Öffentliche DNS-Konfiguration bei mehreren Internetverbindungen

Mitglied: ipzipzap

ipzipzap (Level 1) - Jetzt verbinden

27.04.2016, aktualisiert 14:30 Uhr, 1381 Aufrufe, 3 Kommentare

Guten Morgen.

Gegeben sei folgendes System:

Eine 16MBit T-DSL-Business Leitung mit statischer IP und einer Sophos UTM als Gateway. Es gibt eine Subdomain gw1.domain.de, die auf die statische IP per A-Record zeigt.
Intern gibt es u.a. einen Exchange-Server und noch ein paar andere Dienste. Um diese zu erreichen, gibt es verschiedene DNS-Namen, die per CNAME auf gw1.domain.de zeigen, wie z.b.

autodiscover.domain.de
mail.
imap.
remote.
webmail.
vpn.

etc...

Nun kommt eine zweite, schnellere 150Mbit-Internetleitung von Unitymedia Business hinzu, auch mit statischer IP. Der Uplink ist an einem eigenen Interface der Sophos angeschlossen, und über Multipath-Regeln kann man schön den ausgehenden Traffic steuern und bei einem Ausfall der Unitymedia-Leitung die DSL-Leitung als Failover nutzen.

Worüber ich mir nun den Kopf zerbreche, wäre die korrekte DNS-Konfiguration für den EINgehenden Traffic.

Wenn beide Leitungen gleich schnell wären, würde ich gw1.domain.tld einfach zwei A-Records geben mit beiden IPs. Es soll aber eingehend immer Unitymedia genutzt werden, weil die halt schneller ist, es sei denn, die fällt mal aus.

Daher erstelle ich für die statische IP von Unitymedia den Hostnamen gw2.domain.de, und stelle die obigen DNS-Einträge darauf um.

Logisch gesehen finde ich das aber jetzt falsch, weil nun mit gw1. und gw2. beide Hostnamen auf dasselbe Gateway bzw. denselben Host zeigen, der ja nur einen Hostnamen haben darf/kann/sollte, oder?

Könnte ich DNS-Einträge für die Leitungen anlegen (uplink1. & uplink2.domain.de) und dann gw1.domain.de per CNAME zur jeweils aktiven umleiten?

Oder wie richtet man sowas normalerweise sauber ein?

Danke im Voraus,
ipzipzap


EDIT:


Zusätzlich mache ich mir gerade noch Gedanken über SSL-Zertifikate. Wenn die UM-Leitung down ist und ich die DSL-Leitung benutze, würde sich ja der Hostname ändern, und die Zertifikate würden ungültig werden.

Daher habe ich mir gerade folgendes überlegt:

Ich lege einen Hostnamen gateway.domain.de an als CNAME mit Verweis auf gw2.domain.de (Unitymedia). Wenn die jetzt down ist, ändere ich beim Hoster den CNAME auf gw1.domain.de (T-DSL). Dann bleibt die eigentlich aufgerufene Domain mit gateway.domain.de immer gleich, und ich bekomme keine SSL-Fehler.

Oder mache ich gerade einen Denkfehler?
Mitglied: Dani
27.04.2016 um 20:22 Uhr
Moin,
Ich lege einen Hostnamen gateway.domain.de an als CNAME mit Verweis auf gw2.domain.de (Unitymedia). Wenn die jetzt down ist, ändere ich beim Hoster den CNAME auf gw1.domain.de (T-DSL). Dann bleibt die eigentlich aufgerufene Domain mit gateway.domain.de immer gleich, und ich bekomme keine SSL-Fehler
Wird so funktionieren.

Damit dein Pla aber auf geht, ist es notwendig dass der CNAME-Eintrag einen sehr kleinen TTL-Wert hat. Sonst geht der Schuss nach hinten los. Denn viele Clients bzw. deren ISP werden den Eintrag cachen... und erst nach Ablauf des TTL wieder den Wert abfragen.

Oder wie richtet man sowas normalerweise sauber ein?
Das wird jeder anders definieren. Wenn die veröffentlichen Dienste so wichtig sind, hätte ich auf SDSL oder EthernConnect gesetzt mit entsprechender Entstörzeit.


Gruß,
Dani
Bitte warten ..
Mitglied: ipzipzap
29.04.2016, aktualisiert um 10:14 Uhr
Hm, ok. Danke. SO wichtig sind die Dienste jetzt nicht, was aber nicht heißt, das man das nicht trotzdem vernünftig einrichten kann.

Ich hatte jetzt gedacht, das es da ein Best-Practise zu gibt o.ä. Halt wie man sowas normalerweise richtig macht, wenn das Gateway mehrere Uplinks hat.

Die TTL bei unserem Provider ist 60 Minuten, das ist erstmal ok. Dann werde ich das wohl mit dem CNAME machen und gebe den Uplinks eigene DNS-Namen, obwohl da kein Host mit diesen Namen dranhängt. Ich hoffe mal, das funktioniert ohne Probleme.

