 |
|
|
|
| Autor |
Nachricht |
Genom
Anmeldungsdatum: 13.07.2007
Beiträge: 97
|
 Verfasst am:
Do 08 Nov, 2007 15:32 |
  |
|
Hallo zusammen,
es ist mal wieder so weit. Der Kunde droht mit Auftrag :=)
Nun habe ich das Szenario, das
erstens eine Domänen-Gesamtstruktur mit 21 Servern über mehrere Standorte realisiert werden muss (über VPN Verbindungen) und
zweitens 10-20 Clients sich über den VPN Client einwählen wollen.
Zuerst die Frage, wie man am besten Redundanz konfiguriert. Ich dachte daran, 2 7111 zu installieren und den Punkt "weiter entfernte Gateways" zu konfigurieren. (müssten diesselben Konfigs sein, oder) Im Normalfall hätte ich so 200 VPN Verbindungen und im Backupfall 100, liege ich da richtig ?
Bzw. konfiguriert man auch die VPN Redundanz über VRRP ?
Ist leider mein erstes so großes Projekt und deshalb bin ich trotz Zertifizierung ein wenig überfordert.
Vielleicht hat ja schon mal jemand ähnliches aufgebaut und kann mir ein paar Tips geben.
LG
Genom |
|
|
   |
|
Guest
|
| Verfasst am:
|
|
|
|
|
|
backslash
Moderator
Anmeldungsdatum: 08.11.2004
Beiträge: 4571
Wohnort: Aachen
|
| Verfasst am:
Do 08 Nov, 2007 16:19 |
|
|
Hi Genom
| Zitat:
|
|
Zuerst die Frage, wie man am besten Redundanz konfiguriert. Ich dachte daran, 2 7111 zu installieren und den Punkt "weiter entfernte Gateways" zu konfigurieren
|
ja, genau dafür ist der Punkt da.
| Zitat:
|
|
(müssten diesselben Konfigs sein, oder)
|
ja, weil sich ja nur die angesprochene IP-Adresse ändert.
| Zitat:
|
|
Normalfall hätte ich so 200 VPN Verbindungen und im Backupfall 100, liege ich da richtig ?
|
nein, die Anzahl der VPN-Verbidnungen ist immer gleich, weil ja von jeder Filiale immer nur ein Tunnel aufgebaut wird. Wenn der Tunnel zusammenbricht (oder der Aufbau scheitert), dann wird jedachdem, was bei den "weiteren Gateways" unter "Anfangen mit" steht, das nächste Gateway gewählt. Es gibt folgenden Möglichkeiten:
- mit Erstem
Beim Aufbau des Tunnels wird immer das erste Gateway genommen - und nur wenn der Aufbau scheitert wird der Reihe nach das 2, dann das 3. etc benutzt.
- mit zuletzt Benuztzem
Beim Aufbau des Tunnels wird immer das lezte genommen, zu dem erfolgreich eine Verbindung aufgebaut werden konnte. Wenn der Aufbau scheitert werden der Reihe die nächsten in der Liste benutzt (incl. "Wraparround")
- mit Zufälligem
Jedesmal wird zufällig ein Gateway aus der Liste ausgewählt. Das kann als eine Art Loadbalancer verwendet werden.
| Zitat:
|
|
Bzw. konfiguriert man auch die VPN Redundanz über VRRP ?
|
nein, da letztendlich beide Gateways in der Zentrale jederzeit Tunnel aufnehmen können (z.B. Filiale 1 kann Gateway 1 erreichen, während Filiale 2 z.Zt nur Gateway 2 sieht), müssen sie auch immer aktiv sein.
Hier heißt die Lösung RIP:
Das Gateway, daß gerade den Tunnel aktiv hat propagiert dies über RIP, so daß das andere etwaige Pakete für den Tunnel zum richtigen Gateway kann...
Gruß
Backslash |
|
|
|
|
Genom
Anmeldungsdatum: 13.07.2007
Beiträge: 97
|
| Verfasst am:
Do 08 Nov, 2007 20:28 |
|
|
@backslash
Vielen Dank für Deine ausführliche Antwort.
Ich trage also im VPN Client, bzw. im Router im Hotel 2 Gateways ein.
Das impliziert allerdings, das ich 2 WAN Verbindungen, bzw. einen CompanyConnect Anschluß mit 2 verschiedenen IP Adressen habe, oder ?
| Zitat:
|
|
Hier heißt die Lösung RIP:
|
Puh, stimmt, da war ja noch was  Das heißt, dass nur beim Einsatz von RIP sichergestellt werden kann, das jeder VPN Client mit jedem bei Bedarf kann, da sonst zuviele manuelle Routen geschrieben werden müssten. (bzw. es sogar zu Schleifen kommen könnte)
Dem angeschlossenen Server ist das doch alles egal, ich aktiviere RIP auf den beiden 7111 und die Clients bekommen ja durch die VPN Konfiguration (Config Mode) Ihre passende IP Adresse.... mh, ist wohl doch etwas komplizierter, als nen VPN an nem 1711
Gruß
Genom |
|
|
|
|
backslash
Moderator
Anmeldungsdatum: 08.11.2004
Beiträge: 4571
Wohnort: Aachen
|
| Verfasst am:
Do 08 Nov, 2007 20:46 |
|
|
Hi Genom
| Zitat:
|
|
Ich trage also im VPN Client, bzw. im Router im Hotel 2 Gateways ein
|
nun ja, im Router geht das - wenn's ein LANCOM ist...
