Die Tücken des Loadbalancing

[DirkK]

Hallo,

voll Freude habe ich vor einigen Wochen das Loadbalancing mit einem 2MBit und einem 1MBit DSL-Anschluss konfiguriert. Im Prinzip ging auch alles wie geschmiert und surfen, wie auch mehrere gleichzeitige Downloads haben hiervon profitiert.

Wie so oft jedoch steckt die Tücke im Detail:
Beim Mailabruf und -versand z.B. bei T-Online erfolgt die Anmeldung (je nach Konfiguration) nicht unbedingt mit Kennung und Passwort, sondern über die Verbindung an sich. Das hat den unerwünschten Nebeneffekt, dass der Mailversand manchmal nicht funktioniert hat. Kann evtl. ein bisschen dauern, bis man darauf kommt. Doch routet man die Mail über den richtigen Kanal, schon funktionierts.
Des weiteren wollte ich eine VPN-Verbindung aus dem LAN in eine Firma herstellen. Die eine Lösung "verträgt" das Loadbalancing, die andere nicht. Routet man die zweite Lösung ausschliesslich über einen Kanal, schon funktioniert es.

Wer schon ähnliche Erfahrungen gemacht hat kann sie ja hier zwecks Erfahrungsaustausch nennen.

[backslash]

Hi DirkK,

Kann evtl. ein bisschen dauern, bis man darauf kommt. Doch routet man die Mail über den richtigen Kanal, schon funktionierts.

nun ja, Kapitel 7.6.4 (Statisches Load-Balancing) des Handbuchs gibt schon einen deutlichen Hinweis auf das Problem und auch mögliche Lösungen...

Des weiteren wollte ich eine VPN-Verbindung aus dem LAN in eine Firma herstellen. Die eine Lösung "verträgt" das Loadbalancing, die andere nicht. Routet man die zweite Lösung ausschliesslich über einen Kanal, schon funktioniert es.

Dynamic VPN verträgt sich problemlos mit Load-Balancing, da der verwendete Kanal in der Vorverhandlung übermittelt wird.

Ebenso funktionieren auch Aggressive-Mode Verbindungen, da bei ihnen die IP-Adresse nicht zur Identititätsbestimmung herangezogen werden. Das Gleiche gilt für Mainmode-Verbinungen bei Verwendung von Zertifikaten.

Das "einzige" was mit dem Load-Balancing nicht harmoniert und ein explizites Routing zum remoten Gateway erfordert, sind Mainmode-Verbindungen mit Preshared Keys (und ohne dynamic VPN!), da bei diesen die IP-Adresse Bestandteil der Identität ist.

Gruß
Backslash

[DirkK]

nun ja, Kapitel 7.6.4 (Statisches Load-Balancing) des Handbuchs gibt schon einen deutlichen Hinweis auf das Problem und auch mögliche Lösungen...

Im Handbuch steht aber nicht drin, dass T-Online Mailserver den Login nicht per Kennung und Passwort autentifizieren, sondern auch (oder ausschliesslich) durch die Verbindung, insofern nützt der Hinweis nur sehr bedingt. Die Lösung selbst ist dann schon fast ein "Nobrainer".

Das "einzige" was mit dem Load-Balancing nicht harmoniert und ein explizites Routing zum remoten Gateway erfordert, sind Mainmode-Verbindungen mit Preshared Keys (und ohne dynamic VPN!), da bei diesen die IP-Adresse Bestandteil der Identität ist.

Dumm nur, wenn es keine Docu zu der Firmen VPN-Lösung gibt bzw. die Doku sich auf bunte Folien beschränkt.

[eddia]

Hallo DirkK,

Im Handbuch steht aber nicht drin, dass T-Online Mailserver den Login nicht per Kennung und Passwort autentifizieren, sondern auch (oder ausschliesslich) durch die Verbindung, insofern nützt der Hinweis nur sehr bedingt.

Das dem so ist, weiss eigentlich jeder, der einen T-Online email Account abfragt - soätestens dann, wenn man das mal über den Zugang eines anderen Providers versucht hat. Übrigens ist es mir schleierhaft, warum jemand mit 2 DSL-Anschlüssen auf eine T-Online emal Adresse angewiesen ist - hat das Geld für eine eigene Domain nicht mehr gereicht?

