aba-it
Goto Top

DrayTek Dual WAN und VPN

Hallo Leute

Ich bin öfters auf den Vorschlag gestossen DrayTek Router für Multi WAN Lösungen einzusetzen. Nun habe ich dies bezüglich eine Frage. Dazu erst mal folgendes Bild,

b119ccb79dd6e457212ee767d58eea5b

Die zwei Internetanbindungen sollen die Ausfallsicherheit erhöhen. Falls die eine Leitung ausfällt, soll die andere übernehmen. Auf dem DrayTek soll ein VPN Server eingerichtet werden (wie auf dem Bild zu sehen).

Nun meine Idee war jetzt, dass sich der VPN Client anhand eines Hostnamen zum VPN Server verbindet, wie beispielsweise DynDNS. Dafür müsste DynDNS oder ein ähnlicher Dienst auf dem DrayTek Router eingerichtet werden.

Nun meine Fragen zum Ganzen,
- Ist es möglich DynDNS auf einem DrayTek Router einzurichten (oder einen ähnlichen Dienst)?
- Falls ja, kann dieser so eingerichtet werde, dass falls die eine WAN-Verbindung ausfällt, dieser auf die andere WAN-Verbindung quasi zeigt und damit der VPN Server ausfallsicherer wird?
- Welches DrayTek Produkt würdet ihr empfehlen? Einen aus der Vigor2910 Serie vielleicht?

Ich bedanke mich schon mal für eure Hilfe.

Gruss

Content-ID: 191321

Url: https://administrator.de/forum/draytek-dual-wan-und-vpn-191321.html

Ausgedruckt am: 22.12.2024 um 23:12 Uhr

Pjordorf
Pjordorf 16.09.2012 um 22:16:21 Uhr
Goto Top
Hallo,

Zitat von @Aba-it:
- Ist es möglich DynDNS auf einem DrayTek Router einzurichten
Ja.

- Falls ja, kann dieser so eingerichtet werde, dass falls die eine WAN-Verbindung ausfällt, dieser auf die andere WAN-Verbindung quasi zeigt und
Dazu solltest du klären WANN die andere eitung aktiv wird und ob der DynDN dienst im Draytek dies erkennt. Handbuch? Draytek fragen?

damit der VPN Server ausfallsicherer wird?
Wieso sollte der VPN Server durch obiges Ausfallsicherer werden? Der läuft doch immer noch. Oder meinst du das der dann leichter von Auswärts über den gleichen Namen erreichbar wird? Ist damit nicht auch dann die Frage zu beantworten wie lange dauert es bis alle Nameserver diese Welt es endlichen mitbekommen haben das die IP sich (wieder) geändert hat und das alle DNS Cache (auch auf Clients die noch ein dauerping an vorhergehende IP tun machen weil VPN soll offen bleiben) diese Änderung auch weitergeben tun?

- Welches DrayTek Produkt würdet ihr empfehlen?
Was soll die Kiste denn och ausser 2 WAN Ports haben bzw. können und was darf es ausm Budget auffressen?

Gruß,
Peter
Aba-it
Aba-it 16.09.2012 um 22:26:09 Uhr
Goto Top
Hallo Peter

Zitat von @Pjordorf:
Hallo,

Dazu solltest du klären WANN die andere eitung aktiv wird und ob der DynDN dienst im Draytek dies erkennt. Handbuch? Draytek fragen?
Im Handbuch bzw. auf der DrayTek Seite habe ich nichts gefunden. Ich habe bereits eine Mail an DrayTek gesendet (muss noch warten).

Wieso sollte der VPN Server durch obiges Ausfallsicherer werden?
Naja, falls die eine Internetleitung ausfällt, soll die andere einspringen. Aus Sicht des Clients erhöht sich die Erreichbarkeit und somit ausfallsicherer.

