11
Firwall-Cluster und LTE-Failover
Moin Leute,
ich versuche einen Plan auszuarbeiten, um den Internetzugang ausfallsicherer zu gestalten. Aktuell ist es so, dass der ISP-Zugang und die Firewall in Gebäude 1 (Glasfaser) untergebracht sind. Fällt der ISP und/oder die Firewall aus, so ist kein Internet von/nach Extern und keine Telefonie möglich.
Dies soll durch eine weitere Firewall und ein LTE-Modem redundanter gestaltet werden. Meine Idee ist, die zweite Firewall und LTE-Modem in Gebäude 2 unterzubringen. Die Firewalls werden in ein Active-Passive Cluster gesetzt und der ISP-Anschluss (Glasfaser CPE) sowie das LTE-Modem über einen Managed Switch mit nur einem VLAN (hier 99) mit dem L3-Core-Stack verbunden.
Hier eine Beispielzeichnung...
Die Access-Switche kennen VLAN 99 nicht, so dass der Zugriff darauf nicht direkt erfolgen kann. Als Default GW ist das Core-Stack für alle Client und Server. Die Cores haben dann das FW-Cluster als GW eingetragen. Was in dem Schaubild fehlt, ist die Info, dass sowohl die Firewalls als auch Switch 1 & 2 via LAG mit den jeweiligen Core 1&2 bzw. 3&4 verbunden sind (werden).
Für alle Netzwerkteilnehmer, die an den Access-Switchen (Clients/Drucker etc.) und Core-Switchen (Server, SAN, Kameras...) ändert sich im Failover-Fall der Default GW nicht. Sollte Firewall 1 ausfallen, übernimmt Firewall 2 die Arbeit. Fällt der ISP-Anschluss aus, dann wird stattdessen LTE verwendet.
Ist das so umsetzbar, oder habe ich irgendwo einen Denkfehler?
ich versuche einen Plan auszuarbeiten, um den Internetzugang ausfallsicherer zu gestalten. Aktuell ist es so, dass der ISP-Zugang und die Firewall in Gebäude 1 (Glasfaser) untergebracht sind. Fällt der ISP und/oder die Firewall aus, so ist kein Internet von/nach Extern und keine Telefonie möglich.
Dies soll durch eine weitere Firewall und ein LTE-Modem redundanter gestaltet werden. Meine Idee ist, die zweite Firewall und LTE-Modem in Gebäude 2 unterzubringen. Die Firewalls werden in ein Active-Passive Cluster gesetzt und der ISP-Anschluss (Glasfaser CPE) sowie das LTE-Modem über einen Managed Switch mit nur einem VLAN (hier 99) mit dem L3-Core-Stack verbunden.
Hier eine Beispielzeichnung...
Die Access-Switche kennen VLAN 99 nicht, so dass der Zugriff darauf nicht direkt erfolgen kann. Als Default GW ist das Core-Stack für alle Client und Server. Die Cores haben dann das FW-Cluster als GW eingetragen. Was in dem Schaubild fehlt, ist die Info, dass sowohl die Firewalls als auch Switch 1 & 2 via LAG mit den jeweiligen Core 1&2 bzw. 3&4 verbunden sind (werden).
Für alle Netzwerkteilnehmer, die an den Access-Switchen (Clients/Drucker etc.) und Core-Switchen (Server, SAN, Kameras...) ändert sich im Failover-Fall der Default GW nicht. Sollte Firewall 1 ausfallen, übernimmt Firewall 2 die Arbeit. Fällt der ISP-Anschluss aus, dann wird stattdessen LTE verwendet.
Ist das so umsetzbar, oder habe ich irgendwo einen Denkfehler?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 7298068248
Url: https://administrator.de/contentid/7298068248
Printed on: April 27, 2024 at 06:04 o'clock
11 Comments
Latest comment
Servus,
habe früher LTE anstelle DSL verwendet (Providerproblem) und bin bei LTE öfters über die inkludierten Frei-GB gekommen.
