Loadbalancing trotz AnyConnect?
Hallo,
ich möchte gerne unsere SDSL-Leitung durch eine VDSL-Leitung ergänzen um den Webtraffic auszulagern,
mein Netzwerkbetreuer behauptet jedoch, das es wegen der Cisco AnyConnect-Clients nicht funktioniert. Stimmt das?
Hier mal unser Aufbau (etwas vereinfacht):
Unser internes Netz hängt hinter einem Cluster aus zwei Cisco ASA-5515x (Active/Standby) welcher eine Externe IP hat.
Dieser Cluster stellt den VPN-Endpunkt für die AnyConnect Clients da und ist gleichzeitig die Firewall gegenüber dem Internet.
Er stellt für alle Geräte den Gateway zum Internet und zu den Site-by-Site-VPNs da (mehr zu denen unten).
Über zwei "Transfer"-Switche ist der Cluster mit dem Providerrouter verbunden, der uns die Externen IPs zur Verfügung stellt.
Der Providerrouter ist redundant mit einer SDSL-Leitung (über mehrere "Telefonkabel") angebunden,
daher möchten wir diese auch gerne zunächst als "Fallback" nutzen aber später ggf. auch ersetzen.
Falls sich die Leitungen aktiv kombinieren ließen wäre es natürlich noch schöner.
Zugriff auf den Providerrouter haben wir nicht, er ist für uns transparent. Welche Protokolle er spricht weiß ich nicht.
Ein standard PC mit fester IP direkt an den Provider-Router gesteckt, kommt mit einer IP aus dem Bereich der zugewiesenen öffentlichen IPs und googles DNS ohne weitere Einstellungen/Software online.
Die Site-by-Site-VPNs werden über ein Cluster aus zwei Cisco 2911 realisiert die ebenfalls mit dem ASA-Cluster über die Transferswitche verbunden sind.
Die Site-to-Site-VPNs sind redundat ausgelegt und nutzen primär eine seperate SDSL-Leitung und sekundär eine DSL-Leitung mit
jeweils festen IPs.
Dieser Teil soll unangetastet bleiben, da er absolut stabiel läuft und hier ausschließlich der Traffic zu den Außenstandorten über läuft.
Das interne Netz ist komplett flach gehalten, hier gibt es keine V-LANs und kein weiteres Routing.
Lediglich die Aussenstandorte welche über die Site-to-Site-VPNs angebunden sind haben eine anderes Subnet (192.168.1.X, 192.168.2.X, 192.168.3.X, ... /24) damit das Routing (auf dem ASA-Cluster) überhaupt möglich ist.
Mein Netzwerkbetreuer behauptet nun es sei NICHT damit getan einen einfachen "Loadbalancer" zwischen Providerrouter
und Transferswitch zu schalten, da dann die AnyConnect-Verbindungen nicht mehr Zustande kommen würden.
Grob hat er es mir damit erklärt das Ziel-IP und Quell-IP der Verbindung dann nicht gleich seien. Ein "rausfiltern" und "festzurren" der AnyConnect-Pakete auf eine Route sei angeblich auch nicht möglich, da der Loadbalancer beim Versenden nicht erkennen könne ob es normaler Webrtaffic oder AnyConnect-Traffic sei.
Kann das angehen? Fachliche Inkompetenz bezweifle ich bei dem Unternehmen stark, eher das da einer zu kompliziert denkt. Hat da jemand einen Denkanstoß für uns/ihn?
edit:
Nachdem er lange behauptet hat es sei nicht möglich möchte er nun mehrere neue Geräte anschaffen sowie einen Komplettumbau der Logik durchführen (in der Größenordnung um 8.000€), ein konkretes Angebot steht noch aus. Ist das realistisch?
ich möchte gerne unsere SDSL-Leitung durch eine VDSL-Leitung ergänzen um den Webtraffic auszulagern,
mein Netzwerkbetreuer behauptet jedoch, das es wegen der Cisco AnyConnect-Clients nicht funktioniert. Stimmt das?
Hier mal unser Aufbau (etwas vereinfacht):
Unser internes Netz hängt hinter einem Cluster aus zwei Cisco ASA-5515x (Active/Standby) welcher eine Externe IP hat.
Dieser Cluster stellt den VPN-Endpunkt für die AnyConnect Clients da und ist gleichzeitig die Firewall gegenüber dem Internet.
Er stellt für alle Geräte den Gateway zum Internet und zu den Site-by-Site-VPNs da (mehr zu denen unten).
Über zwei "Transfer"-Switche ist der Cluster mit dem Providerrouter verbunden, der uns die Externen IPs zur Verfügung stellt.
Der Providerrouter ist redundant mit einer SDSL-Leitung (über mehrere "Telefonkabel") angebunden,
daher möchten wir diese auch gerne zunächst als "Fallback" nutzen aber später ggf. auch ersetzen.
Falls sich die Leitungen aktiv kombinieren ließen wäre es natürlich noch schöner.
Zugriff auf den Providerrouter haben wir nicht, er ist für uns transparent. Welche Protokolle er spricht weiß ich nicht.
Ein standard PC mit fester IP direkt an den Provider-Router gesteckt, kommt mit einer IP aus dem Bereich der zugewiesenen öffentlichen IPs und googles DNS ohne weitere Einstellungen/Software online.
Die Site-by-Site-VPNs werden über ein Cluster aus zwei Cisco 2911 realisiert die ebenfalls mit dem ASA-Cluster über die Transferswitche verbunden sind.
Die Site-to-Site-VPNs sind redundat ausgelegt und nutzen primär eine seperate SDSL-Leitung und sekundär eine DSL-Leitung mit
jeweils festen IPs.
