Hallo Gemeinde,
ich hab hier einen 1781A mit 8.84. Daran sind 3 WANs angeschlossen. DMZ kann ich hier nicht nutzen.
Der dritte WAN macht nen Site2Site-Tunnel und damit bin ich glücklich.
Der erste WAN geht übers interne Modem und hat eine feste IP. Der zweite WAN läuft mit ext. Modem und dyn IP.
Die beiden sollen eigentlich per Loadbalance parallel genutzt werden, was auch grundsätzlich gut funktioniert.
Leider klappt es so aber nicht mit NAT. Es gibt immer nur Timeouts (obwohl doch wenigstens ne 50:50-Chance bestehen müsste). Wieso schickt der Lancom die Antwortpakete nicht zu dem WAN-Port, über den sie angefordert wurden (was immer WAN1 ist)?
Wie also konfiguriere ich die Kiste so, dass NAT-Antworten nicht zwingend über RoutingTag 0 geschickt werden?
Mein Workaround hat jetzt die Tag0-Route auf dem ersten WAN-Port mit Fix-IP. Der Loadbalancer hat Tag1 und kommt per Filterregel zum Zug. Mit Distanz 1 auf der Tag0-Route scheint der Loadbalancer immerhin WAN2 zu bevorzugen.
Ich hätte aber trotzdem gern das Loadbalance als Default, damit das ohne Aufwand universell greift.
Danke für Tipps
Loadbalance und NAT
Moderator: Lancom-Systems Moderatoren
-
Koppelfeld
- Beiträge: 967
- Registriert: 20 Nov 2013, 09:17
Re: Loadbalance und NAT
Du könntest die 'reinkommenden Pakete passend markieren und dann in der Routing-Tabelle den Load Balancer übersteuern.D-Elektronik hat geschrieben: Wie also konfiguriere ich die Kiste so, dass NAT-Antworten nicht zwingend über RoutingTag 0 geschickt werden?
Was mich jetzt allerdings wundert:
Wir verwenden häufig den 'Load Balancer' und stellen zusätzlich, per Port-Forwarding, Wartungszugänge her. Der Router sorgt brav und automatisch dafür, daß der Rückweg über das gleiche Interface erfolgt, auf dem die Anfrage eingegangen ist.
Gute Frage, eigentlich dürfte das gar nicht funktionieren.
-
D-Elektronik
- Beiträge: 7
- Registriert: 06 Jun 2015, 23:47
Re: Loadbalance und NAT
Moin Koppelfeld,
Schon mal gut zu wissen, dass der Router bei dir macht, wie man es erwartet.
Hier könnte irgendeine Regel/Option unter der Haube nicht passen. Ich hatte zwar alle eigenen Regeln weggeknippst, aber möglw. gibts da noch Altlasten. Die Konfig wurde mal von nem 1711 hochgezogen. Ich hoffe, da holt mich nicht irgendwann noch mehr Elend ein. Erstmal tuts ja (fast) wie es soll.
Markieren hatte ich schon versucht; quasi den Job nachholen, den der Router irgendwie verschlampt - das hatte aber nicht funktioniert, sprich hatte gar keinen Effekt. Ich hab allerdings mit Quell-Tag noch nie was gemacht und auch nirgends was zur Verwendung gefunden. Schnittstellen-Tags kann ich nur für interne Ports vergeben und mit Quell-Tag = Routing-Tag greift da nichts.
Wie sollte ich "reinkommenden Pakete passend markieren und dann in der Routing-Tabelle den Load Balancer übersteuern" ?
Gruß
Schon mal gut zu wissen, dass der Router bei dir macht, wie man es erwartet.
Hier könnte irgendeine Regel/Option unter der Haube nicht passen. Ich hatte zwar alle eigenen Regeln weggeknippst, aber möglw. gibts da noch Altlasten. Die Konfig wurde mal von nem 1711 hochgezogen. Ich hoffe, da holt mich nicht irgendwann noch mehr Elend ein. Erstmal tuts ja (fast) wie es soll.
Markieren hatte ich schon versucht; quasi den Job nachholen, den der Router irgendwie verschlampt - das hatte aber nicht funktioniert, sprich hatte gar keinen Effekt. Ich hab allerdings mit Quell-Tag noch nie was gemacht und auch nirgends was zur Verwendung gefunden. Schnittstellen-Tags kann ich nur für interne Ports vergeben und mit Quell-Tag = Routing-Tag greift da nichts.
Wie sollte ich "reinkommenden Pakete passend markieren und dann in der Routing-Tabelle den Load Balancer übersteuern" ?
Gruß
-
Dr.Einstein
- Beiträge: 2924
- Registriert: 12 Jan 2010, 14:10
Re: Loadbalance und NAT
Normalerweise ist ein Loadbalancer problemlos nutzbar. Einfach Default Route (Tag0) -> Loadbalancing, Tag 1 DSL1, Tag 2 DSL2, usw. Wichtig : Kein Netzwerk darf als Schnittstellentag ein Tag haben, dass bereits als Routing Tag verwendet wird. Genauso solltest du Firewallregeln im ersten Schritt deaktivieren um zu sehen, ob das Loadbalancing sauber funktioniert. Erst danach mit separaten Regeln Traffic rausnehmen.