Gruß,
ipzipzap
Bitte warten ..
Mitglied: sk
29.04.2016, aktualisiert um 15:24 Uhr
Zitat von @ipzipzap:

Ich hatte jetzt gedacht, das es da ein Best-Practise zu gibt o.ä. Halt wie man sowas normalerweise richtig macht, wenn das Gateway mehrere Uplinks hat.

Normalerweise wird das so angebunden, dass die verwendeten öffentlichen IPs bzw. das IP-Netz über beide Links erreichbar ist - entweder beim gleichen Provider über eine VRRP-Konfiguration oder (besser) per BGP mit mind. zwei verschiedenen Providern (https://de.wikipedia.org/wiki/Provider_Independent_Address_Space).

Bei SMB-Kunden scheitert selbst die erste Variante häufig schon am Geld, weshalb SMB-Firewalls dafür häufig den ein oder anderen Workaround unterstützen. ZyXELs USG-Serie hat beispielsweise diesbezüglich zwei Mechanismen: 1) DNS based Inbound Load Balancing, was sich aber nur sehr bedingt als Failovermechanismus nutzen lässt (der Focus hier liegt auf dem Loadbalancing eingehender Verbindungen) und 2) das DynDNS-Backup. Hier wird halt die öffentliche IP des primären WAN-Anschlusses bei einem DynDNS-Anbieter registriert und wenn diese Verbindung gestört ist, wird einfach dieser DNS-Eintrag automatisch auf die IP des anderen WAN-Anschlusses aktualisiert. Ich würde erwarten, dass Sophos letzteres auch kann.
Sinnvoll ist es für dieses Szenario, seine DNS-Zone bei einem kommerziellen DynDNS-Dienst zu haben. Alternativ kann man natürlich auch einen CNAME auf den DynDNS-Record verweisen lassen.
Im Prinzip ist das eigentlich nichts anderes, als Du Dir selbst überlegt hast - nur dass Du hier nicht manuell eingreifen musst.

Gruß
sk
Bitte warten ..
Heiß diskutierte Inhalte
Netzwerkgrundlagen
Frage der anderen Art
NeuerleVor 1 TagFrageNetzwerkgrundlagen16 Kommentare

Hi an alle, Ich bin InformatikStudi. Habe Ende des Monats Klausur im Fach Netzwerke zu schreiben und komme gar nicht klar. Entweder ich bin ...

CPU, RAM, Mainboards
CPU Lüfter ausbauen
gelöst ben1300Vor 1 TagFrageCPU, RAM, Mainboards9 Kommentare

Hallo zusammen, ich habe mir damals einen Fertig PC gekauft. Ich würde gerne den Arbeitsspeichern austauschen, allerdings muss ich dafür - so wie es ...

Windows Userverwaltung
Account Aktivierung über VPN
Phill93Vor 1 TagFrageWindows Userverwaltung3 Kommentare

Hallo, ich muss mir für eine RDP Umgebung für einen Verein eine Lösung für die Account Aktivierung ausdenken. Meine Idee ist die folgende: 1. ...

Switche und Hubs
Suche Deutsche Sprachdatei für D-Link DGS-1210-24 D1 Switch
gelöst Oggy01Vor 20 StundenFrageSwitche und Hubs8 Kommentare

Hallo, ich habe einen D-Link DGS-1210-24 Vers. D1 Switch bekommen und suche für diesen eine Deutsche Sprachdatei. Die Firmware ist auf dem aktuellen Stand ...

DNS
Android 10 und mein DNS Server
gelöst CyborgWeaselVor 1 TagFrageDNS7 Kommentare

Hallo allesamt, ich spiele gerade etwas mit einer Synology herum, habe unter Anderem einen eigenen DNS jetzt aufgesetzt. Die lokale Domäne ist HomeDomain.local und ...

Soziale Netzwerke
Anzahl Postings auslesen
gelöst r2d2r3poVor 1 TagFrageSoziale Netzwerke13 Kommentare

Hallo, habe seit 2014 eine Fanpage und wir posten jeden Tag. Kennt jemand einen Weg wie man die Anzahl der Postings seit 2014 auslesen ...

Windows 10
Lizenzfrage WDS mit Windows 10 OEM und E3 für Enterprise
noodellsVor 1 TagFrageWindows 107 Kommentare

Hallo Zusammen, ich habe mal eine generelle Lizenzfrage zum Thema WDS. Ich möchte mehrere PCs installieren, die schon vom Hersteller eine funktionierende Windows 10 ...

Video & Streaming
Videoaufnahme funktioniert nur bis zum ersten Reboot (0x80040217)
IllusionFACTORYVor 15 StundenFrageVideo & Streaming10 Kommentare

Ich nehme über eine Video-Software von einem USB-Hardware-Encoder Video auf. Das funktioniert exakt bis zum ersten Reboot - danach bekomme ich beim Starten der ...