Load balancing bei O-GRE Tunnel oder Backup?
Moderator: Lancom-Systems Moderatoren
Load balancing bei O-GRE Tunnel oder Backup?
Unser Laden ist mit einem mit zweitem Standort über EoGRE verbunden und bekommt an einem Ende Glasfaser und ich überlege Kabelinternet zu behalten. Als Backup oder load balanced. Ich frage mich ob load balancing bei einem Tunnel überhaupt Sinn macht weil doch sowieso nur eine Verbindung den Tunnel Aufbauen wird? Kann man den Tunnel so routen, dass er sich nur auf der synchronen Glasfaserverbindung aufbaut und nur beim Ausfall von Glasfaser auf das Kabelinternet geht? Tunnel als backup aber sonstige Kommuninkation load balanced? Als Backup wäre das Kabelinternet zu schade.
Re: Load balancing bei O-GRE Tunnel oder Backup?
Hi roads
allein die Anbindung einer Außenstelle über EoGRE ist schon fragwürdig... Wo immer es möglich ist, sollte geroutet werden. Für EoGRE gibt es eigentlich keine Daseinsberechtigung (das gleiche gilt auch für L2TPv3-Bridges).
Wenn du Loadbalancen willst, dann kannst du es über VPN-Tunnel machen, die du zu einem Loadbalancer zusammenfaßt (natürlich auf beiden Seiten).
Wenn du aber wirklich eine Bridge brauchst, dann kannst du leider keinen Loadbalancer verwenden... (solltest dir aber trotzdem massive Gedanken zu deinem Netz machen)
Gruß
Backslash
allein die Anbindung einer Außenstelle über EoGRE ist schon fragwürdig... Wo immer es möglich ist, sollte geroutet werden. Für EoGRE gibt es eigentlich keine Daseinsberechtigung (das gleiche gilt auch für L2TPv3-Bridges).
Wenn du Loadbalancen willst, dann kannst du es über VPN-Tunnel machen, die du zu einem Loadbalancer zusammenfaßt (natürlich auf beiden Seiten).
Wenn du aber wirklich eine Bridge brauchst, dann kannst du leider keinen Loadbalancer verwenden... (solltest dir aber trotzdem massive Gedanken zu deinem Netz machen)
Gruß
Backslash
Re: Load balancing bei O-GRE Tunnel oder Backup?
Danke für deine Antwort Backslash. Warum soll ich mir Gedanken machen, Ist denn EoGRE unsicher? Welche Bedenken hast du? Der Tunnel funktioniert seit Jahren einwandfrei. Der gemeinsame Adressbereich hat viele Vorteile. Hast du etwas zum nachlesen darüber? Muss mir wohl oder übel ansonsten den Expert Workshop kaufen da wird der EoGRE behandelt, hoffentlich auch seine Nachteile. Ist nur sehr teuer leider das Lancom Knowhow vor allem wenn man sich nicht zertifizieren lassen will.
Edith: OK habe diesen Artikel in der Knowledgebase gefunden und ohne eine IKEV2 Verbindung der beiden Router kann ich doch gar kein EoGRE aufbauen? Damit is der Tunnel doch sicher?
https://support.lancom-systems.com/know ... =120062816
Neben der Daseinsberechtigungsfrage von EoGRE theoretisch noch die load balancing Frage. Ich könnte doch das Loadbalancing für den IKEV2/EoGRE Verbindung aus dem Balancing herausnehmen und trotzdem load balancen? Ich dachte das wäre möglich weil ich ja zum Beipiel Banking sites auch nicht mit loadbalancing ansteuern kann wegen den HTTPS requests?
Edith2:
Der Tunnel ist über IKEv2 verschlüsselt. Darin läuft wohl der GRE Tunnel. Trotzdem unsicher?
