Backup-Szenario funktioniert nicht

[DirkK]

Hallo,

durch einen Umstellung einer Internetleitung wollte ich mal das Szenario für eine Redundanz und Ausnutzung aller Kapazitäten angehen.
Folgenden Aufbau habe ich hierbei hergestellt:
Hauptrouter LC1784 (10.20.0130) mit 60/20MBit QUiX-Internet-Anschluss
Backuprouter LC1724 (9.00.0316) mit 6/0,5MBit TDSL-Anschluss

Auf dem 1784 wurde ein zweier DSL-Zugang angelegt, der auf den 1724 zeigt und die beiden zum Loadbalancing zusammengefasst.
Da der Loadbalancer des 1784 nicht so arbeitet, wie ich mir das vorstelle (Downloads landen nach Murphy meist auf der langsamen 6MBit-Leitung), habe ich eine Firewallregel eingerichtet, die HTTP(S)-Traffic auf den 60MBit-Anschluss lenken soll.
Damit jedoch der Ausfall dieser Leitung nicht zum Ausfall des WEB-Traffics führt, ist die TDSL-Leitung als Backup für die 60MBit INTERNET-Leitung
angegeben.
VRRP wurde für den Fall eines Hardwareausfalls des 1784 konfiguriert.

Ich hoffe damit ist die Konfiguration einigermaßen klar beschrieben.

Vorab, was wirklich einwandfrei funktioniert ist das VRRP, wenn ich den 1784 ausschalte.

Was auch funktioniert ist, wenn ich bei beiden laufenden Routern die 60MBit INTERNET-Leitung ausstöpsele. Dann meldet der 1784 einen Backup-Fall und nach kurzer Zeit ist auch WEB-Surfer wieder möglich, dann eben halt nur über die 6MBit TDSL-Leitung (LAN->1784->1724->TDSL).

Nun zu meinen Problemen: Wenn ich allerdings die 60MBit INTERNET-Leitung wieder einstecke, dann wird die TDSL-Leitung auf dem 1784 gedroppt und dann kommt es zu einem Aufschaukeln der Verbindungsaufbau von INTERNET und TDSL gefolgt vom sofortigen Drop, sobald eine der beiden Leitungen wieder online ist. Lösche ich die Backup-Tabelle im 1784, so regelt sich das alles wieder ein und nach einiger Zeit sind beide Leitungen auf dem 1784 wieder online. Der 1724 hält die eigentliche TDSL-Verbindung die ganze Zeit problemlos online.

Ein weiteres Phänomen, welches meiner Meinung nach nicht auftreten dürfte ist, dass ich trotz der 401-getagten ALLOW_WEB-Regel nicht nur Verbindungen über den INTERNET-Anschluss sehe, sondern auch über den TDSL-Anschluss, siehe Verbindungsliste allow_web_a.txt. Und das immer wieder außerhalb meiner Failover und Backup Tests.

Was ist mein Fehler in der Konfiguration, der Backup-Verbindung auf dem 1784?
Kann es damit zusammenhängen, dass die Backupverbindung teil des Loadbalancers ist?
Und was hat das mit den getagten Verbindungen über den falschen Routereintrag auf sich?

Danke und Grüße
Dirk

[DirkK]

Konfigbilder2

[DirkK]

Konfigbilder3

[backslash]

Hi DirkK ,

Backup ist ein "entweder oder", d.h. du darfst auf eine Backupverbindung keine Route legen, denn Das führt zu einem "ping-pong" zwischen Haupt- und Backup-Vertbindung: Wenn die Haupt-Verbindung wieder hochkommt, wird die Backup-Verbindung abgebaut. Da du aber eine Route auf die Backup-Verbindung hast, wird sie sofort wieder aufgebaut (spätestens, wenn ein Paket über die Route läuft). Das führt dazu, daß die Haupt-Verbindung getrennt und wieder neu aufgebaut wird - und so fort...

Dein Szenbario mußt du über die Aktionstabelle lösen, indem bei Ab- bzw. Aufbau der schnellen Verbindung das Routing-Tag in der Firewallregel umsetzt...

