FallBack eines mittels PPTP redundant geschalteten VPNs

[headcrash]

Hallo zusammen,

ich habe 2 1711 zur Standortkopplung im Einsatz.
Diese sind nach dem bekannten Schema in einer Kombination aus PPTP und IPSec Tunnel mit Redundanten VPN-Strecken verknüpft.

Beide Leitungen sind ständig aktiv und werden über Load-Balancing "befüllt".
Zusätzlich sind in der Firewall regeln definiert welche VOIP und RDP Verbindungen auf eine der beiden Leitungen binden (Routingtag) und eine mindestbandbreite bzw. PMTU garantieren.

Das ganze läuft soweit auch bestens - nur das im Backupfall eigentlich sämtlicher traffic auf die noch vohandene Leitung gelegt werden sollte was aber aus irgendwelchen Gründen vor allem mit den auf eine Leitung gebundenen Diensten nicht funktioniert.

Generell hätte ich vermutet das die Tags einfach von der Backupleitung ignoriert werden - aber dem scheint ja nicht so zu sein.

Ich kann im Handbuch leider keinerlei Hinweise finden wie sowas zu konfigurieren wäre.

Weiß jemand was dazu?

headcrash

PS: Firmware ist die 7.6RC1

[backslash]

Hi headcrash

Generell hätte ich vermutet das die Tags einfach von der Backupleitung ignoriert werden - aber dem scheint ja nicht so zu sein.

Beim Loadbalancing hast du keine "Backupleitung"...

Das ganze läuft soweit auch bestens - nur das im Backupfall eigentlich sämtlicher traffic auf die noch vohandene Leitung gelegt werden sollte was aber aus irgendwelchen Gründen vor allem mit den auf eine Leitung gebundenen Diensten nicht funktioniert.

Hier hast du nur die Möglichkeit, über die Aktionstabelle beim Auf- bzw. Abbau der jeweiligen Leitung die Routing-Tags in den Firewallregeln umzuschalten

Gruß
Backslash

[headcrash]

Danke für die Antwort,
mir ist schon klar das man beim load-balancing keine Backupleitung hat!
Ich bin aber eigentlich davon ausgegangen das es möglich sein müsste trotz aktiviertem LB ein Backup zu konfigurieren.

Mir scheint es aber eher so als ob durch den Wegfall einer Leitung immer gleich der ganze Load-balancer Platt gemacht wird und so auch die zweite VPN-Strecke mit abschmiert.

Müsste es generell nicht möglich sein die Problematik mit der in der 7.6 Firmware enthaltenen Backupfunktion für firewallregeln zu lösen?

headcrash

[backslash]

Hi headcrash

Ich bin aber eigentlich davon ausgegangen das es möglich sein müsste trotz aktiviertem LB ein Backup zu konfigurieren

klar kannst du ein Backup für den Loadbalancer definieren, doch das wird erst dann aktiv, wenn der ganze Loadbalancer ausfällt...
Oder du definierst Backupverbindungen für die einzelnen Verbindungen des Loadbalancers - aber das ist i.A. nicht was man will...

Mir scheint es aber eher so als ob durch den Wegfall einer Leitung immer gleich der ganze Load-balancer Platt gemacht wird und so auch die zweite VPN-Strecke mit abschmiert.

Wenn eine Leitung abschmiert, dann läuft die andere unbeeindruckt weiter. Du mußt natürlich darauf achten, daß die VPN-Verbindungen auch wirklich auf die jeweiligen Leitungen gebunden sind. Dies kann mit dem Routing-Tag in der VPN-Verbindungsliste sichergestellt werden.

Müsste es generell nicht möglich sein die Problematik mit der in der 7.6 Firmware enthaltenen Backupfunktion für firewallregeln zu lösen?

nein, denn das dient nur dazu, Aktionen einer Regel im Backupfall umzuschalten (um z.B. eMule im Backupfall zu blockieren).

Wie gesagt: die einzige Möglichkeit, die du hast ist die, über die Aktionstabelle die Routing-Tags in der Firewall umzuschalten, mit denen du die einzelnen Dienste auf ihre Leitungen bindest

Gruß
Backslash