Gruß

Mario

[backslash]

Hi DirkK,

Im Handbuch steht aber nicht drin, dass T-Online Mailserver den Login nicht per Kennung und Passwort autentifizieren,

Ich frage mich, ob es LANCOMs Aufgabe ist, auf alle Besonderheiten aller Provider einzugehen. Zudem sollte es allgemein bekannt sein, daß T-Online standardmäßig über die Verbindung authentifiziert.

sondern auch (oder ausschliesslich) durch die Verbindung

T-Online erlaubt auch Anmeldung mit Username und Paßwort - nur lassen sie sich das extra bezahlen...

insofern nützt der Hinweis nur sehr bedingt. Die Lösung selbst ist dann schon fast ein "Nobrainer".

Wie gesagt: Im Handbuch sollten m.E. erstmal allgemeine Angaben stehen und nicht Besonderheiten spezieller Provider (OK - T-Online ist der größte, aber es gibt auch genügend andere...)

Dumm nur, wenn es keine Docu zu der Firmen VPN-Lösung gibt bzw. die Doku sich auf bunte Folien beschränkt.

Also ich weiß ja nicht, aber ich halte das Kapitel 10 (Virtual Private Networks – VPN) für sehr ausführlich. Das gleiche gilt auch für die Beispiele in Kapitel 10.7 (Konkrete Verbindungsbeispiele), auch wenn sie letztenlich den Charakter von Folien haben. Aber nach allem, was vorher steht, sollte das ausreichend sein.

Außerdem: Muß eigentlich wirklich jede Kleinigkeit im Handbuch stehen? Es sollte eigentlich klar sein, daß Dienste, die über ihre IP-Adresse identifiziert werden (wie IPSec im Main-Mode mit Preshared Keys) nicht funktionieren können, wenn eine andere Adresse verwendet wird. Ein bischen geistige Eigeninitiative ist doch nicht zu viel verlangt oder?

Wenn jedes Feature in allen möglichen (und unmöglichen) Konstellationen im Handbuch dargestellt würde, dann wäre das Teil wahrscheinlich 100 MB groß und jeder würde sich darüber aufregen. Ganz abgesehen davon, daß es wahrscheinlich unbezahlbar wäre...

Gruß
Backslash

[DirkK]

Das dem so ist, weiss eigentlich jeder, der einen T-Online email Account abfragt - soätestens dann, wenn man das mal über den Zugang eines anderen Providers versucht hat.

Falsch! Denn je nach Paket, das man bei T-Online hat ist das eben auch möglich.

Übrigens ist es mir schleierhaft, warum jemand mit 2 DSL-Anschlüssen auf eine T-Online emal Adresse angewiesen ist - hat das Geld für eine eigene Domain nicht mehr gereicht?

Tja und ich frage mich, warum jemand der keine Ahnung von der betreffenden Konfiguration hat, sich seinen Kopf über meine Domain zerbricht. Wenn Du sonst nichts dazu beizutragen hast ...

[DirkK]

Ich frage mich, ob es LANCOMs Aufgabe ist, auf alle Besonderheiten aller Provider einzugehen. Zudem sollte es allgemein bekannt sein, daß T-Online standardmäßig über die Verbindung authentifiziert.

T-Online erlaubt auch Anmeldung mit Username und Paßwort - nur lassen sie sich das extra bezahlen...

Wie gesagt: Im Handbuch sollten m.E. erstmal allgemeine Angaben stehen und nicht Besonderheiten spezieller Provider (OK - T-Online ist der größte, aber es gibt auch genügend andere...)

Ja was denn nu?! Sicher ist es nicht LANCOMs Aufgabe die Besonderheiten aller Provider ins Handbuch aufzunehmen, noch dazu, wenn es eben auch unterschiedliche Konfigurationen wie bei T-Online gibt. Aber ich dachte immer dazu sind Foren da. Wenn jedoch Erfahrungsberichte als Hilfe zur Fehlervermeidung hier unerünscht sind sollte das groß an der Eingangstür stehen, damit man das weiss und sich auch daran halten kann.!