Edith: OK habe diesen Artikel in der Knowledgebase gefunden und ohne eine IKEV2 Verbindung der beiden Router kann ich doch gar kein EoGRE aufbauen? Damit is der Tunnel doch sicher?
https://support.lancom-systems.com/know ... =120062816
Neben der Daseinsberechtigungsfrage von EoGRE theoretisch noch die load balancing Frage. Ich könnte doch das Loadbalancing für den IKEV2/EoGRE Verbindung aus dem Balancing herausnehmen und trotzdem load balancen? Ich dachte das wäre möglich weil ich ja zum Beipiel Banking sites auch nicht mit loadbalancing ansteuern kann wegen den HTTPS requests?
Edith2:
Der Tunnel ist über IKEv2 verschlüsselt. Darin läuft wohl der GRE Tunnel. Trotzdem unsicher?
Zuletzt geändert von roads am 04 Sep 2023, 17:13, insgesamt 1-mal geändert.
Re: Load balancing bei O-GRE Tunnel oder Backup?
Hi roads
Darum geht es aber nicht. Es geht darum, daß du über die Bridge quasi ein flaches Netz aufzieht, statt örtlich getrennte Bereiche auch sauber durch getrennte IP-Netze voneinander zu trennen.
Gruß
Backslash
natürlich ist EoGRE ohne einen VPN-Tunnel unsicher...Warum soll ich mir Gedanken machen, Ist denn EoGRE unsicher? Welche Bedenken hast du?
Darum geht es aber nicht. Es geht darum, daß du über die Bridge quasi ein flaches Netz aufzieht, statt örtlich getrennte Bereiche auch sauber durch getrennte IP-Netze voneinander zu trennen.
naja, nicht wirklich... eigentlich überwiegen die Nachteile...Der gemeinsame Adressbereich hat viele Vorteile.
- keine Trennung von Broadcast-Domains (endet in unnötigem Traffic zwischen den Standorten)
- keine Möglichkkeit Traffic zwischen den Standorten über die Firewall zu filtern
- keine Möglichkeit separierte Netze auch Standortübergreifend aufzuziehen (Stichwort: ARF und HSVPN)
- keine Möglichket Multicasts zu steuern (Stichwort IGMP-Proxy/PIM)
- etc. pp
Ich weiss nicht, was in dem Workschop behandelt wird - hier geht es um den grundsätzlichen Unterschied zwischen einem flachen gebridgten Netz und einem Netz in dem zwischen den Standorten geroutet wird.Muss mir wohl oder übel ansonsten den Expert Workshop kaufen da wird der EoGRE behandelt, hoffentlich auch seine Nachteile
Gruß
Backslash
Re: Load balancing bei O-GRE Tunnel oder Backup?
Ich habe es oben angehängt um keine Multiposts zu machen. Die Verbindung ist per IKEv2 VPN abgesichert. Die Adressbereiche trenne ich über zwei DHCP und lasse keine DHCP Anfragen auf die andere Seite. Das musste ich auch lösen weil es mit einem DHCP server nicht funktioniert wenn mal die Gegenstelle offline ist und mit zwei DHCP Servern ohne flags tatsächlich Anfragen von der Gegenseite angenommen werden, auch vom WLAN Controller.
Über DHCP-Snooping setze ich einen flag an jeden Broadcast den es an einem Standort gibt und einen anderen flag an der Gegenseite (circuit-ID) Der Tunnel verwirft Anfragen der Gegenseite mit dem flag der Gegenseite. Broadcast ist vollständig getrennt jeder DHCP kömmert sich um seine Seite. Aber Anfragen gehen durch den Tunnel als unnötiger Traffic das stimmt schon. Hmm da kommt mir der Gedanke, dass der Tunnel auch lokale Circuit-IDs ablehnen könnte jeweils auf der Seite, dann geht nicht mal was raus. Das probiere ich mal.
Zum loadbalancing kann ich nicht die Router zu Router VPN Verbindung in dem der Tunnel läuft auf eine Internet Verbindung festsetzen und den Rest loadbalancen?