Schau deshalb, einen LTE-Tarif ohne Volumenbegrenzung zu bekommen.
Gruß
VGem-e
habe früher LTE anstelle DSL verwendet (Providerproblem) und bin bei LTE öfters über die inkludierten Frei-GB gekommen.
Schau deshalb, einen LTE-Tarif ohne Volumenbegrenzung zu bekommen.
Gruß
VGem-e
Ich hätte für die zwei WAN Leitungen noch getrennte VLANs genommen z.B. VLAN 99 und 98.
Du könntest auch über ein Active Active Cluster nachdenken (wenn es die Firewall kann) dann hast du mehr Performancereserven und die einfache Performance kommt nur im Fehlerfall zum Einsatz.
Sollen auch VPN Zugänge bereit stehen?
Du könntest auch über ein Active Active Cluster nachdenken (wenn es die Firewall kann) dann hast du mehr Performancereserven und die einfache Performance kommt nur im Fehlerfall zum Einsatz.
Sollen auch VPN Zugänge bereit stehen?
Der Tarif (LTE oder auch 5G) ist überschaubar. Kostet ab ca. €10 für 10GB bis €70 für unlimitiert. Das passt schon. Da LTE (oder auch 5G) nur als Failover für den ISP sein sollen, kann man den Tarif bei Bedarf anpassen.
@NordicMike: Active-Active ist mit einer zusätzlichen Lizenz verbunden, was nicht ganz günstig ist. Der Plan soll ja zwei Eventualitäten abfangen.
VPN im ersten Fall bleibt gleich und unberührt. Beim Ausfall des ISP ist es eine andere WAN-IP-Adresse, daher wären hier Public-DNS Änderungen notwendig, wären aber machbar. VPN wäre somit auch (eingeschränkt) nutzbar aber in so einem Fall wohl eher wegen der verfügbaren Bandbreite nicht von Vorteil.
@NordicMike: Active-Active ist mit einer zusätzlichen Lizenz verbunden, was nicht ganz günstig ist. Der Plan soll ja zwei Eventualitäten abfangen.
- 1 - Ausfall der aktiven Firewall -> Failover auf passive Firewall, ISP Zugang bleibt der gleiche
- 2 - Ausfall ISP -> aktive Firewall schwenkt um auf LTE (5G)
VPN im ersten Fall bleibt gleich und unberührt. Beim Ausfall des ISP ist es eine andere WAN-IP-Adresse, daher wären hier Public-DNS Änderungen notwendig, wären aber machbar. VPN wäre somit auch (eingeschränkt) nutzbar aber in so einem Fall wohl eher wegen der verfügbaren Bandbreite nicht von Vorteil.
Klingt nach Fortigate...
Sophos 
#Bitte im Blick haben und vorher mal testen:
Mit Sophos SG 125 hatte ich immer Schwierigkeiten über (Telekom)LTE einen IP-Sec Tunnel aufzubauen, wenn die APN Einstellungen im Router nicht geändert wurden und auf Provider Default standen.
#Deine Überlegung zur Public DNS Änderung wird so nicht funktionieren, weil du ja über LTE keine Feste-IP erhältst. LTE ist ein Shared-Medium. Oder hab ich dich bei der Überlegung missverstanden?
#Besser fände ich pers. wenn man ein alternatives Übertragungsmedium eines anderen Anbieters nimmt.
Hat die Vorteile, dass du verschiedene Dienste über verschiedene Leitungen laufen lassen kannst, feste IP's bekommst, etc.
Dann würde das mit dem Public DNS umstellen wieder funktionieren, so dass du die dienste dauerhaft verfügbar haben kannst.
Wenn du die Leitung aber rein für Proxy nehmen solltest, wäre das für LTE ja egal und funktioniert so.
Da stellt sich dann die Frage für LTE, nach den möglichen Diensten, die man von außen bei einem Ausfall erreichbar haben möchte.