Also ich weiß ja nicht, aber ich halte das Kapitel 10 (Virtual Private Networks – VPN) für sehr ausführlich. Das gleiche gilt auch für die Beispiele in Kapitel 10.7 (Konkrete Verbindungsbeispiele), auch wenn sie letztenlich den Charakter von Folien haben. Aber nach allem, was vorher steht, sollte das ausreichend sein.

Außerdem: Muß eigentlich wirklich jede Kleinigkeit im Handbuch stehen? Es sollte eigentlich klar sein, daß Dienste, die über ihre IP-Adresse identifiziert werden (wie IPSec im Main-Mode mit Preshared Keys) nicht funktionieren können, wenn eine andere Adresse verwendet wird. Ein bischen geistige Eigeninitiative ist doch nicht zu viel verlangt oder?

Was hat denn jetzt bitte das LANCOM Handbuch mit der VPN-Lösung einer Firma zu tun?! Klingeling aufwachen!!! Es gibt auch andere Hersteller von VPN-Lösungen als LANCOM. Lesen hilft hier Wunder! Ich verbinde LAN-Clients mit zwei verschiedenen VPN-Lösungen (Cisco und Nextel?) durch den Lancom hindurch auf die entsprechenden VPN-Konzentratoren in den beiden Firemen; bei Cisco funktioniert es mit Loadbalancing, bei der Nextel(?)-Lösung eben nicht (nur bei dedizierter Route), warum auch immer, habe eben wie gesagt keine technische Docu dazu sondern nur bunte Folien.

[Jirka]

Moin,

> Falsch! Denn je nach Paket, das man bei T-Online hat ist das eben auch möglich.

Wie Backslash schon schrieb ... irgendwo aber gegen "Extra"-Kosten. (Das finde ich im übrigen unverschämt und rate den Leuten die zu mir mit einer E-Mail-Adresse von T-Online "kommen" aus diesem Grund immer davon ab.)

> Tja und ich frage mich, warum jemand der keine Ahnung von der betreffenden Konfiguration hat, sich seinen Kopf über meine Domain zerbricht.

Irgendwo vertrete ich auch die Ansicht von Mario. Ok - wenn's historisch so gewachsen ist, ist eine Umstellung oft nicht mal eben so gemacht. Insofern kann ich es verstehen.

Viele Grüße,
Jirka

[backslash]

Hi DirkK

Ja was denn nu?! Sicher ist es nicht LANCOMs Aufgabe die Besonderheiten aller Provider ins Handbuch aufzunehmen, noch dazu, wenn es eben auch unterschiedliche Konfigurationen wie bei T-Online gibt. Aber ich dachte immer dazu sind Foren da. Wenn jedoch Erfahrungsberichte als Hilfe zur Fehlervermeidung hier unerünscht sind sollte das groß an der Eingangstür stehen, damit man das weiss und sich auch daran halten kann.

Es ist nichts gegen Erfahrungsberichte zu sagen. Wohl aber dagegen, zu verlangen, daß alles en detail im Handbuch stehen soll.

Mein erstes Posting sollte eigentlich nur darauf hinweisen, daß einerseits im Handbuch auf die Probleme (=> Loadbalancing und Dienste, die feste adressen benötigen) eingegangen wird und andererseits deine Beschreibung der Loadbalancing-Problematik beim VPN konkretisieren.

Es ist erst nach deinem zweiten Posting (in dem du den Vorwurf gemacht hast, daß es nicht explizit im Handbuch stehen würde) eskaliert und der Thread hat sich von deinem Erfahrungsbericht entfernt und es ging nur noch darum was ins Handbuch gehört und was nicht.

Was hat denn jetzt bitte das LANCOM Handbuch mit der VPN-Lösung einer Firma zu tun?! Klingeling aufwachen!!! Es gibt auch andere Hersteller von VPN-Lösungen als LANCOM. Lesen hilft hier Wunder!

