deepthought1
Goto Top

Loadbalancing trotz AnyConnect?

Hallo,
ich möchte gerne unsere SDSL-Leitung durch eine VDSL-Leitung ergänzen um den Webtraffic auszulagern,
mein Netzwerkbetreuer behauptet jedoch, das es wegen der Cisco AnyConnect-Clients nicht funktioniert. Stimmt das?

Hier mal unser Aufbau (etwas vereinfacht):
Unser internes Netz hängt hinter einem Cluster aus zwei Cisco ASA-5515x (Active/Standby) welcher eine Externe IP hat.
Dieser Cluster stellt den VPN-Endpunkt für die AnyConnect Clients da und ist gleichzeitig die Firewall gegenüber dem Internet.
Er stellt für alle Geräte den Gateway zum Internet und zu den Site-by-Site-VPNs da (mehr zu denen unten).
Über zwei "Transfer"-Switche ist der Cluster mit dem Providerrouter verbunden, der uns die Externen IPs zur Verfügung stellt.
Der Providerrouter ist redundant mit einer SDSL-Leitung (über mehrere "Telefonkabel") angebunden,
daher möchten wir diese auch gerne zunächst als "Fallback" nutzen aber später ggf. auch ersetzen.
Falls sich die Leitungen aktiv kombinieren ließen wäre es natürlich noch schöner. face-smile

Zugriff auf den Providerrouter haben wir nicht, er ist für uns transparent. Welche Protokolle er spricht weiß ich nicht.
Ein standard PC mit fester IP direkt an den Provider-Router gesteckt, kommt mit einer IP aus dem Bereich der zugewiesenen öffentlichen IPs und googles DNS ohne weitere Einstellungen/Software online.


Die Site-by-Site-VPNs werden über ein Cluster aus zwei Cisco 2911 realisiert die ebenfalls mit dem ASA-Cluster über die Transferswitche verbunden sind.
Die Site-to-Site-VPNs sind redundat ausgelegt und nutzen primär eine seperate SDSL-Leitung und sekundär eine DSL-Leitung mit
jeweils festen IPs.
Dieser Teil soll unangetastet bleiben, da er absolut stabiel läuft und hier ausschließlich der Traffic zu den Außenstandorten über läuft.

Das interne Netz ist komplett flach gehalten, hier gibt es keine V-LANs und kein weiteres Routing.
Lediglich die Aussenstandorte welche über die Site-to-Site-VPNs angebunden sind haben eine anderes Subnet (192.168.1.X, 192.168.2.X, 192.168.3.X, ... /24) damit das Routing (auf dem ASA-Cluster) überhaupt möglich ist.


Mein Netzwerkbetreuer behauptet nun es sei NICHT damit getan einen einfachen "Loadbalancer" zwischen Providerrouter
und Transferswitch zu schalten, da dann die AnyConnect-Verbindungen nicht mehr Zustande kommen würden.
Grob hat er es mir damit erklärt das Ziel-IP und Quell-IP der Verbindung dann nicht gleich seien. Ein "rausfiltern" und "festzurren" der AnyConnect-Pakete auf eine Route sei angeblich auch nicht möglich, da der Loadbalancer beim Versenden nicht erkennen könne ob es normaler Webrtaffic oder AnyConnect-Traffic sei.

Kann das angehen? Fachliche Inkompetenz bezweifle ich bei dem Unternehmen stark, eher das da einer zu kompliziert denkt. Hat da jemand einen Denkanstoß für uns/ihn?

edit:
Nachdem er lange behauptet hat es sei nicht möglich möchte er nun mehrere neue Geräte anschaffen sowie einen Komplettumbau der Logik durchführen (in der Größenordnung um 8.000€), ein konkretes Angebot steht noch aus. Ist das realistisch?

Content-ID: 259578

Url: https://administrator.de/forum/loadbalancing-trotz-anyconnect-259578.html

Ausgedruckt am: 22.12.2024 um 12:12 Uhr

user217
user217 12.01.2015 um 11:44:23 Uhr
Goto Top
Ich kann mir ganz gut vorstellen das es ein Problem ist diese Pakete zu identifizieren und an die richtige Internetleitung weiterzugeben.
Da der VPN Client mehrere Protokolle und Ports benutzt muss dieser an der Firewall genau definiert sein um diese richtig einordnen zu können.
Wie wäre die alternative einen extra Router für die Neue Leitung anzuschaffen und per QOS den Webtraffic an diesen zu senden. Ich habe sowas noch nicht gemacht, könnte mir aber vorstellen das es klappen würde.
DeepThought1
DeepThought1 12.01.2015 um 12:18:38 Uhr
Goto Top
Zitat von @user217:

Wie wäre die alternative einen extra Router für die Neue Leitung anzuschaffen und per QOS den Webtraffic an diesen zu
senden.

