[beantwortet] Load Balancing für redundantes VPN?

LittleAdmin · Beitrag von **LittleAdmin** » 16 Feb 2007, 07:19

Hallo Zusammen,

für einen Kunden soll folgendes Netz realisiert werden:

2x LANCOM 7111 VPN
36x T-Systems Business LAN R800+

Die R800+ hängen je an einem T-DSL Business Anschluss, die 7111 an zwei 10Mbit/s (Netto 8,6) "EthernetConnect" in zwei verschiedenen Lokationen.

Jetzt sollen die R800+ zu beiden 7111 einen Tunnel aufbauen um das dahinter liegende Netz zu erreichen. Soweit so gut.
Zusätzlich sollen sich aber auch alle R800+ gegenseitig sehen und zwar am besten redundant über beide Tunnel, falls mal ein Gateway ausfällt.
Ein normales Backup währe zwar auch denkbar, aber da zu allem Überfluss noch VoIP zum Einsatz kommt, sollte am besten möglichst unterbrechungsfrei geswitcht werden können.

Ist so was möglich?
Ich habe mal gelesen, dass Load Balancing bei VPN nicht funktioniert. Wenn doch, bitte ich um ein mini HowTo!

Danke im Voraus!

backslash · Beitrag von **backslash** » 16 Feb 2007, 15:41

Hi LittleAdmin

Zusätzlich sollen sich aber auch alle R800+ gegenseitig sehen

Das ist kein Problem. Trag einfach entsprechende Routen ein...

und zwar am besten redundant über beide Tunnel, falls mal ein Gateway ausfällt.

aber das ist ein Problem, weil es im IPSec nicht abbildbar ist. Hier müssen die Netzbeziehungen eindeutig sein, weshalb derartige redundante Routen nicht möglich sind.

Ein normales Backup währe zwar auch denkbar,

das ist letztendlich die einzige Möglichkeit, die dir bleibt

Ich habe mal gelesen, dass Load Balancing bei VPN nicht funktioniert. Wenn doch, bitte ich um ein mini HowTo!

LoadBalancing für VPN scheitert ebenso wie ein Redundanzwunsch an der Tatsache, daß IPSec-Regeln eindeutig sein müssen.

Du kannst es aber mit Hilfe von PPTP- über IPSec-Tunneln hinbekommen. Dabei konfigurierst du die IPSec-Verbidnungen auf beiden Seiten als Extranet-Verbindungen (d.h. es ist jeweils nur eine einzige Adresse überhaupt ansprechenbar). Diese Extranet-Adressen nutzt du als Endpunkte für die PPTP-Tunnel, die du dann im Loadbalancer zusammenfaßt...

Gruß
Backslash

LittleAdmin · Beitrag von **LittleAdmin** » 16 Feb 2007, 17:17

Servus!
@backslash
Danke für den Tipp mit den PPTP-Verbindungen, ich habe das gerade mal mit zwei 1711 und zwei R800+ im Labor getestet. Funktioniert klasse, ich hatte schon Probleme mit Laufzeit und/oder CPU befürchtet, aber scheint alles sauber zu sein.

Jetzt stellt sich mir die Frage ob das auch mit VoIP kein Probleme macht, da der Loadbalancer ja vermutlich die Pakete abwechselnd durch die Tunnel schickt und die dabei durcheinander am Ziel ankommen.
Oder erkennt der die Verbindungen und schiebt die durch einen Tunnel?

Gibts Erfahrungen mit VoIP und Loadbalancer?

backslash · Beitrag von **backslash** » 16 Feb 2007, 17:56

Hi LittleAdmin

Jetzt stellt sich mir die Frage ob das auch mit VoIP kein Probleme macht, da der Loadbalancer ja vermutlich die Pakete abwechselnd durch die Tunnel schickt und die dabei durcheinander am Ziel ankommen.
Oder erkennt der die Verbindungen und schiebt die durch einen Tunnel?

die verwendete Verbindung wird pro VOIP-Session (also pro Gespräch) festgelegt...

Gruß
Backslash

LittleAdmin · Beitrag von **LittleAdmin** » 16 Feb 2007, 18:44

Super!
Also die Konfiguration für die manuellen PPTP-Verbindungen auf die Extranet-IPs dauert zwar und ist, wie ich gerade gemerkt habe auch fehleranfällig.

aber funktionieren tuts um so besser.

DANKE