Danke für die schnelle Antwort.
danielfr
danielfr 16.09.2012 um 23:12:08 Uhr
Goto Top
Demo f. 2910:
http://www.draytek.com/.upload/Demo/Vigor2910_v3.2.5.1/
veilleicht beantwortet das schon die eine oder andere Frage?
Die WAN Schnittstellen kann man in den Failmode konfigurieren, ob DynDNS dann auch geswitcht wird ist eine sehr berechtigte Frage...
Bei Draytek generell dran denken ein Firmware Update zu machen.
Gruß Daniel
Aba-it
Aba-it 16.09.2012, aktualisiert am 17.09.2012 um 00:37:52 Uhr
Goto Top
Hallo Daniel

Zitat von @danielfr:
Demo f. 2910:
http://www.draytek.com/.upload/Demo/Vigor2910_v3.2.5.1/
veilleicht beantwortet das schon die eine oder andere Frage?
Die WAN Schnittstellen kann man in den Failmode konfigurieren, ob DynDNS dann auch geswitcht wird ist eine sehr berechtigte
Frage...
Bei Draytek generell dran denken ein Firmware Update zu machen.
Gruß Daniel

Danke für den Link. Im folgenden Bild ist zu erkennen dass es eine Option dafür gibt.
2ae060b27e1e2785646e665b2b49702d

Beim Auswahlpunkt "WAN Interface" kann nun die gewünschte Schnittstelle ausgewählt werden oder "Auto". Ich würde jetzt annehmen das "Auto" jeweils die benutzte WAN Schnittstelle auswählt. Ob es jedoch bei einem Ausfall aktualisiert kann ich nicht sagen. Sobald ich eine Antwort von DrayTek erhalte, werde ich hier darüber berichten.

Und danke für den Hinweis (bzgl. des Firmware-Updates).

//EDIT

Habe mir jetzt das Handbuch vom Vigor3200 angeschaut. Unter "3.4.1 Dynamic DNS" steht (unteranderem) "If WAN1/WAN2/WAN3 fails, the
router will use another WAN interface instead.".

Link: www.draytek.de/draytek/downloads/Dokumentenzusammenfassung/Handb%C3%BCcher/Vigor3200_Handbuch_V1.1_englisch.pdf

Gruss
Aba-it
Aba-it 17.09.2012 aktualisiert um 00:50:25 Uhr
Goto Top
Hallo

In der Zwischenzeit habe ich mich gefragt ob bei folgender Konfiguration (Site-to-Site VPN), beim DrayTek Router 02 nicht das VPN ähnlich eingerichtet werden kann wie beim DrayTek Router 01 mit den WAN Leitungen. Nämlich so, dass falls der VPN Server nicht über diese IP Adresse erreichbar ist, anhand dieser versuchen.

7de1ab0c9b266712c2f16f0cbe82e5d3

Gruss
aqui
aqui 17.09.2012 um 10:45:41 Uhr
Goto Top
Ja, natürlich geht das auch. Dem DynDNS ist es doch vollkommen Latte welches der Interfaces den Client aktiviert.
Dem VPN das darauf basiert dann sowieso...
Ob du eine VPN Client Verbindung nimmst oder ein Lan to LAN VPN spielt dabei ebenfalls keinerlei Rolle. Die VPN Mechanismen sind ja gleich...!
108012
108012 17.09.2012 aktualisiert um 13:02:43 Uhr
Goto Top
Hallo b4tcher,

gelöscht weil es irreführende oder falsche Angaben enthielt.

Siehe Posting von aqui.

