ralf.beckmann
Goto Top

Dynamisches Routing zu einem Failover System

Hallo zusammen,

wir haben eine eigene Software, wo wir eine Redundanzlösung anpeilen.
Unsere gesamten Module haben wir im Griff.
Problem sind jetzt etwaige Dritthersteller, die wir ankoppeln müssen...

Beispiel: Hersteller XY baut auf Port 12345 eine Verbindung über eine Firewall aus dem öffentlichen Netz zu uns auf. Klassisch NAT könnte ich den Port jetzt auf einen PC routen.
Problem ist nun, dass entweder der eine oder der andere PC die Server Dienste hält und der Router nicht weiß wer.

Wie könnte ich das lösen? Eine Idee war OSPF o.ä. zu nutzen und unserer Software OSPF beizubringen und mit dem Router/Firewall zu reden.
Wer hat sowas schon mal wie gemacht?

Content-ID: 347471

Url: https://administrator.de/forum/dynamisches-routing-zu-einem-failover-system-347471.html

Ausgedruckt am: 22.12.2024 um 21:12 Uhr

beidermachtvongreyscull
beidermachtvongreyscull 28.08.2017, aktualisiert am 30.08.2017 um 13:34:32 Uhr
Goto Top
Setz doch einen LB-Cluster davor.
Richtig konfiguriert, sollte der feststellen, auf welcher nachgeschalteten Mühle Dein Dienst läuft und quatscht diese an.

BIN DRAUẞEN
134058
134058 28.08.2017 aktualisiert um 18:43:01 Uhr
Goto Top
Zitat von @ralf.beckmann:

Beispiel: Hersteller XY baut auf Port 12345 eine Verbindung über eine Firewall aus dem öffentlichen Netz zu uns auf. Klassisch NAT könnte ich den Port jetzt auf einen PC routen.
Problem ist nun, dass entweder der eine oder der andere PC die Server Dienste hält und der Router nicht weiß wer.
Der Router kennt per ARP die unterschiedlichen IP-Adressen der PCs im LAN oder besser in der DMZ. Damit könntest du bequem Portforwarding auf unterschiedliche lokale IPs abhängig vom remote angefragten lokalen Dienst/Port für die öffentliche Adresse machen.

Wie könnte ich das lösen? Eine Idee war OSPF o.ä. zu nutzen und unserer Software OSPF beizubringen und mit dem Router/Firewall zu reden.
OSPF macht nichts anderes als deine sowieso vorhanden statischen Routen. Nur eben automatische Erkennung von Netzen anderer Router. Wird dir also nichts helfen. OSPF über ein WAN-Inteface (Internet) wäre übrigens eine sehr schlechte Idee. Dort schaltet man Routing-Updates aus und redistributiert statische (Default-) Routen in (intern laufendes) OSPF. Oder eben per VPN. Wäre auch sinnvoll, wenn sich nur bestimmte und bekannte Leute "einwählen" sollen. Deine "Hersteller" z. B. Ein dedizierter und gesicherter VPN-Server evtl. auf Firewall oder einem PC in einer Pseudo-DMZ wäre sinnvoll! Damit könnten die "Hersteller" nicht alles im LAN "sehen".

Eine vom Vorredner angesprochene Cluster-Loesung wäre wegen Ausfallsicherheit und Load-Sharing beider PCs elegant.
ralf.beckmann
ralf.beckmann 30.08.2017 um 13:28:30 Uhr
Goto Top
Hallo und danke,

wie es abgesichert werden soll und so ist alles klar. Das passiert eh. Ich wollte es halt trivial halten von der Beschreibung her.


Zitat von @134058:

Der Router kennt per ARP die unterschiedlichen IP-Adressen der PCs im LAN oder besser in der DMZ. Damit könntest du bequem Portforwarding auf unterschiedliche lokale IPs abhängig vom remote angefragten lokalen Dienst/Port für die öffentliche Adresse machen.


Das ist ja gerade der Punkt den ich dynamisch halten muss. Wenn man es vereinfacht ausdrücken will, dann läuft hinter dem Router ein Failover-Cluster, nur das keine Umschaltung der IP und / oder eines Hostname erfolgt. Deswegen muss ich irgendwie dem Router elegant sagen wo er die Dienste findet.