Hallo allerseits!
Ich möchte eine größtmögliche Ausfallsicherheit unseres VPN Netzes (Zentrale + 3 Filialen) erreichen.
In der Zentrale sind zwei 3550 mit je einem DSL-Anschluss (PPPoE, dyn. IP) vorhanden, in den Filialen steht immer ein 3550er mit je einem DSL-Anschluss (PPPoE, dyn. IP) und der UMTS-Option für ein evtl. Fallback.
Ich habe auf einem der 3550er in der Zentrale alle VPN Tunnel eingerichtet, funktionieren soweit astrein. Nun möchte ich den zweiten 3550er miteinbeziehen und einerseits für eine gleichmäßige Auslastung der beiden DSL-Anschlüsse sorgen und andererseits den evtl. Ausfall eines Anschlusses kompensieren können.
Ich habe im Referenzhandbuch zwar die nötigen "Bausteine" gefunden, kann das Puzzle aber noch nicht recht zusammenfügen. Nötige Bausteine wären wohl
1) RIP zwischen beiden Routern in der Zentrale
2) Einrichten aller auf dem 1. Router schon vorhandenen VPn TUnnel auch auf dem 2. Router in der Zentrale
3) Eintragen dieses Routers als weiteres entferntes Gateway in den VPn Einstellungen der Filial-Router
4) Evtl. ein Polling, damit ein Ausfall der DSL Leitung erkannt wird. (Wobei ... das kann man sich bei PPP basierten Verbindungen glaube ich schenken)
Während ich bei 2) und 3) keine großen Probleme erwarte bzw. erhoffe, klappt es mit Punkt 1) noch gar nicht.
Was muss ich für ein funktionierendes Fallback zwischen den beiden DSL-Routern in der Zentrale konfigurieren? Reicht das bloße Auswählen von "RIP2" oder muss ich noch Routen händisch eintragen?
(Eine weitere Frage ist der UMTS Fallback in den Filialen, aber dafür mache ich wohl besser einen extra Thread auf.)
Vielen Dank!
nils
Redundante VPN Gateways in der Zentrale
Moderator: Lancom-Systems Moderatoren
RIP 1. Versuch
Zum Thema RIP:
Die beiden Router unterhalten sich und tauschen die Routen aus. Nachfolgend die RIP-Tabellen:
auf dem "Haupt-Router" (auf dem ich bereits alle Tunnel eingerichtet habe):
255.255.255.255 0.0.0.0 0 1 2 10.49.95.2
auf dem "Fallback-Router"
10.52.60.0 255.255.255.0 0 1 3 10.49.95.90
10.53.49.0 255.255.255.0 0 1 2 10.49.95.90
192.168.0.0 255.255.255.0 0 1 2 10.49.95.90
255.255.255.255 0.0.0.0 0 1 2 10.49.95.90
Nun habe ich folgendes ausprobiert: Am Hauptrouter den Stecker des DSL-Modems abgezogen - nach meinem Verständnis müsste doch spätestens nach 5 Minuten per RIP die Default-Route am Hauptrouter über den Fallback-Router ins Internet laufen. Aber auch nach 8 Minuten funktionierte am an den Router angeschlossenen Client die Namensauflösung noch nicht wieder. Leider hatte ich keine öffentliche IP-Adresse zur Hand, um eben noch ein tracert zu machen und so zu schauen, ob evtl. nur der DNS nicht funzt.
Muss ich für das Funktionieren von RIP noch etwas anderes aktivieren?