Gruß
Dobby
aqui
aqui 17.09.2012 aktualisiert um 11:08:03 Uhr
Goto Top
.@Dobby
a.) muss nicht sein denn jede IPsec Verbindung funktioniert wunderbar mit dem klassischen kostenlosen Shrew Client !
http://www.shrew.net/
Nutzt mal L2TP, PPTP oder SSL als VPN protokoll hat sich das so oder so erledigt, da diese Clients bei jedem OS gleich mit an Bord sind !
Lizenzen fallen also keine an wenn man es richtig macht.
b.) Vergiss das, Draytek supportet kein OpenVPN, dazu benötigst du eine offene Plattform wie diese z.B. hier:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
oder musst einen SSL fähigen Draytek erwerben, was dann aber Java benutzt.
Was bitte hat Network Time Protokoll mit einem VPN Router zu tun ?? (OK sofern du nicht mit Zertifikaten und PSKs arbeitest !)
Das musst du dem Forum hier aber mal genau erklären... ??
Diese Dual WAN Router machen ein Session basiertes Load Balancing. VPNs benutzen deshalb nur einen Port mit dem anderen als automatischen Backup.
108012
108012 17.09.2012 um 12:14:12 Uhr
Goto Top
Zitat von @aqui:
.@Dobby
a.) muss nicht sein denn jede IPsec Verbindung funktioniert wunderbar mit dem klassischen kostenlosen Shrew Client !
http://www.shrew.net/
War mir so nicht bekannt und viele Hersteller "unterdrücken" die Verwendung von freien VPN Klienten damit man Ihr Lizenzen kauft, aber danke für den Hinweis und den Link.

Nutzt mal L2TP, PPTP oder SSL als VPN protokoll hat sich das so oder so erledigt, da diese Clients
bei jedem OS gleich mit an Bord sind !

....oder musst einen SSL fähigen Draytek erwerben, was dann aber Java benutzt.
Welchen Draytek hat er denn?

Was bitte hat Network Time Protokoll mit einem VPN Router zu tun ?? (OK sofern du nicht mit
Zertifikaten und PSKs arbeitest !)
Damit sich die Router nach einem "Roll over" bei einer "Fail over" Konfiguration besser synchronisieren!
mit dem VPN selber oder besser direkt hat das gar nichts zu tun.

Das musst du dem Forum hier aber mal genau erklären... ??
Bitte siehe zwei Zeile weiter oben.

Diese Dual WAN Router machen ein Session basiertes Load Balancing. VPNs benutzen deshalb nur einen
Port mit dem anderen als automatischen Backup.
Die Überlegung sollte eher hin führen zu, "Laod Balancing" oder "Fail over" und wenn sich für ein "Load Balancing" entschieden wurde, dann vielleicht eine Leitung für das VPN nehmen und die andere Leitung für die restlichen Dienste.


Gruß
Dobby
aqui
aqui 17.09.2012 aktualisiert um 13:10:21 Uhr
Goto Top
.@Dobby
Unterdrücken kann man die Verwendung anderer Clients mit standartisierten Protokollen nicht.
Welchen Draytek er hat spielt keine Rolle ALLE Drayteks supporten IPsec, L2TP, PPTP synchron ! Nur für zusätzlich noch SSL benötigt man andere Modelle.
Mmmhhh, "fail over" und "synchronisieren"...sowas gibts bei IPsec VPNs nicht. Die VPN Router (und auch Clients) wissen nix voneneinander müssen sich auch nicht synchronisieren, das passiert immer beim Tunnelaufbau automatisch. VPN Clients wählen sich ja auch wahllos mal rein und wieder raus nach belieben. Was sollte man da synchronisieren ?? Genaue Zeiten benötigst du nur wenn du mit Zertifikaten bei der Authentisierung arbeitest. Billige Router supporten sowas aber meist nicht sondern nur das einfachere PSK.
Load Balancing ist immer sinnvoller, denn warum sollte er eine Leitung brach liegen lassen für die er teuer bezahlt ?
108012
108012 17.09.2012 um 13:00:42 Uhr
Goto Top
Zitat von @aqui:
Hallo,

und erst einmal danke für den Hinweis, hättest ja auch nichts sagen müssen.

Load Balancing ist immer sinnvoller, denn warum sollte er eine Leitung brach liegen lassen für die er
teuer bezahlt ?
Wenn beide Seiten Dual WAN hätten ok, aber mit nur einer Seite dachte ich halt was ist denn wenn dort der
Provider ausfällt?