Im Client brauchst du dann zwei Profile, die sich nur im Gateway unterscheiden (under der User muß manuell umschalten)
| Zitat:
|
|
Das impliziert allerdings, das ich 2 WAN Verbindungen (...) habe, oder ?
|
in der Zentrale ja...
| Zitat:
|
|
bzw. einen CompanyConnect Anschluß mit 2 verschiedenen IP Adressen
|
Der CompanyConnect Anschluß mit 2 verschiedenen IP Adressen wird dir zwecks Redundanz nicht viel bringen - zumindest nicht wenn die Leitung oder der Grenzrouter ausfällt... Der hilft nur, wenn eins der LANCOMs dahinter ausfällt
| Zitat:
|
|
Das heißt, dass nur beim Einsatz von RIP sichergestellt werden kann, das jeder VPN Client mit jedem bei Bedarf kann, da sonst zuviele manuelle Routen geschrieben werden müssten. (bzw. es sogar zu Schleifen kommen könnte)
|
nein, das hat nichts mit zu vielen Routen zu tun - du mußt ja trotzdem in jedem LANCOM alle VPN-Verbindungen komplett eintragen (oder mit Zertifikaten und vereinfachter Einwahl arbeiten).
Das RIP dient dazu, daß alle Beteiligten wissen, daß der Tunnel zur Filiale X nun auf LANCOM 2 aufgebaut ist und nicht mehr auf LANCOM 1
| Zitat:
|
|
Dem angeschlossenen Server ist das doch alles egal, ich aktiviere RIP auf den beiden 7111 und die Clients bekommen ja durch die VPN Konfiguration (Config Mode) Ihre passende IP Adresse....
|
Richtig - dem Server ist das egal. Der schickt ggf. Pakete für einen Tunnel, der auf LANCOM 2 endet zunächst mal zu LANCOM 1. Das LANCOM weiß aber wegen des RIPs, daß der Tunnel nun auf dem anderen LANCOM aufgebaut ist und schickt nun zum Einen das Paket an LANCOM 2 und zum anderen ein ICMP-Redirect zum Server. Das nächste Paket schickt der Server dann direkt an LANCOM 2.
Wenn der Tunnel irgendwann auf dem LANCOM 2 zusammenbricht und danach wieder auf LANCOM 1 aufgebaut wird, dann läuft das Spielchen halt anders herum: Das Paket, das der Server zu LANCOM 2 schickt, wird von diesem zu LANCOM 1 geschickt und der Server bekommt wieder ein ICMP-Redirect.
| Zitat:
|
|
mh, ist wohl doch etwas komplizierter, als nen VPN an nem 1711
|
das Szenario ist ja auch komplexer, als ein einzelner Tunnel...
Gruß
Backslash |
|
|
|
|
Genom
Anmeldungsdatum: 13.07.2007
Beiträge: 97
|
| Verfasst am:
Do 08 Nov, 2007 21:10 |
|
|
| Zitat:
|
|
nun ja, im Router geht das - wenn's ein LANCOM ist...
|
Natürlich würde ich dann durchgehend Lancom einsetzen
| Zitat:
|
|
Der CompanyConnect Anschluß mit 2 verschiedenen IP Adressen wird dir zwecks Redundanz nicht viel bringen
|
Stimmt, war eher ein Beispiel. Ich wollte 2 seperate WAN Anschlüsse, sowie 2 Domänencontroller einsetzen.
Die 2 Switches kann ich mir ja dank der integrierten 5 Ports im Lancom sparen
Ich habe jetzt erst mal keine Fragen mehr
Thx nochmal
Genom |
|
|
|
|
Genom
Anmeldungsdatum: 13.07.2007
Beiträge: 97
|
| Verfasst am:
Fr 16 Nov, 2007 21:44 |
|
|
Hallo nochmal,
mittlerweile habe ich mich dazu entschieden, den Domänencontrollen als ESX Server mit 2 Maschinen aufzubauen. (+ Managementserver)
Wenn ich dann ein Gateway eintrage, aber 2 Lancomrouter habe, wäre es doch sinnig über die ganze Geschichte noch VRRP zu ziehen, um eine zentrale GatewayIP zu haben, oder ? Somit würde es bei den Lancoms auch keinen Single Point of Failure mehr geben.. Ach ich freu mich schon auf den Aufbau *G*
Gruß |
|
|
|
|
|
|
|
|
| |
|
|