Die beiden Router unterhalten sich und tauschen die Routen aus. Nachfolgend die RIP-Tabellen:
auf dem "Haupt-Router" (auf dem ich bereits alle Tunnel eingerichtet habe):
255.255.255.255 0.0.0.0 0 1 2 10.49.95.2
auf dem "Fallback-Router"
10.52.60.0 255.255.255.0 0 1 3 10.49.95.90
10.53.49.0 255.255.255.0 0 1 2 10.49.95.90
192.168.0.0 255.255.255.0 0 1 2 10.49.95.90
255.255.255.255 0.0.0.0 0 1 2 10.49.95.90
Nun habe ich folgendes ausprobiert: Am Hauptrouter den Stecker des DSL-Modems abgezogen - nach meinem Verständnis müsste doch spätestens nach 5 Minuten per RIP die Default-Route am Hauptrouter über den Fallback-Router ins Internet laufen. Aber auch nach 8 Minuten funktionierte am an den Router angeschlossenen Client die Namensauflösung noch nicht wieder. Leider hatte ich keine öffentliche IP-Adresse zur Hand, um eben noch ein tracert zu machen und so zu schauen, ob evtl. nur der DNS nicht funzt.
Muss ich für das Funktionieren von RIP noch etwas anderes aktivieren?
Hi maxtek,
Damit das von die gewünschte Szenario funktioniert, muß der Hauptrouter zum einen die Internetverbindung per Keep-Alive aufbauen. Zum anderen muß für sie eine schlechtere Metrik/Distanz konfiguriert werden, als beim Backuprouter.
Dann funktioniert das ganze wie folgt:
Im Hauptrouter sei eine Metrik von 4 konfiguriert und im Backup-Router die Metrik 2
Wenn der Hauptrouter die Verbindung aufgebaut hat, dann propagiert er die Route mit einer Metrik von 1 (3 weniger als konfiguriert). Daher ist er besser als der Backup-Router.
Sobald die Verbindung abgebaut wird, propagiert der Hauptrouter wieder die konfigurierte Metrik (4) und wird damit schlechter als der Backuprouter, der dann "schlagartig" das Routing übernimmt...
Sobald der Hauptrouter die Verbindung wieder aufgebaut hat, propagiert er sich selbst wieder mit der Metrik 1 und ist wieder besser als der Backup-Router (da er als erstes die Pakete der Rechner im Netz bekommt).
Gruß
backslash
Das Problem ist, daß das Backup-Szenario vom RIP in dieser Form nicht unterstützt wird. So wie du es konfiguriert hast, erfolgt das Umschalten erst bei einem Totalausfall des Hauptrouters.Nun habe ich folgendes ausprobiert: Am Hauptrouter den Stecker des DSL-Modems abgezogen - nach meinem Verständnis müsste doch spätestens nach 5 Minuten per RIP die Default-Route am Hauptrouter über den Fallback-Router ins Internet laufen.
Damit das von die gewünschte Szenario funktioniert, muß der Hauptrouter zum einen die Internetverbindung per Keep-Alive aufbauen. Zum anderen muß für sie eine schlechtere Metrik/Distanz konfiguriert werden, als beim Backuprouter.
Dann funktioniert das ganze wie folgt:
Im Hauptrouter sei eine Metrik von 4 konfiguriert und im Backup-Router die Metrik 2
Wenn der Hauptrouter die Verbindung aufgebaut hat, dann propagiert er die Route mit einer Metrik von 1 (3 weniger als konfiguriert). Daher ist er besser als der Backup-Router.
Sobald die Verbindung abgebaut wird, propagiert der Hauptrouter wieder die konfigurierte Metrik (4) und wird damit schlechter als der Backuprouter, der dann "schlagartig" das Routing übernimmt...
Sobald der Hauptrouter die Verbindung wieder aufgebaut hat, propagiert er sich selbst wieder mit der Metrik 1 und ist wieder besser als der Backup-Router (da er als erstes die Pakete der Rechner im Netz bekommt).
Gruß
backslash
RIP läuft schonmal :)
Hi!
Habe wie "befohlen" die Metrik der Routen angepasst und das Routing funktionierte auf Anhieb, nur der DNS wurde noch nicht weitergeleitet. Ein trace dns ergab
...
Not found in local DNS database, no route to next DNS server => not forwarded
...