Gruß
Dobby
aqui
aqui 17.09.2012 aktualisiert um 13:12:08 Uhr
Goto Top
.@Dobby
Das waren ja quasi Fragen von dir und darauf antwortet man höflicherweise face-wink Du musst auch nicht immer alles zitieren und auch keine Striche... Ein bischen was merken können wir uns hier.
Nun ja was die Leitungs- und Providersicherheit anbetrifft, da müsste sich b4tcher mal äußern hier wieviel "Sicherheit" er benötigt. Vermutlich ist der Dual Port Stadort eine zentraler und das andere eine Außenstelle. Der Einwand ist aber berechtigt.
Da wir aber seine Anforderungen nicht kennen lassen wir das Raten im freien Fall hier lieber mal besser...
Aba-it
Aba-it 17.09.2012 aktualisiert um 23:23:25 Uhr
Goto Top
Hallo

Zitat von @aqui:
Ja, natürlich geht das auch. Dem DynDNS ist es doch vollkommen Latte welches der Interfaces den Client aktiviert.
Dem VPN das darauf basiert dann sowieso...
Ob du eine VPN Client Verbindung nimmst oder ein Lan to LAN VPN spielt dabei ebenfalls keinerlei Rolle. Die VPN Mechanismen sind
ja gleich...!
Ich habe mich eher gefragt ob es nicht eine Funktion auf dem DrayTek gibt, die beim nicht funktionieren einer eingerichteten VPN Verbindung, die andere versucht (beim Router 2 natürlich), also ein VPN Failover quasi. Wobei das nicht notwendig ist, da das auch mit der DynDNS Konfiguration klappen würde.

Zitat von @108012:
Hallo b4tcher,

das ist sicherlich eine Überlegung wert! Nur mitteilen solltest Du es auf jeden Fall, wie Du dichnun entschieden hast!!!!
Für die Site-to-Site Variante (wie auf dem zweiten Bild zu sehen).


Ich frage mich, wie lange es wohl danach dauert bis beim DynDNS die neue IP eingetragen ist, und der Router 2 die Verbindung reibungslos wieder selbst initialisieren kann.

Danke für eure Hilfe.
aqui
aqui 17.09.2012 aktualisiert um 13:19:08 Uhr
Goto Top
Wieso diese Frage ??? Du siehst oben im Konfig Screenshot doch ganz deutlich das der Router das macht, oder liest du die Threads hier nicht ??
Wenn er auf Auto steht macht er das oder du gibst die Reihenfolge vor. Das wäre das für die DynDNS Geschichte.
Wenn der VPN Tunnel zusammenbricht und du ihn mit einem Keepalive im Setup versehen hast wird er ihn über den 2ten Port sofort erneut aufbauen. Ansonsten wären Dual Port Systeme doch auch unsinnig. Die Frage ist also etwas naiv, sorry.
Wie Lange das bei DynDNS oder No-ip oder all den anderen Dynamic DNS Providern dauert hängt von der Implementation der Clients im Router ab.
Generell ist es aber so das IMMER mit einer Statusänderung am Port wie z.B. PPPoE Neu Negotiation oder einem damit verbundene Port Failure oder Layer 1 bzw. 2 Ausfall des Ports sofort ein neuer DNS Update angestossen wird.
Alles doch der tiefere Sinn solcher Protokolle und Mechanismen ?!
Aba-it
Aba-it 17.09.2012 aktualisiert um 23:28:03 Uhr
Goto Top
Zitat von @aqui:
Wieso diese Frage ??? Du siehst oben im Konfig Screenshot doch ganz deutlich das der Router das macht, oder liest du die Threads hier nicht ??

Das sehe ich, diesen Screenshot habe ich ja selbst gemacht. Das war auch garnicht die Frage. Ich weiss dass das mit dem DynDNS nun klappt. Meine Frage bezog sich aus der Sicht des Router 02 der eine Verbindung anhand der DynDNS Adresse zum Router 01 aufbaut.

Und selbstverständlich lese ich eure Kommentare.