LTE ist für mich immer für den Worst-Case: der Bagger haut Glasfaser, Kabelanschluss und von beiden Gebäuden die Hausanschlüsse für DSL durch.
Oder für: es gibt keine alternative Anschlussmöglichkeit.
Wenn du in Gebäude 2 DSL/Kabel/etc. haben kannst, nutz das, ist nicht so Fehleranfällig und für dich etwas Flexibler in der Nutzung.
Nachteil damit: regelmäßige dauerhafte Kosten und ein weiterer Vertrag.
Mit Sophos SG 125 hatte ich immer Schwierigkeiten über (Telekom)LTE einen IP-Sec Tunnel aufzubauen, wenn die APN Einstellungen im Router nicht geändert wurden und auf Provider Default standen.
#Deine Überlegung zur Public DNS Änderung wird so nicht funktionieren, weil du ja über LTE keine Feste-IP erhältst. LTE ist ein Shared-Medium. Oder hab ich dich bei der Überlegung missverstanden?
#Besser fände ich pers. wenn man ein alternatives Übertragungsmedium eines anderen Anbieters nimmt.
Hat die Vorteile, dass du verschiedene Dienste über verschiedene Leitungen laufen lassen kannst, feste IP's bekommst, etc.
Dann würde das mit dem Public DNS umstellen wieder funktionieren, so dass du die dienste dauerhaft verfügbar haben kannst.
Wenn du die Leitung aber rein für Proxy nehmen solltest, wäre das für LTE ja egal und funktioniert so.
Da stellt sich dann die Frage für LTE, nach den möglichen Diensten, die man von außen bei einem Ausfall erreichbar haben möchte.
LTE ist für mich immer für den Worst-Case: der Bagger haut Glasfaser, Kabelanschluss und von beiden Gebäuden die Hausanschlüsse für DSL durch.
Oder für: es gibt keine alternative Anschlussmöglichkeit.
Wenn du in Gebäude 2 DSL/Kabel/etc. haben kannst, nutz das, ist nicht so Fehleranfällig und für dich etwas Flexibler in der Nutzung.
Nachteil damit: regelmäßige dauerhafte Kosten und ein weiterer Vertrag.
@user3086
VPN ist im ISP-Failover nicht unbedingt kritisch. Wichtig ist der Weg nach Außen und Telefonie. Quasi "Notbetrieb". Unser Hauptstandort wird nur von bei ISPs versorgt. Die Stadtwerke und Telekom. Über die Stadtwerke ist die Glasfaser und physisch ist noch eine zweite von der Telekom, die wir aber nicht mehr nutzen wegen den 10-fachen Kosten im direkten Vergleich. Beide kommen über das gleiche Rohr bzw. HVT, macht also keinen Unterschied wenn der Bagger kommt
Deswegen LTE (5G) als Failover.
VPN ist im ISP-Failover nicht unbedingt kritisch. Wichtig ist der Weg nach Außen und Telefonie. Quasi "Notbetrieb". Unser Hauptstandort wird nur von bei ISPs versorgt. Die Stadtwerke und Telekom. Über die Stadtwerke ist die Glasfaser und physisch ist noch eine zweite von der Telekom, die wir aber nicht mehr nutzen wegen den 10-fachen Kosten im direkten Vergleich. Beide kommen über das gleiche Rohr bzw. HVT, macht also keinen Unterschied wenn der Bagger kommt
Deswegen LTE (5G) als Failover.
Wenn nur der Weg nach außen ermöglicht werden muss, dann Feuer frei.
Anders sieht es ggf. aus, wenn die Telefonie von außen trotzdem funktionieren soll und man z.B. alles selbst hostet. Kommt dann halt auf die Anlage bzw. Art der Telefonie an. (stellt man selbst das SIP, oder nutzt man eins im Internet, etc.)
Dann mal gutes gelingen.