Der AnyConnect Traffic ist meines Wissens nach "normaler" httpS (SSL) Traffic, also würde auch der raus sortiert werden weswegen dann wieder keine Verbindung zu Stande kommen würde.
user217
user217 12.01.2015 um 14:01:23 Uhr
Goto Top
hmmm das Thema ist echt tricky, ich stand schon mal vor dem gleichen Problem..
Hast du schon mal die Cisco Hotline dazu kontaktiert - die sollten doch für so eine Problemstellung theoretisch was im Schubladen haben.
Ansonsten such mal nach Paket shaper evtl. hilft dir sowas weiter
Dani
Dani 12.01.2015 um 23:25:46 Uhr
Goto Top
Guten Abend,
einen groben Netzwerkplan hast zufällig nicht zur Hand?
D.h. für deine Frage primär geht es um die SDSL und VDSL-Leitung? Damit hast du zwei unterschiedliche öffentliche IP-Adressen(subnetze). Wie willst du mit dieser Vorraussetzung Loadbalancing machen?

Grundsätzlich würde ich dir empfehlen euer ISP - Design überdenken. Zu viele Leitungen, zu viele Router, zu viele Fehlerquellen. Euere Internetleitungen werden wahrscheinlich im Jahresschnitt keine 50% Auslastung haben. Ich würde mir einen ISP ins Haus holen mit einer redudanten Anbindung (Active Active) mit Load Sharing/Load Balancing mieten. Somit findet die Verteilung auf der Providerseite statt und du hast keinen Aufwand.


Gruß,
Dani
user217
user217 13.01.2015 um 12:22:51 Uhr
Goto Top
ich würde mir auf Dani's ansatz hin mal Multilink PPP ansehen. Ich will keine Werbung machen aber habe sehr gute Erfahrungen mit RH TEC gemacht die bieten das an und es lief 100% einwandfrei über Jahre! was ich sonst kaum erlebt habe..
DeepThought1
DeepThought1 13.01.2015 um 16:17:34 Uhr
Goto Top
Danke für Eure Antworten!

Wir möchten gerne über mindestens zwei verschiedene Provider gehen um nicht komplett offline zu sein falls bei einem was passiert, das hat uns leider die Vergangenheit gelehrt gerade weil wir auch Filialen im Ausland haben und da gelegentlich beim Routing über die Grenze Probleme bei den dortigen Providern zu einzelnen hiesigen Providern auftreten. face-sad
Das damit kein richtiges Loadbalancing/MLPPP möglich ist, ist mir klar. Ein aufsplitten der Daten würde völlig ausreichen.
z.B.:
Web + Mail primär über A,
AnyConnect primär über B,
B als Fallback für A und ggf anders herum

Das ich dann ggf. einen Engpass im Ernstfall hab, wäre Ok, denn der ist jetzt leider Standard. face-smile

Da wir Ladengeschäfte haben ist unser Traffic (fast) nur in den gängigen Öffnungszeiten relevant, wobei Mittags durch die Pausen ca. 15% mehr gesurft wird.

Momentan haben wir:
*2MBit SDSL für Site2Site-VPNs (Download etwa zur Hälfte ausgelastet, Upload ca 60%)
*eine 16.000er DSL als Backup fürs Site2Site-VPNs (ist zwar langsam wenn es alle nutzen, aber OK und meist sind es nur einzelne Filialen mit Wartungsarbeiten)
*4Mbit SDSL für AnyConnect+Internet (Download etwa 2Mbit im Schnitt, aber auch sehr lange Peaks von bis zu 20min bei 100%;
Upload etwa konstant bei 30%)

Die Peaks treten natürlich zur Hauptgeschäftszeit auf was nervt, daher sollen die weg.

Wegen eines Netzplans schau ich nochmal, den muss ich erst mal von public IPs usw. befreien. ;)
Dani
Dani 13.01.2015 um 20:02:56 Uhr
Goto Top
Wir möchten gerne über mindestens zwei verschiedene Provider gehen um nicht komplett offline zu sein falls bei einem was passiert,
Dann hast du den falschen Provider. Wir haben seit über 8 Jahren die DTAG und bisher hat die Backupleitung noch nie versagt.

Web + Mail primär über A,
AnyConnect primär über B,
B als Fallback für A und ggf anders herum
Fallback für Mail und Web sollte sich mit der richtigen Firewallkonfiguration und MX-Records erschlagen lassen. Das sollte eurer Netzwerker im Schalfen hinbekommen.
Bei Anyconnect müsstest du gerade mehrere IP-Adressen bzw. ein weiteres Profil anlegen, dass der Benutzer dann bei nicht funktionieren nimmt. Aber das ist je nach Useranzahl ein höherer Wartungsaufwand.

Die Peaks treten natürlich zur Hauptgeschäftszeit auf was nervt, daher sollen die weg.
Mit dem richtigen Design und QoS kein Problem. Machen wir ähnlich.


Gruß,
Dani