Über DHCP-Snooping setze ich einen flag an jeden Broadcast den es an einem Standort gibt und einen anderen flag an der Gegenseite (circuit-ID) Der Tunnel verwirft Anfragen der Gegenseite mit dem flag der Gegenseite. Broadcast ist vollständig getrennt jeder DHCP kömmert sich um seine Seite. Aber Anfragen gehen durch den Tunnel als unnötiger Traffic das stimmt schon. Hmm da kommt mir der Gedanke, dass der Tunnel auch lokale Circuit-IDs ablehnen könnte jeweils auf der Seite, dann geht nicht mal was raus. Das probiere ich mal.
Zum loadbalancing kann ich nicht die Router zu Router VPN Verbindung in dem der Tunnel läuft auf eine Internet Verbindung festsetzen und den Rest loadbalancen?
Zuletzt geändert von roads am 04 Sep 2023, 18:08, insgesamt 1-mal geändert.
Re: Load balancing bei O-GRE Tunnel oder Backup?
Hi roads
Wenn du aber geroutetet Netze hättest, dann könntest du zwischen den Stadorten zwei VPN-Tunnel aufziehen (je einen pro Internetleitung) und diese auch in einen eigenen Loadbalancer packen, so daß du auch den Traffic zwischen den Standorten verbessern könntest...
Geroutete Netze habe am Ende mehr Vorteile als gebridgte... Aber wenn du partout bei der Bridge bleiben willst - keiner hält dich davon ab...
Gruß
Backslash
Mein Gott wie kompliziert.... Wenn du ohne Bridge arbeitest, dann sind beide Standorte erstmal unabhägig vonienander und du kannst die den ganzen Unsinn sparen (irgendwelche Flags, die Traffic blockieren etc.). Das wird alles automatisch über die getrennten Netze erledigt...Die Adressbereiche trenne ich über zwei DHCP und lasse keine DHCP Anfragen auf die andere Seite. Das musste ich auch lösen weil es mit einem DHCP server nicht funktioniert wenn mal die Gegenstelle offline ist und mit zwei DHCP Servern ohne flags tatsächlich Anfragen von der genseite angenommen werden auch vom WLAN Controller.
Über DHCP-Snooping setze ich einen flag an jeden Broadcast den es an einem Standort gibt und einen anderen flag an der Gegenseite (circuit-ID) Der Tunnel verwirft Anfragen der Gegenseite mit dem flag der Gegenseite. Broadcast ist vollständig getrennt jeder DHCP kömmert sich um seine Seite. Aber Anfragen gehen durch den Tunnel als unnötiger Traffic das stimmt schon.
ich weiss zwar nicht genau, was du damit sagen willst, aber ich vermute mal, daß du den Internet-Traffic loadbalancen willst und den VPN-Tunnel fest auf eine Leitung des Loadbalancers klemmen willst. Klar kannst du das machen...Zum loadbalancing kann ich nicht die Router zu Router VPN Verbindung in dem der Tunnel läuft auf eine Internet Verbindung festsetzen und den Rest loadbalancen?
Wenn du aber geroutetet Netze hättest, dann könntest du zwischen den Stadorten zwei VPN-Tunnel aufziehen (je einen pro Internetleitung) und diese auch in einen eigenen Loadbalancer packen, so daß du auch den Traffic zwischen den Standorten verbessern könntest...
Geroutete Netze habe am Ende mehr Vorteile als gebridgte... Aber wenn du partout bei der Bridge bleiben willst - keiner hält dich davon ab...
Gruß
Backslash
Re: Load balancing bei O-GRE Tunnel oder Backup?
Danke backslash, das hilft mir schon sehr weiter. Ein Anwendungsbeispiel wäre Securityspy. Ich brauche wegen des Tunnels keine weitere Hauptlizenz und keinen weiteren Server für eine Kamera weil es der selbe Adressbereich ist. Die Traffic Verbesserung mit 2 VPN ist ein Argument und würde 50 Mbit im Upload bringen, der Download ist bereits ausgeschöpft. Muss mir überlegen ob das den Umbau wert ist.
Lieben Dank nochmals.
Lieben Dank nochmals.