aktives VRRP deaktiviert WAN-Verbindung auf Standby-Router?

[ua]

Hallo Zusammen,

folgendes Szenario:
Router A, echte IP .2, VRRP-Master, VRRP auf der LAN Seite mit "Gegenstelle" xDSL
Router B, echte IP .3, VRRP-Standby, VRRP auf der LAN Seite mit "Gegenstelle" 3G/4G
VRRP IP .1

Es funktioniert alles wie es soll, sobald die xDSL Verbindung ausfällt läuft alles über Funk.
Jedoch wird die 3G/4G Verbindung nur im Backup-Fall aufgebaut, ich habe es nicht geschafft die Verbindung immer aufgebaut zu lassen. Auch eine weitere Default-Route mit einem anderem Routine-Tag bringt die Verbindung nicht hoch?

Die 3G/4G Verbindung soll jedoch unabhängig von der xDSL Verbindung zur Verfügung stehen (einige Anwenden nehmen den Router B als DGW. Auch eine primitive Verkehrs-Steuerung ist damit geplant: Geräte ohne Backupberechtigung nehmen stumpf die .2, Backup würdige Geräte nehmen die .1, Verbindungen über 3G/4G nehmen die .3.

Viele Grüße aus OBC

Udo

[fildercom]

Hallo Udo,

ich hatte vor einiger Zeit dasselbe "Problem".

Das lässt sich aber ganz einfach lösen: Einfach einen zweiten VRRP-Verbund anlegen, bei welcher die Priorisierung genau umgekehrt eingetragen wird als bei deinem bestehenden Verbund. Schon klappt es und beide WAN-Verbindungen werden gehalten.

Gruß
fildercom.

[ua]

Hallo fildercom,

Dank für die Lösung, habe es jetzt auch so eingerichtet.
Allerdings frage ich mich, warum der STANDBY-Ast einfach die WAN-Verbindung kappt?
Werde das mal Richtung LC schubsen.

Viele Grüße

Udo

[backslash]

Hi ua,

die Lösung von fildercom funktionieret zwar, aber es geht für deinen Fall noch einfacher: Einfach in Router B das VRRP an keine Gegenstelle koppeln...

Allerdings frage ich mich, warum der STANDBY-Ast einfach die WAN-Verbindung kappt?

nun ja, weil's so im Handbuch steht?! Scherz beiseite: Bedenke es gab mal vor nicht allzulanger Zeit Tarife, die wurden nach Minuten statt nach Volumen oder gar flat abgerechnet - und bei solchen Tarifen ist es explizit gewollt, daß die Verbindung nur im Backupfall besteht...

Abgesehen davon: Wieso soll die Mobilverbindung ständig onlin sein? Die Rechner in deinem Netz nutzen ja vermutlich die VRRP-IP (.1) als Gateway somit kann die Mobilverbindung nicht genutzt werden, wenn Router B nicht Master ist. (das ist i.Ü. auch ein Grund, die Verbindung zu trennen, sobald der Router Slave ist)

Gruß
Backslash

[ua]

Hallo Backslash,

der Grund für den Wunsch nach der offenen Verbindung ist ein manuelles "Loadbalancing" über die beiden Router (jeweils über die echten IP-Adressen).

Viele Grüße

Udo

[backslash]

Hi ua,

der Grund für den Wunsch nach der offenen Verbindung ist ein manuelles "Loadbalancing" über die beiden Router (jeweils über die echten IP-Adressen).

soll ich jetzt sagen "nette Idee, aber"... Das Problem bei dem Wunsch ist, daß ein VRRP-Slave ein zu routendes Paket, das an seine echte IP-Adresse gerichtet ist, an den VRRP-Master weiterleitet und dem Absender ein ICMP redirect zur VRRP-IP schickt. Für ein manuelles Loadbalancing mußt du dann doch die Methode von fildercom einsetzen und die jeweiligen VRRP-IPs als Gateways in den PCs eintragen.

