Hallo allerseits,
ich habe da mal eine Frage zum Loadbalancer.
Unser Provider unterstützt keine Kanalbündelung und ich denke nun darüber nach eine zweite Leitung zu ordern und dann den Loadbalancer vom Lancom zu aktivieren. Hinter dem LANCOM steht ein Proxy an dem sich die Anwender anmelden müssen.
Jetzt kam die Frage auf ob der Loadbalancer in der Lage ist die Verbindungen sauber auseinander zu halten. Nicht das die HTTPS Anmeldung eines Users an einen Server auf Leitung 1 läuft, die Folgeseite aber versucht wird auf Leitung 2 zu laden, was dann ja wohl nicht funktionieren würde. Zumindest wuseln viele Shopsysteme ja mit der IP des Käufers rum.
Klappt das, oder soll ich mir lieber einen Provider suchen der mehr Dampf auf die Leitung bekommt ?
Grüße
Dirk
Loadbalancer und Anmeldungen an Webseiten
Moderator: Lancom-Systems Moderatoren
Da ich keine Infos zu dem Thema finden konnte habe ich das jetzt einfach mal probiert und bisher sieht das gut aus.
Kann man den Zeitfaktor für die Session eventuell irgendwo nach oben setzen ? Bisher gab es zwar keine Probleme, allerdings lief dieser Sessionzähler schon zurück auf null und kurze Zeit später war der User wieder per HTTPS aktiv, zufällig (?) auf der richtigen Leitung.
Grüße
Dirk
Kann man den Zeitfaktor für die Session eventuell irgendwo nach oben setzen ? Bisher gab es zwar keine Probleme, allerdings lief dieser Sessionzähler schon zurück auf null und kurze Zeit später war der User wieder per HTTPS aktiv, zufällig (?) auf der richtigen Leitung.
Grüße
Dirk
Hi reuter
bei HTTPS ist es egal, von welcher Leitung der Zugriff erfolgt, da bei HTTPS i.A. nur der Server anhand seines Zertifikats geprüft wird. Das LANCOM verteilt HTTPS-Sessions - wie alle anderen Sessions auch - anhand der gerade vorliegenden Lastsituation (letztendlich also "zufällig")
Das Ganze wird nur problematisch, wenn eine Webseite den User anhand seiner IP-Adresse "authentifizieren" will, dann mußt du den Zugriff auf den Server über eine Firewallregel fest auf eine der Verbindungen klemmen - glücklicherweise machen so einen Schwachsinn nur ein paar Onlinebanking Server (und das völlig unnötigerweise, da es kein bischen mehr an Sicherheit bringt...). Normalerweise werden User nach der Anmeldung über Cookies oder in der URL codierte Session-IDs wiedererkannt, wodurch die IP-Adresse völlig egal wird.
Gruß
Backslash
bei HTTPS ist es egal, von welcher Leitung der Zugriff erfolgt, da bei HTTPS i.A. nur der Server anhand seines Zertifikats geprüft wird. Das LANCOM verteilt HTTPS-Sessions - wie alle anderen Sessions auch - anhand der gerade vorliegenden Lastsituation (letztendlich also "zufällig")
Das Ganze wird nur problematisch, wenn eine Webseite den User anhand seiner IP-Adresse "authentifizieren" will, dann mußt du den Zugriff auf den Server über eine Firewallregel fest auf eine der Verbindungen klemmen - glücklicherweise machen so einen Schwachsinn nur ein paar Onlinebanking Server (und das völlig unnötigerweise, da es kein bischen mehr an Sicherheit bringt...). Normalerweise werden User nach der Anmeldung über Cookies oder in der URL codierte Session-IDs wiedererkannt, wodurch die IP-Adresse völlig egal wird.
Gruß
Backslash
Hallo Backslash,
funktioniert auch soweit prächtig, allerdings habe ich zwei Probleme die ich nicht so wirklich in den Griff bekomme.
Das erstere sind Pakete, die von meiner Deny-All Regel erwischt werden, obwohl die Augenscheinlich zu einer HTTP oder DNS Verbindung gehören (Rückpaket an den Proxy). Maskierung verwende ich nicht, da ich ein 8 Adressen Subnetz in der DMZ habe und meine zweite Leitung über ein VPN aufschlägt das ein zweites Subnetz am Tunnelende N:N zum ersten Subnetz maskiert, mit VRRP Adresse als DMZ-Gateway. Verbindungswiederherstellung der Firewall habe ich bereits in allen Einstellungen versucht, leider ohne Erfolg.
