles BU, bekommt er auch!
Dass er dann nen paar EUR zu viel fürs BU zahlt ist nicht mein Problem!

Sind ürigens 30 Sekunden.

#####
War gerade mal vor Ort und hab mit ansehen können, dass der Router gar nicht so lange braucht um ins BU zu fallen! Das Problem ist, dass ihn der Zentalrouter nicht mehr reinlässt, bis das Timeout für seinen Tunnel abgelaufen ist. Ich muss also das Polling für die IPSec-Strecke erhöhen.

Das werde ich dann übers WE mal testen...


Apropos: Das Polling in der PPP-Liste, was sind was für Zeitabstände? Sekunden? Oder Minuten? Oder was?
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Beitrag von backslash »

Hi LittleAdmin
Apropos: Das Polling in der PPP-Liste, was sind was für Zeitabstände? Sekunden? Oder Minuten? Oder was?
Das Polling in der PPP-Liste geht in 10 Sekunden Schritten, d.h. 1 = 10 sek., 2 = 20 sek. etc...

Gruß
Backslash
Benutzeravatar
LittleAdmin
Beiträge: 52
Registriert: 27 Nov 2006, 09:14
Wohnort: Remscheid
Kontaktdaten:

Beitrag von LittleAdmin »

backslash hat geschrieben:Hi LittleAdmin
Das Polling in der PPP-Liste geht in 10 Sekunden Schritten, d.h. 1 = 10 sek., 2 = 20 sek. etc...

Gruß
Backslash
Diese Information hätte ich gern in der Quickinfo gelesen. ^^

Funktioniert das dort eingetragene Polling nur für reine PPP Verbindungen, oder auch für PPTP und IP-SEC?

P.S.: Der Router schafft es übrigens ohne Probleme in 8 Sekunden ins Backup, größtes Problem war, dass die Zentralrouter die alte VPN-Verbindung noch aktiv hatte und somit den Verbindungaufbau über Backup nicht akzeptierte.
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Beitrag von backslash »

Hi LittleAdmin
Funktioniert das dort eingetragene Polling nur für reine PPP Verbindungen, oder auch für PPTP und IP-SEC?
Das funktioniert zunächst überall, wo PPP enthalten ist (PPP, PPPoE, PPTP)...

Zusätzlich wird der Eintrag auch noch für das ICMP-Polling im IPSec verwendet, wenn dynamic VPN genutzt wird.
Der Router schafft es übrigens ohne Probleme in 8 Sekunden ins Backup
Das mag sein, nur ist die Gefahr der "Fehlalarme" dabei sehr groß

Gruß
Backslash
Benutzeravatar
LittleAdmin
Beiträge: 52
Registriert: 27 Nov 2006, 09:14
Wohnort: Remscheid
Kontaktdaten:

Beitrag von LittleAdmin »

Ich habe jetzt alle 10 Sekunden polling drinn, bei 5 Wiederholungen und 3 Sekunden delay.
Bei 20 Routern hatte ich seit dem Wochenende zwei BU-Fälle, ob Fehlalarm oder nicht, ist mir so lange egal, wie der Kunde die ISDN-Kosten zahlt. ^^

Danke für die Hilfe hier! :-)

P.S.: Nachts stelle ich die Werte per Cron auf default zurück, das funktioniert auch ganz gut! Da der Kunde nachts eigentlich nie arbeitet an den Außenstellen ist das ne feine Sache!
Antworten