Bitte etwas weniger Polemik. In dem Zusammenhang in den du das gestellt hast, bin ich davon ausgegangen, daß du Kopplungen mit LANCOMs meinst.

oder mit deinen Worten: <polemik> Genau formulieren hilft auch Wunder </polemik>

Ich verbinde LAN-Clients mit zwei verschiedenen VPN-Lösungen (Cisco und Nextel?) durch den Lancom hindurch auf die entsprechenden VPN-Konzentratoren in den beiden Firemen; bei Cisco funktioniert es mit Loadbalancing, bei der Nextel(?)-Lösung eben nicht (nur bei dedizierter Route), warum auch immer,

Das dürfte daran liegen, daß Cisco sich bei den ESP-Paketen nur am SPI orientiert, während Nextel auch die Absenderadresse mit berücksichtigt (ich kann jetzt aber nicht sagen, welches Verhalten davon RFC-Konform ist und welches nicht).

habe eben wie gesagt keine technische Docu dazu sondern nur bunte Folien

Woher auch immer die Folien sind und was auch immer darauf steht. Es ist aber kein Grund in der Form über das Handbuch herzuziehen.

Gruß
Backslash

[eddia]

Hallo DirkK,

Tja und ich frage mich, warum jemand der keine Ahnung von der betreffenden Konfiguration hat, sich seinen Kopf über meine Domain zerbricht.

Ich weiß nur, dass Du zwei verschiedene DSL-Zugänge hast - einen per T-Online und einen weiteren offenbar über einen anderen Provider. Und ich weiß jetzt auch, dass Du vollkommen ahnungslos an diese Konfiguration herangegangen bist...

Wenn Du sonst nichts dazu beizutragen hast ...

Du meinst, Du hättest Anspruch auf eine untertänigste Behandlung Deines Beitrages? Dann hast Du etwas falsch verstanden.

Gruß

Mario

[DirkK]

Es ist erst nach deinem zweiten Posting (in dem du den Vorwurf gemacht hast, daß es nicht explizit im Handbuch stehen würde) eskaliert und der Thread hat sich von deinem Erfahrungsbericht entfernt und es ging nur noch darum was ins Handbuch gehört und was nicht.

Woher auch immer die Folien sind und was auch immer darauf steht. Es ist aber kein Grund in der Form über das Handbuch herzuziehen.

Ich weiss nicht, was Du immer mit dem (Lancom) Handbuch hast. (Schreibst Du daran?) Ich habe mich nie darüber beschwert!!! Hör endlich auf mir das immer wieder vorzuhalten!

Die bunten Folien übrigends sind von einem Dritten, der den Nextel-VPN in seine eigene VPN-Lösung einbindet.

[DirkK]

Ich weiß nur, dass Du zwei verschiedene DSL-Zugänge hast - einen per T-Online und einen weiteren offenbar über einen anderen Provider.

Ich sag's ja! Du hast keine Ahnung von der Konfig! Aber auch null!

Und ich weiß jetzt auch, dass Du vollkommen ahnungslos an diese Konfiguration herangegangen bist...

Na Hauptsache Du hast die Weisheit mit Löffeln gegessen.

Du meinst, Du hättest Anspruch auf eine untertänigste Behandlung Deines Beitrages? Dann hast Du etwas falsch verstanden.

Ach!! Erst gross den Harry raushängen lassen und unsachliche Sprüche rauslassen:

Übrigens ist es mir schleierhaft, warum jemand mit 2 DSL-Anschlüssen auf eine T-Online emal Adresse angewiesen ist - hat das Geld für eine eigene Domain nicht mehr gereicht?

Und dann sich mockieren, wenn es contra gibt!

[Gaaaz]

Hi zusammen!

Etwas Cotenance bitte

So wie man in den Wald hineinruft, schallt es heraus. Im Allgemeinen hat man meistens mehr Erfolg,
wenn die Diskussion sachlich bleibt. Meine persönliche Erfahrung zeigt mir außerdem, dass es
extrem hilfreich ist höflich zu bleiben, wenn man von anderen Hilfe möchte. (auch im "anomymen" Internet!)
-Die erhält man dann i.d.R. auch schneller und fundierter

Grüße

Gaaaz

[eddia]

Hallo DirkK,

Ich sag's ja! Du hast keine Ahnung von der Konfig! Aber auch null!

ich ahne schlimmes: Du hast zwei T-Online Zugänge - also doppelte Schmerzen.

Übrigens, Smilies lesen und verstehen musst Du noch ein wenig üben...

Gruß

Mario