//EDIT
Was die Leitungs- und Providersicherheit anbetrifft, werde ich später versuchen genauere Angaben darüber zugeben.
Pjordorf
Pjordorf 17.09.2012 um 13:44:50 Uhr
Goto Top
Hallo,

Zitat von @Aba-it:
Meine Frage bezog sich aus der Sicht des Router 02 der eine Verbindung anhand der DynDNS Adresse zum Router 01 aufbaut.
Dazu hatte ich dir ja schon einige Gedanken durchgereicht (gaaaanz am anfang). Eben was passiert im WWW mit DNS Änderungen und wann sind die bir mir angekommen. Das der DynDNS seine Datenbank innerhalb von 0-5 Sekunden ändert, heisst ja noch lange nicht das dein von dir abgefragter DNS es auch schon weiß. Cahche zeiten usw...

Ist es da nicht besser, wenn schon Standorte, diese auch noch mit redudante Internetanbindungen, sich dann um Feste IPs zumindest am Hauptstandort zu bemühen wenn dein VPN so wichtig ist das du sofort Ersatzwege brauchst falls die eine VPN Strecke mal ausfallen sollte? Da brauchst du dir dann über DynDNS und wann hat mein anderer Router endlich die neue IP erfahren gar keine Gedanken machen. Dann steht auch deine VPN Strecke innerhalb Sekunden (bruchteile) wieder bei Ausfall einer Strecke. DynDNS kannst du dann immer noch für Clients oder andere verwenden. Und ja, ich weiß das du bei DynDNS die Zeit auf Sekunden stellen kannst, nur wird das beim Ausfall nicht dazu führen das dein Router 02 sofort die neuen IP kennen wird.

Gruß,
Peter
Aba-it
Aba-it 17.09.2012 um 15:37:53 Uhr
Goto Top
Hallo Peter

Ich bin mir nicht sicher, aber ich denke, da der von mir angefragt DNS Server bereits weiss wo dyndns.com liegt sucht er den entsprechenden DNS für die Subdomains (damit würde das sehr schnell funktionieren).

Ist es da nicht besser, wenn schon Standorte, diese auch noch mit redudante Internetanbindungen, sich dann um Feste > IPs zumindest am Hauptstandort zu bemühen wenn dein VPN so wichtig ist das du sofort Ersatzwege brauchst falls die > eine VPN Strecke mal ausfallen sollte?
Das mit den statischen IP Adressen ist ja schon richtig, aber wenn die eine WAN Leitung ausfällt, so hat ja die andere eine andere öffentliche IP Adresse. In diesem Fall müsste man dass am Router 02 so einrichten können, dass falls die VPN Verbindung anhand der Adresse (x.x.x.x) die Verbindung nicht aufgebaut werden kann, dieser es anhand der Adresse (y.y.y.y) versuchen soll.

Gruss
aqui
aqui 17.09.2012 um 16:21:06 Uhr
Goto Top
Mit "richtigen" VPN Routern macht man das auch so das man 2 Tunnel aufbaut und die parallel laufen lässt. Bricht einer weg wird sub second auf den zweiten umgeschwenkt.
Dein Draytek macht das auch sofern der VPN Tunnel zusammenbricht und du einen Keepalive eingerichtet hast. Allerdings mit etwas Verzögerung da er den Tunnel komplett neu aufbauen muss. Was deine Frage von oben beantwortet...
Aba-it
Aba-it 17.09.2012 aktualisiert um 23:31:03 Uhr
Goto Top
@aqui
Vielleicht ist das sogar das beste. 2 Tunnel einrichten und parallel laufen lassen. In diesem Fall würde ich Load Balancing konfigurieren.

//EDIT
Handbuch Vigor2950-Serie: cms.draytek.de/draytek/downloads/Dual-WAN-Router/Vigor2950-Serie/Dokumente/Vigor2950-Serie_Handbuch_V4.1_englisch.pdf
Auf PDF Seite 146, 3.9.10 Connection Management, Backup Mode wird beschrieben wie das einzurichten ist (dass sich eine VPN Verbindung erst aufbaut wenn die andere abliegt).

Vielen Dank für eure Hilfe!