Aus dem zweiten Problem werde ich überhaupt nicht schlau. Alles scheint perfekt zu funktionieren, doch nach einer gewissen Zeit bekomme ich plötzlich Webseiten nicht mehr auf.... dann aber definitiv garnicht mehr, so als wenn die "weggeblendet" würden. Boote ich das 7111 funktioniert es wieder eine Weile, dann fängt der Spass von neuem an. Seiten mit vielen Objekten, wie etwa Yahoo.de, AOL.de oder auch sowas wie Alternate.de scheinen bevorzugt davon betroffen zu sein.
Keine Idee mehr hat
Dirk
funktioniert auch soweit prächtig, allerdings habe ich zwei Probleme die ich nicht so wirklich in den Griff bekomme.
Das erstere sind Pakete, die von meiner Deny-All Regel erwischt werden, obwohl die Augenscheinlich zu einer HTTP oder DNS Verbindung gehören (Rückpaket an den Proxy). Maskierung verwende ich nicht, da ich ein 8 Adressen Subnetz in der DMZ habe und meine zweite Leitung über ein VPN aufschlägt das ein zweites Subnetz am Tunnelende N:N zum ersten Subnetz maskiert, mit VRRP Adresse als DMZ-Gateway. Verbindungswiederherstellung der Firewall habe ich bereits in allen Einstellungen versucht, leider ohne Erfolg.
Aus dem zweiten Problem werde ich überhaupt nicht schlau. Alles scheint perfekt zu funktionieren, doch nach einer gewissen Zeit bekomme ich plötzlich Webseiten nicht mehr auf.... dann aber definitiv garnicht mehr, so als wenn die "weggeblendet" würden. Boote ich das 7111 funktioniert es wieder eine Weile, dann fängt der Spass von neuem an. Seiten mit vielen Objekten, wie etwa Yahoo.de, AOL.de oder auch sowas wie Alternate.de scheinen bevorzugt davon betroffen zu sein.
Keine Idee mehr hat
Dirk
Loadbalancing
Hallo, ich möchte mich da mal mit einhängen.
Das problem haben wir auch, wir versuchen das seit längerem zu lösen, mit unserem 8011er. Leider hat der Support von Lancom noch nicht mal gewusst, dass es diese Probleme geben könnte, somit gehen wir davon aus, dass man dort keine große hilfe bekommt.
Dennoch haben wir versucht das ganze zu lösen über diesen Weg, unter TCPIP, DNS, Weiterleitungen, dort den Hostnamen eingetragen, sowie den Tag vom Loadbalancer zugewiesen.
Gruß
renie
Das problem haben wir auch, wir versuchen das seit längerem zu lösen, mit unserem 8011er. Leider hat der Support von Lancom noch nicht mal gewusst, dass es diese Probleme geben könnte, somit gehen wir davon aus, dass man dort keine große hilfe bekommt.
Dennoch haben wir versucht das ganze zu lösen über diesen Weg, unter TCPIP, DNS, Weiterleitungen, dort den Hostnamen eingetragen, sowie den Tag vom Loadbalancer zugewiesen.
Gruß
renie
Ein Problem ist da um es zu lösen, nicht um es zu lassen wie es ist.
Hi renie
Gruß
Backslash
welches Problem? Das mit der Firewall oder das mit dem plötzlichen "Ausfall" des Internets? Zumindest letzteres sollte die 7.20 beheben...Das problem haben wir auch, wir versuchen das seit längerem zu lösen, mit unserem 8011er. Leider hat der Support von Lancom noch nicht mal gewusst, dass es diese Probleme geben könnte, somit gehen wir davon aus, dass man dort keine große hilfe bekommt.
was meinst du damit? Irgendwie verstehe ich diesen Satz absolut nicht...Dennoch haben wir versucht das ganze zu lösen über diesen Weg, unter TCPIP, DNS, Weiterleitungen, dort den Hostnamen eingetragen, sowie den Tag vom Loadbalancer zugewiesen.
Gruß
Backslash