Gruß
Backlsash

[ua]

Einspruch Euer Ehren,

folgendes ist bei einem kurzem Test herausgekommen:


Default Gateway auf die VRRP-Adresse (.1):

C:\Users\Administrator>ipconfig
Windows-IP-Konfiguration
Ethernet-Adapter LAN-Verbindung:
Verbindungsspezifisches DNS-Suffix:
IPv4-Adresse . . . . . . . . . . : **.**.**.75
Subnetzmaske . . . . . . . . . . : 255.255.255.0
Standardgateway . . . . . . . . . : **.**.**.1

C:\Users\Administrator>tracert http://www.heise.de
Routenverfolgung zu http://www.heise.de [193.99.144.85] über maximal 30 Abschnitte:
1 <1 ms <1 ms <1 ms rt01-dsl [**.**.**.2]
2 18 ms 18 ms 22 ms 217.0.119.84
3 20 ms 19 ms 23 ms ^C

Default Gateway auf die Adresse des Aktiven (xDSL, .2):

C:\Users\Administrator>ipconfig
Windows-IP-Konfiguration
Ethernet-Adapter LAN-Verbindung:
Verbindungsspezifisches DNS-Suffix:
IPv4-Adresse . . . . . . . . . . : **.**.**.75
Subnetzmaske . . . . . . . . . . : 255.255.255.0
Standardgateway . . . . . . . . . : **.**.**.2

C:\Users\Administrator>tracert http://www.heise.de
Routenverfolgung zu http://www.heise.de [193.99.144.85] über maximal 30 Abschnitte:
1 1 ms 1 ms 1 ms rt01-dsl [**.**.**.2]
2 18 ms 18 ms 21 ms 217.0.119.84
3 19 ms 19 ms 20 ms

Default Gateway auf die Adresse des Standby (4G, .3):

C:\Users\Administrator>ipconfig
Windows-IP-Konfiguration
Ethernet-Adapter LAN-Verbindung:
Verbindungsspezifisches DNS-Suffix:
IPv4-Adresse . . . . . . . . . . : **.**.**.75
Subnetzmaske . . . . . . . . . . : 255.255.255.0
Standardgateway . . . . . . . . . : **.**.**.3

C:\Users\Administrator>tracert http://www.heise.de
Routenverfolgung zu http://www.heise.de [193.99.144.85] über maximal 30 Abschnitte:
1 1 ms <1 ms <1 ms rt02 [**.**.**.3]
2 * * * Zeitüberschreitung der Anforderung.
3 * * * Zeitüberschreitung der Anforderung.
4 * * * Zeitüberschreitung der Anforderung.
5 * * * Zeitüberschreitung der Anforderung.
6 * * * Zeitüberschreitung der Anforderung.
7 * * * Zeitüberschreitung der Anforderung.
8 * * * Zeitüberschreitung der Anforderung.
9 * * * Zeitüberschreitung der Anforderung.
10 * * * Zeitüberschreitung der Anforderung.
11 * * * Zeitüberschreitung der Anforderung.
12 * * * Zeitüberschreitung der Anforderung.
13 * * * Zeitüberschreitung der Anforderung.
14 * * * Zeitüberschreitung der Anforderung.
15 * * * Zeitüberschreitung der Anforderung.
16 69 ms 49 ms 48 ms s-eb6-i.s.de.net.dtag.de [62.154.23.10]
17 62 ms 61 ms 58 ms

Also ich sehe da kein Re-Direct auf dem Standby-Router. M.E. dürfte dieses auch nicht so laufen, da die Router auf Ihrem echten Adressen erreichbar sein müssen, auch um die VRRP-Pakete zu schubsen. Umgekehrt sollte es sein, Pakete die auf der virtuellen Adresse aufschlagen werden zum Master umgeleitet (so zeigen es auch die Traceroutes).

Viele Grüße

Udo

[backslash]

Hi ua,

Also ich sehe da kein Re-Direct auf dem Standby-Router.

hast du dem Router vielleicht, verboten Redirects zu senden (unter IP-Router -> Allgemein -> ICMP-Rediects senden)? Aber unabhängig davon, müßte der Slave das ping an den Master weiterleiten, der es dann rausschickt...

M.E. dürfte dieses auch nicht so laufen, da die Router auf Ihrem echten Adressen erreichbar sein müssen, auch um die VRRP-Pakete zu schubsen.

Wenn ein VRRP-Slave selbst angesprochen wird, dann reagiert er auch auf seine eigene Adressse. Wenn er das Paket aber routen soll, dann muß er ein Redirect auf die virtuelle IP senden und das Paket auch an die virtuelle IP weiterleiten (dadurch kommt es dann beim Master an).

Umgekehrt sollte es sein, Pakete die auf der virtuellen Adresse aufschlagen werden zum Master umgeleitet (so zeigen es auch die Traceroutes).

Pakete an die virtuelle IP kommen immer direkt, d.h. ohne redirect o.ä., beim Master an, egal werd das gerade ist - so ist VRRP ja konzipiert.

BTW: Auch der Master schickt ein Redirect zur virtuellen IP, wenn ein zu routendes Paket an seine echte IP-Adresse geschickt wurde.

Gruß
Backlsash