Gruß
Backslash

[DirkK]

Backup ist ein "entweder oder", d.h. du darfst auf eine Backupverbindung keine Route legen, denn Das führt zu einem "ping-pong" zwischen Haupt- und Backup-Vertbindung: Wenn die Haupt-Verbindung wieder hochkommt, wird die Backup-Verbindung abgebaut. Da du aber eine Route auf die Backup-Verbindung hast, wird sie sofort wieder aufgebaut (spätestens, wenn ein Paket über die Route läuft). Das führt dazu, daß die Haupt-Verbindung getrennt und wieder neu aufgebaut wird - und so fort..

Danke für die Erklärung!! Dann ist das Verhalten natürlich klar und genauso war das auch.

Dein Szenbario mußt du über die Aktionstabelle lösen, indem bei Ab- bzw. Aufbau der schnellen Verbindung das Routing-Tag in der Firewallregel umsetzt...

Das Problem bei der schnellen Verbindung ist, dass sie nicht abgebaut wird, d.h. der VDSL-Sync besteht, aber es werden keine Daten mehr transportiert.

Kann man das ganze dann nicht über VRRP lösen? D.h. wenn das Polling über die VDSL-Leitung nicht mehr geht dann den 1724 mit seiner ADSL-Leitung als Gateway übernehmen lassen? Ich habe das mal probiert, aber die Config scheinbar nicht richtig hinbekommen. Im Referenzhandbuch steht zumindest so ein ähnliches Szenario bei VRRP. Allerdings leider nicht, wie die Config dann konkret aussehen muss... kannst du da weiterhelfen?

Danke und Grüße
Dirk

[backslash]

Hi DirkK,

Das Problem bei der schnellen Verbindung ist, dass sie nicht abgebaut wird, d.h. der VDSL-Sync besteht, aber es werden keine Daten mehr transportiert.

genau dafür gibt es das ICMP-Polling... Wenn keine Daten mehr laufen, dann scheitert auch das Polling und zieht die Leitung runter...

Kann man das ganze dann nicht über VRRP lösen? D.h. wenn das Polling über die VDSL-Leitung nicht mehr geht dann den 1724 mit seiner ADSL-Leitung als Gateway übernehmen lassen?

dann hast du aber keine Load-Balancing mehr - oder hast du das 1724 einmal am LAN und einmal an der DSL-Leitung? Das wäre zwar gruselig, könnte aber funktionieren, wenn du das VRRP die VDSL-Leitung überwachen läßt...

Gruß
Backslash

[DirkK]

- oder hast du das 1724 einmal am LAN und einmal an der DSL-Leitung? Das wäre zwar gruselig, könnte aber funktionieren, wenn du das VRRP die VDSL-Leitung überwachen läßt...

Hallo Backslash
mir graut vor gar nichts...
So ähnlich: Die loadgebalancten WAN-Anschlüsse des 1784 hängen am VDSL und am LAN2 vom 1724. Der 1724 hat einen ADSL-WAN.
Ja, ich will mit VRRP die VDSL-Leitung überwachen lassen, kriege das aber nicht in der Konfig zwischen den beiden (1784 und 1724) hin.

Grüße
Dirk

[backslash]

Hi DirkK

So ähnlich: Die loadgebalancten WAN-Anschlüsse des 1784 hängen am VDSL und am LAN2 vom 1724. Der 1724 hat einen ADSL-WAN.
Ja, ich will mit VRRP die VDSL-Leitung überwachen lassen, kriege das aber nicht in der Konfig zwischen den beiden (1784 und 1724) hin.

dann sollte es doch eigentlich recht simpel sein... Einfach im VRRP des 1784 die schnelle Verbindung als überwachte Verbindung eintragen und im 1724 den selben VRRP-Router konfigurieren... Dann solle beim Abbau der schnellen Verbindung (und Ablauf der Backup-Sperrzeit) das VRRP des 1784 in den Slave-Status wechseln und somit der 1724 übernehmen (solange die virtuelle IP in deinem LAN auch das Gateway ist)...

Gruß
Backslash