Gruß Dr.Einstein
Gruß Dr.Einstein
-
D-Elektronik
- Beiträge: 7
- Registriert: 06 Jun 2015, 23:47
Re: Loadbalance und NAT
Hallo Dr. Einstein,
du beschreibst, wie es klassischerweise funktionieren sollte. Genau so war es auch eingerichtet - bis ich externe Verbindungen reinlassen musste. Dabei musste ich feststellen, dass der IP-Router lt Trace brav weiterreicht, aber eben nichts zurückkommt. Die Antwortpakete bleiben irgendwo auf der Strecke. Da der Loadbalancer die Leitungen eigentlich schön gleichmäßig abwechselt, hätte ich ja wenigstens eine 50%-Chance haben müssen, aber der interne Webserver bleibt unerreichbar (Timeout).
Routing-Tags kriegen bei mir 1,2,3.. und interne Netze zähle ich runter 99,98. So kommen die sich nicht in die Quere. Firewall/QOS waren zum Testen alle deaktiviert. Router-Neustart wurd auch gemacht.
Sobald die Default-Route zum ersten WAN-Port führt, klappt das NATen problemlos. Der Loadbalancer mit Tag2 kommt jetzt einfach per Policy-based Routing zum Zug.
Ich hatte gehofft, hier kennt noch jemand irgendeine Einstellung, die das Verhalten beeinflusset.
Und mir ist aufgefallen, das ich mit dem Quell-Tag nix anfangen kann und nichts dazu finde. Hierfür hätte ich ja gern mal eine Beispielkonfig.
Gruß eN_Te
du beschreibst, wie es klassischerweise funktionieren sollte. Genau so war es auch eingerichtet - bis ich externe Verbindungen reinlassen musste. Dabei musste ich feststellen, dass der IP-Router lt Trace brav weiterreicht, aber eben nichts zurückkommt. Die Antwortpakete bleiben irgendwo auf der Strecke. Da der Loadbalancer die Leitungen eigentlich schön gleichmäßig abwechselt, hätte ich ja wenigstens eine 50%-Chance haben müssen, aber der interne Webserver bleibt unerreichbar (Timeout).
Routing-Tags kriegen bei mir 1,2,3.. und interne Netze zähle ich runter 99,98. So kommen die sich nicht in die Quere. Firewall/QOS waren zum Testen alle deaktiviert. Router-Neustart wurd auch gemacht.
Sobald die Default-Route zum ersten WAN-Port führt, klappt das NATen problemlos. Der Loadbalancer mit Tag2 kommt jetzt einfach per Policy-based Routing zum Zug.
Ich hatte gehofft, hier kennt noch jemand irgendeine Einstellung, die das Verhalten beeinflusset.
Und mir ist aufgefallen, das ich mit dem Quell-Tag nix anfangen kann und nichts dazu finde. Hierfür hätte ich ja gern mal eine Beispielkonfig.
Gruß eN_Te
-
Dr.Einstein
- Beiträge: 2924
- Registriert: 12 Jan 2010, 14:10
Re: Loadbalance und NAT
Hallo D-Elektronik,
wie du richtig sagst, wenn du via Portweiterleitung über WAN1 oder WAN2 reinkommst, klappt der Rückweg auch problemlos automatisch. Nur wenn durch Firewallregeln dann ankommende Paket vom Tag her manipuliert wird, kommt es zu Problemen.
Hast du mal einen IP-Routing Trace Auszug vom ankommenden Portweiterleitungspaket inkl der evtl vorhandenen Antwort vom Server?
Quell-Tags etc brauchst du nicht.
Gruß Dr.Einstein
wie du richtig sagst, wenn du via Portweiterleitung über WAN1 oder WAN2 reinkommst, klappt der Rückweg auch problemlos automatisch. Nur wenn durch Firewallregeln dann ankommende Paket vom Tag her manipuliert wird, kommt es zu Problemen.
Hast du mal einen IP-Routing Trace Auszug vom ankommenden Portweiterleitungspaket inkl der evtl vorhandenen Antwort vom Server?
Quell-Tags etc brauchst du nicht.
Gruß Dr.Einstein
Re: Loadbalance und NAT
Hi D-Elektronik,
Gruß
Backslash
Vom WAN einkommende Sessions haben zunächst das Tag 0 haben und können deshalb ein LAN mit Tag 1,2 oder 3 nicht sehen. Du mußt entweder die einkommenden Sessions über die Firewall umtaggen oder der WAN-Gegenstelle über die WAN-Tag-Tabelle (Kommunikation -> Gegenstellen -> WAN-Tag-Tabelle) das passende Tag zuweisen. Der Rückweg erfolgt automatisch über die Gegenstelle von der die Session initiiert wudre.Routing-Tags kriegen bei mir 1,2,3.. und interne Netze zähle ich runter 99,98.
Gruß
Backslash