VPN parallel, redundant mit VRRP in gleiche Netze

crypticvision · Beitrag von **crypticvision** » 05 Apr 2011, 10:48

Ich hatte gestern an einer Lösung gearbeitet, um einen Client in einem Netz, welches per VPN am Rechenzentrum angekoppelt ist, eine öffentliche IP zu verpassen bzw. diesen als exposed Host zu konfigurieren, was mir auch gelungen ist.

Ich stelle das mal dar:

Standleitung<->RZ Router<->VPN (über Standleitung)<->Filiale Router<->exposed Host

Ein Problem an der Sache ist, ist der Tunnel weg, weil z.B. der Router der Filiale ausfällt, dann muß ein Ersatzweg her. Dieser besteht auch in Form eines weiteren Internetzugangs in einem benachbarten Gebäude. Die Netze der beiden Gebäude sind mit WLAN verbunden. Als transparente Bridge. Es ist praktisch ein Netz.
Die Ausfallsicherheit des Internetzugangs ist schon jetzt gegeben, da beide Router in beiden Gebäuden via VRRP wechselseitig abgesichert sind.
Baue ich von beiden Routern jeweils eine VPN Verbindung ins RZ auf, könnte ich mir vorstellen, daß es zu Schleifen kommt. Aus Sicht des Hosts sollte es kein Problem sein, denn der hat ja sein virtuelles Gateway, aber aus Sicht des RZ könnte ich mir vorstellen, das nicht klar ist, welcher VPN Tunnel denn nun genutzt werden soll, um die Gegenseite zu erreichen, da beide Endpunkte im selben Netz liegen. Leider ist das eine Produktivumgebung, was heißt, das basteln ein Problem ist. Es wäre also schön, wenn jemand sowas ähnliches vielleicht schonmal gemacht hat und mir ein entsprechende Tipps geben könnte. Vielleicht habe ich ja was übersehen. Ich möchte nur nicht den zweiten Tunnel etablieren und das Netz damit lahmlegen. Evtl. ist ja Spanning Tree ein Stichwort, nur hab ich da im Moment kaum Erfahrung damit und wer weiß, ob ich es überhaupt brauchen würde?

Dr.Einstein · Beitrag von **Dr.Einstein** » 18 Mai 2011, 07:40

Hallo crypticvision,

auch wenn dein Beitrag schon etwas her ist:

Du hast ja bereits ein funktionierendes VRRP am Laufen. Ich würde einfach zusätzlich RIP-Routing in beiden Routern vor Ort aktivieren, den Tunnelaufbau vom Rechenzentrum aus starten und die Routing Tabelle auf konditional umstellen.

Gruß Dr.Einstein

crypticvision · Beitrag von **crypticvision** » 18 Mai 2011, 10:18

Den Aufbau der VPN Verbindung kann ich nicht vom RZ aus starten, da die beiden Filialen lediglich dynamische öffentliche IPs haben. Das wäre wieder nur Bastelei. Man darf auch nicht vergessen, daß das VRRP hier nur als absicherung gilt, falls einer der Internetzugänge ausfällt. Ansonsten geht da jedes Haus schon über seinen eigenen Anschluß, auch wenn im Lancom nur die virtuelle IP angesprochen wird.

Dr.Einstein · Beitrag von **Dr.Einstein** » 18 Mai 2011, 10:28

Also hast du zwei VRRP-Router in der VRRP Liste eingetragen, damit trotzdem jedes Haus ihre eigene Leitung primär nutzt ?

Das Ganze funktioniert dann immernoch über die RIP-Tabelle. Das mit den dynamischen, öffentlichen IP-Adressen könnte das Problem werden ...

Gruß Dr.Einstein

crypticvision · Beitrag von **crypticvision** » 18 Mai 2011, 11:52

Korrekt!