Habe dann einfach mal die IPs der beiden Router unter TCP/IP, Adressen, DNS eingetragen ... und siehe da:
Not found in local DNS database => forward to next server
NameQuery: Forward to locally configured DNS server
Soweit so gut
Dann wäre der nächste Schritt jetzt, alle auf dem Hauptrouter vorhandenen VPN-Tunnel auch auf dem zweiten Router zu konfigurieren, die Distanzen der VPN Tunnel in der Routingtabelle des Hauptrouters ebenfalls erhöhen ... und dann den zweiten Router als "weiteres entferntes Gateway" in den Routern der Filialen eintragen. Hab ich was vergessen?
Habe wie "befohlen" die Metrik der Routen angepasst und das Routing funktionierte auf Anhieb, nur der DNS wurde noch nicht weitergeleitet. Ein trace dns ergab
...
Not found in local DNS database, no route to next DNS server => not forwarded
...
Habe dann einfach mal die IPs der beiden Router unter TCP/IP, Adressen, DNS eingetragen ... und siehe da:
Not found in local DNS database => forward to next server
NameQuery: Forward to locally configured DNS server
Soweit so gut
Dann wäre der nächste Schritt jetzt, alle auf dem Hauptrouter vorhandenen VPN-Tunnel auch auf dem zweiten Router zu konfigurieren, die Distanzen der VPN Tunnel in der Routingtabelle des Hauptrouters ebenfalls erhöhen ... und dann den zweiten Router als "weiteres entferntes Gateway" in den Routern der Filialen eintragen. Hab ich was vergessen?
Hi maxtek
Gruß
Backlsash
Nur daß bei den weiteren Gateways der Wert für "Anfangen mit" auf "Erstem" stehen muß, da der Backup-Router ja nur dann errichbar ist, wenn der Hauptrouter nicht erreichbar ist (denn nur dann hat der Backup-Router ja eine Internetverbindung...)Dann wäre der nächste Schritt jetzt, alle auf dem Hauptrouter vorhandenen VPN-Tunnel auch auf dem zweiten Router zu konfigurieren, die Distanzen der VPN Tunnel in der Routingtabelle des Hauptrouters ebenfalls erhöhen ... und dann den zweiten Router als "weiteres entferntes Gateway" in den Routern der Filialen eintragen. Hab ich was vergessen?
Gruß
Backlsash
Load Balancing
Achso ...
gäbe es denn die Möglichkeit, eine Art Load-Balancing zu etablieren, d.h. dass der eine Teil der VPN Gegenstellen immer den Backup-Router und der andere Teil immer den Haupt-Router als erstes anwählt?
gäbe es denn die Möglichkeit, eine Art Load-Balancing zu etablieren, d.h. dass der eine Teil der VPN Gegenstellen immer den Backup-Router und der andere Teil immer den Haupt-Router als erstes anwählt?
Hi maxtek
An der RIP-Konfiguration für die Defaultroute ändert sich dabei nichts. Für die VPN-Routen trägst du in beiden Routern die gleiche Metrik ein.
Desweiteren mußt du noch dafür sorgen, daß die VPN-Verbindungen immer von den Filialen her aufgebaut werden. Das machst du am einfachsten in dem du in der Firewall den Traffic zu den VPN-Routen verwifst, wenn die Verbindung nicht besteht..
Gruß
Backslash
Das geht natürlich auch. Ich bin zunächst erstmal davon ausgegangen, daß der Backup-Router nur dann eine Verbindung zum Internet haben soll, wenn der Hauptrouter ausfällt...gäbe es denn die Möglichkeit, eine Art Load-Balancing zu etablieren, d.h. dass der eine Teil der VPN Gegenstellen immer den Backup-Router und der andere Teil immer den Haupt-Router als erstes anwählt?
An der RIP-Konfiguration für die Defaultroute ändert sich dabei nichts. Für die VPN-Routen trägst du in beiden Routern die gleiche Metrik ein.
Desweiteren mußt du noch dafür sorgen, daß die VPN-Verbindungen immer von den Filialen her aufgebaut werden. Das machst du am einfachsten in dem du in der Firewall den Traffic zu den VPN-Routen verwifst, wenn die Verbindung nicht besteht..
Gruß
Backslash