Anders sieht es ggf. aus, wenn die Telefonie von außen trotzdem funktionieren soll und man z.B. alles selbst hostet. Kommt dann halt auf die Anlage bzw. Art der Telefonie an. (stellt man selbst das SIP, oder nutzt man eins im Internet, etc.)
Dann mal gutes gelingen.
Moin @DerMaddin,
sowohl die Telekom als auch Vodafone, bieten mittlerweile Internetanschlüsse mit einem automatischen Failover auf LTE/5G an, bei denen sogar automatisch die festen IP's mit geschwenkt werden.
Lustiger Zufall, bei einem unserer Kunden wurde genau heute ein solcher Vodafone Anschluss geschaltet. 🙃
Bei einer kommunalen Feuerwehr haben wir vor ein paar Monaten als Failover einen Starlink Anschluss implementiert. Funktioniert auch ganz gut, bis auf Telefonie (VoIP), das ist darüber leider (noch) nicht möglich.
Gruss Alex
VPN ist im ISP-Failover nicht unbedingt kritisch. Wichtig ist der Weg nach Außen und Telefonie. Quasi "Notbetrieb".
sowohl die Telekom als auch Vodafone, bieten mittlerweile Internetanschlüsse mit einem automatischen Failover auf LTE/5G an, bei denen sogar automatisch die festen IP's mit geschwenkt werden.
Lustiger Zufall, bei einem unserer Kunden wurde genau heute ein solcher Vodafone Anschluss geschaltet. 🙃
Bei einer kommunalen Feuerwehr haben wir vor ein paar Monaten als Failover einen Starlink Anschluss implementiert. Funktioniert auch ganz gut, bis auf Telefonie (VoIP), das ist darüber leider (noch) nicht möglich.
Gruss Alex
Wir haben zwar auch einige Mitarbeiter im Homeoffice, die via SIP mit der TKA verbunden sind, aber die können im Notfall auf Mobiltelefon umschwenken. Starlink stand auch zur Auswahl, ist dann aber doch raus, weil allein die monatlichen Kosten für die wenige Bandbreite dann doch zu hoch sind.
Moin @DerMaddin,
Wenn die Homeoffice User sich über VPN zu der TKA verbinden, dann würde das auch über Starlink funktionieren.
Bring aber am Ende nicht wirklich viel, weil die dann zwar noch intern telefonieren können, aber nicht nach extern, weil die TKA ohne VPN über Starlink nicht zum Provider kommt. 😬
Na ja, demnächst sollte VoIP auch über Starlink möglich sein. 😁
Unter hundert Euro/Monat für eine Satellitverbindung sind jetzt aber auch nicht teuer, vor allem für Unternehmen/Behörden und die Drosselung bei > 1TB, ist so wie es aussieht auch wieder vom Tisch.
https://www.golem.de/news/spacex-starlink-bekommt-doch-keine-drosselung- ...
Gruss Alex
Wir haben zwar auch einige Mitarbeiter im Homeoffice, die via SIP mit der TKA verbunden sind, aber die können im Notfall auf Mobiltelefon umschwenken.
Wenn die Homeoffice User sich über VPN zu der TKA verbinden, dann würde das auch über Starlink funktionieren.
Bring aber am Ende nicht wirklich viel, weil die dann zwar noch intern telefonieren können, aber nicht nach extern, weil die TKA ohne VPN über Starlink nicht zum Provider kommt. 😬
Na ja, demnächst sollte VoIP auch über Starlink möglich sein. 😁
Starlink stand auch zur Auswahl, ist dann aber doch raus, weil allein die monatlichen Kosten für die wenige Bandbreite dann doch zu hoch sind.
Unter hundert Euro/Monat für eine Satellitverbindung sind jetzt aber auch nicht teuer, vor allem für Unternehmen/Behörden und die Drosselung bei > 1TB, ist so wie es aussieht auch wieder vom Tisch.
https://www.golem.de/news/spacex-starlink-bekommt-doch-keine-drosselung- ...
Gruss Alex