Dieser Teil soll unangetastet bleiben, da er absolut stabiel läuft und hier ausschließlich der Traffic zu den Außenstandorten über läuft.
Das interne Netz ist komplett flach gehalten, hier gibt es keine V-LANs und kein weiteres Routing.
Lediglich die Aussenstandorte welche über die Site-to-Site-VPNs angebunden sind haben eine anderes Subnet (192.168.1.X, 192.168.2.X, 192.168.3.X, ... /24) damit das Routing (auf dem ASA-Cluster) überhaupt möglich ist.
Mein Netzwerkbetreuer behauptet nun es sei NICHT damit getan einen einfachen "Loadbalancer" zwischen Providerrouter
und Transferswitch zu schalten, da dann die AnyConnect-Verbindungen nicht mehr Zustande kommen würden.
Grob hat er es mir damit erklärt das Ziel-IP und Quell-IP der Verbindung dann nicht gleich seien. Ein "rausfiltern" und "festzurren" der AnyConnect-Pakete auf eine Route sei angeblich auch nicht möglich, da der Loadbalancer beim Versenden nicht erkennen könne ob es normaler Webrtaffic oder AnyConnect-Traffic sei.
Kann das angehen? Fachliche Inkompetenz bezweifle ich bei dem Unternehmen stark, eher das da einer zu kompliziert denkt. Hat da jemand einen Denkanstoß für uns/ihn?
edit:
Nachdem er lange behauptet hat es sei nicht möglich möchte er nun mehrere neue Geräte anschaffen sowie einen Komplettumbau der Logik durchführen (in der Größenordnung um 8.000€), ein konkretes Angebot steht noch aus. Ist das realistisch?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 259578
Url: https://administrator.de/forum/loadbalancing-trotz-anyconnect-259578.html
Ausgedruckt am: 22.12.2024 um 12:12 Uhr
7 Kommentare
Neuester Kommentar
Ich kann mir ganz gut vorstellen das es ein Problem ist diese Pakete zu identifizieren und an die richtige Internetleitung weiterzugeben.
Da der VPN Client mehrere Protokolle und Ports benutzt muss dieser an der Firewall genau definiert sein um diese richtig einordnen zu können.
Wie wäre die alternative einen extra Router für die Neue Leitung anzuschaffen und per QOS den Webtraffic an diesen zu senden. Ich habe sowas noch nicht gemacht, könnte mir aber vorstellen das es klappen würde.
Da der VPN Client mehrere Protokolle und Ports benutzt muss dieser an der Firewall genau definiert sein um diese richtig einordnen zu können.
Wie wäre die alternative einen extra Router für die Neue Leitung anzuschaffen und per QOS den Webtraffic an diesen zu senden. Ich habe sowas noch nicht gemacht, könnte mir aber vorstellen das es klappen würde.
Guten Abend,
einen groben Netzwerkplan hast zufällig nicht zur Hand?
D.h. für deine Frage primär geht es um die SDSL und VDSL-Leitung? Damit hast du zwei unterschiedliche öffentliche IP-Adressen(subnetze). Wie willst du mit dieser Vorraussetzung Loadbalancing machen?
Grundsätzlich würde ich dir empfehlen euer ISP - Design überdenken. Zu viele Leitungen, zu viele Router, zu viele Fehlerquellen. Euere Internetleitungen werden wahrscheinlich im Jahresschnitt keine 50% Auslastung haben. Ich würde mir einen ISP ins Haus holen mit einer redudanten Anbindung (Active Active) mit Load Sharing/Load Balancing mieten. Somit findet die Verteilung auf der Providerseite statt und du hast keinen Aufwand.
Gruß,
Dani
einen groben Netzwerkplan hast zufällig nicht zur Hand?
D.h. für deine Frage primär geht es um die SDSL und VDSL-Leitung? Damit hast du zwei unterschiedliche öffentliche IP-Adressen(subnetze). Wie willst du mit dieser Vorraussetzung Loadbalancing machen?
Grundsätzlich würde ich dir empfehlen euer ISP - Design überdenken. Zu viele Leitungen, zu viele Router, zu viele Fehlerquellen. Euere Internetleitungen werden wahrscheinlich im Jahresschnitt keine 50% Auslastung haben. Ich würde mir einen ISP ins Haus holen mit einer redudanten Anbindung (Active Active) mit Load Sharing/Load Balancing mieten. Somit findet die Verteilung auf der Providerseite statt und du hast keinen Aufwand.
Gruß,
Dani
Wir möchten gerne über mindestens zwei verschiedene Provider gehen um nicht komplett offline zu sein falls bei einem was passiert,
Dann hast du den falschen Provider. Wir haben seit über 8 Jahren die DTAG und bisher hat die Backupleitung noch nie versagt.Web + Mail primär über A,
AnyConnect primär über B,
B als Fallback für A und ggf anders herum
Fallback für Mail und Web sollte sich mit der richtigen Firewallkonfiguration und MX-Records erschlagen lassen. Das sollte eurer Netzwerker im Schalfen hinbekommen.AnyConnect primär über B,
B als Fallback für A und ggf anders herum
Bei Anyconnect müsstest du gerade mehrere IP-Adressen bzw. ein weiteres Profil anlegen, dass der Benutzer dann bei nicht funktionieren nimmt. Aber das ist je nach Useranzahl ein höherer Wartungsaufwand.
Die Peaks treten natürlich zur Hauptgeschäftszeit auf was nervt, daher sollen die weg.
Mit dem richtigen Design und QoS kein Problem. Machen wir ähnlich.Gruß,
Dani