Öffentliche DNS-Konfiguration bei mehreren Internetverbindungen

ipzipzap
Goto Top
Guten Morgen.

Gegeben sei folgendes System:

Eine 16MBit T-DSL-Business Leitung mit statischer IP und einer Sophos UTM als Gateway. Es gibt eine Subdomain gw1.domain.de, die auf die statische IP per A-Record zeigt.
Intern gibt es u.a. einen Exchange-Server und noch ein paar andere Dienste. Um diese zu erreichen, gibt es verschiedene DNS-Namen, die per CNAME auf gw1.domain.de zeigen, wie z.b.

autodiscover.domain.de
mail.
imap.
remote.
webmail.
vpn.

etc...

Nun kommt eine zweite, schnellere 150Mbit-Internetleitung von Unitymedia Business hinzu, auch mit statischer IP. Der Uplink ist an einem eigenen Interface der Sophos angeschlossen, und über Multipath-Regeln kann man schön den ausgehenden Traffic steuern und bei einem Ausfall der Unitymedia-Leitung die DSL-Leitung als Failover nutzen.

Worüber ich mir nun den Kopf zerbreche, wäre die korrekte DNS-Konfiguration für den EINgehenden Traffic.

Wenn beide Leitungen gleich schnell wären, würde ich gw1.domain.tld einfach zwei A-Records geben mit beiden IPs. Es soll aber eingehend immer Unitymedia genutzt werden, weil die halt schneller ist, es sei denn, die fällt mal aus.

Daher erstelle ich für die statische IP von Unitymedia den Hostnamen gw2.domain.de, und stelle die obigen DNS-Einträge darauf um.

Logisch gesehen finde ich das aber jetzt falsch, weil nun mit gw1. und gw2. beide Hostnamen auf dasselbe Gateway bzw. denselben Host zeigen, der ja nur einen Hostnamen haben darf/kann/sollte, oder?

Könnte ich DNS-Einträge für die Leitungen anlegen (uplink1. & uplink2.domain.de) und dann gw1.domain.de per CNAME zur jeweils aktiven umleiten?

Oder wie richtet man sowas normalerweise sauber ein?

Danke im Voraus,
ipzipzap


EDIT:


Zusätzlich mache ich mir gerade noch Gedanken über SSL-Zertifikate. Wenn die UM-Leitung down ist und ich die DSL-Leitung benutze, würde sich ja der Hostname ändern, und die Zertifikate würden ungültig werden.

Daher habe ich mir gerade folgendes überlegt:

Ich lege einen Hostnamen gateway.domain.de an als CNAME mit Verweis auf gw2.domain.de (Unitymedia). Wenn die jetzt down ist, ändere ich beim Hoster den CNAME auf gw1.domain.de (T-DSL). Dann bleibt die eigentlich aufgerufene Domain mit gateway.domain.de immer gleich, und ich bekomme keine SSL-Fehler.

Oder mache ich gerade einen Denkfehler?

Content-Key: 303002

Url: https://administrator.de/contentid/303002

Ausgedruckt am: 16.05.2022 um 20:05 Uhr

Mitglied: Dani
Dani 27.04.2016 um 20:22:01 Uhr
Goto Top
Moin,
Ich lege einen Hostnamen gateway.domain.de an als CNAME mit Verweis auf gw2.domain.de (Unitymedia). Wenn die jetzt down ist, ändere ich beim Hoster den CNAME auf gw1.domain.de (T-DSL). Dann bleibt die eigentlich aufgerufene Domain mit gateway.domain.de immer gleich, und ich bekomme keine SSL-Fehler
Wird so funktionieren.

Damit dein Pla aber auf geht, ist es notwendig dass der CNAME-Eintrag einen sehr kleinen TTL-Wert hat. Sonst geht der Schuss nach hinten los. Denn viele Clients bzw. deren ISP werden den Eintrag cachen... und erst nach Ablauf des TTL wieder den Wert abfragen.

Oder wie richtet man sowas normalerweise sauber ein?
Das wird jeder anders definieren. Wenn die veröffentlichen Dienste so wichtig sind, hätte ich auf SDSL oder EthernConnect gesetzt mit entsprechender Entstörzeit.


Gruß,
Dani
Mitglied: ipzipzap
ipzipzap 29.04.2016 aktualisiert um 10:14:08 Uhr
Goto Top
Hm, ok. Danke. SO wichtig sind die Dienste jetzt nicht, was aber nicht heißt, das man das nicht trotzdem vernünftig einrichten kann.

Ich hatte jetzt gedacht, das es da ein Best-Practise zu gibt o.ä. Halt wie man sowas normalerweise richtig macht, wenn das Gateway mehrere Uplinks hat.

Die TTL bei unserem Provider ist 60 Minuten, das ist erstmal ok. Dann werde ich das wohl mit dem CNAME machen und gebe den Uplinks eigene DNS-Namen, obwohl da kein Host mit diesen Namen dranhängt. Ich hoffe mal, das funktioniert ohne Probleme.

Gruß,
ipzipzap
Mitglied: sk
sk 29.04.2016 aktualisiert um 15:24:57 Uhr
Goto Top
Zitat von @ipzipzap:

Ich hatte jetzt gedacht, das es da ein Best-Practise zu gibt o.ä. Halt wie man sowas normalerweise richtig macht, wenn das Gateway mehrere Uplinks hat.

Normalerweise wird das so angebunden, dass die verwendeten öffentlichen IPs bzw. das IP-Netz über beide Links erreichbar ist - entweder beim gleichen Provider über eine VRRP-Konfiguration oder (besser) per BGP mit mind. zwei verschiedenen Providern (https://de.wikipedia.org/wiki/Provider_Independent_Address_Space).

Bei SMB-Kunden scheitert selbst die erste Variante häufig schon am Geld, weshalb SMB-Firewalls dafür häufig den ein oder anderen Workaround unterstützen. ZyXELs USG-Serie hat beispielsweise diesbezüglich zwei Mechanismen: 1) DNS based Inbound Load Balancing, was sich aber nur sehr bedingt als Failovermechanismus nutzen lässt (der Focus hier liegt auf dem Loadbalancing eingehender Verbindungen) und 2) das DynDNS-Backup. Hier wird halt die öffentliche IP des primären WAN-Anschlusses bei einem DynDNS-Anbieter registriert und wenn diese Verbindung gestört ist, wird einfach dieser DNS-Eintrag automatisch auf die IP des anderen WAN-Anschlusses aktualisiert. Ich würde erwarten, dass Sophos letzteres auch kann.
Sinnvoll ist es für dieses Szenario, seine DNS-Zone bei einem kommerziellen DynDNS-Dienst zu haben. Alternativ kann man natürlich auch einen CNAME auf den DynDNS-Record verweisen lassen.
Im Prinzip ist das eigentlich nichts anderes, als Du Dir selbst überlegt hast - nur dass Du hier nicht manuell eingreifen musst.

Gruß
sk