Öffentliche DNS-Konfiguration bei mehreren Internetverbindungen
Guten Morgen.
Gegeben sei folgendes System:
Eine 16MBit T-DSL-Business Leitung mit statischer IP und einer Sophos UTM als Gateway. Es gibt eine Subdomain gw1.domain.de, die auf die statische IP per A-Record zeigt.
Intern gibt es u.a. einen Exchange-Server und noch ein paar andere Dienste. Um diese zu erreichen, gibt es verschiedene DNS-Namen, die per CNAME auf gw1.domain.de zeigen, wie z.b.
autodiscover.domain.de
mail.
imap.
remote.
webmail.
vpn.
etc...
Nun kommt eine zweite, schnellere 150Mbit-Internetleitung von Unitymedia Business hinzu, auch mit statischer IP. Der Uplink ist an einem eigenen Interface der Sophos angeschlossen, und über Multipath-Regeln kann man schön den ausgehenden Traffic steuern und bei einem Ausfall der Unitymedia-Leitung die DSL-Leitung als Failover nutzen.
Worüber ich mir nun den Kopf zerbreche, wäre die korrekte DNS-Konfiguration für den EINgehenden Traffic.
Wenn beide Leitungen gleich schnell wären, würde ich gw1.domain.tld einfach zwei A-Records geben mit beiden IPs. Es soll aber eingehend immer Unitymedia genutzt werden, weil die halt schneller ist, es sei denn, die fällt mal aus.
Daher erstelle ich für die statische IP von Unitymedia den Hostnamen gw2.domain.de, und stelle die obigen DNS-Einträge darauf um.
Logisch gesehen finde ich das aber jetzt falsch, weil nun mit gw1. und gw2. beide Hostnamen auf dasselbe Gateway bzw. denselben Host zeigen, der ja nur einen Hostnamen haben darf/kann/sollte, oder?
Könnte ich DNS-Einträge für die Leitungen anlegen (uplink1. & uplink2.domain.de) und dann gw1.domain.de per CNAME zur jeweils aktiven umleiten?
Oder wie richtet man sowas normalerweise sauber ein?
Danke im Voraus,
ipzipzap
EDIT:
Zusätzlich mache ich mir gerade noch Gedanken über SSL-Zertifikate. Wenn die UM-Leitung down ist und ich die DSL-Leitung benutze, würde sich ja der Hostname ändern, und die Zertifikate würden ungültig werden.
Daher habe ich mir gerade folgendes überlegt:
Ich lege einen Hostnamen gateway.domain.de an als CNAME mit Verweis auf gw2.domain.de (Unitymedia). Wenn die jetzt down ist, ändere ich beim Hoster den CNAME auf gw1.domain.de (T-DSL). Dann bleibt die eigentlich aufgerufene Domain mit gateway.domain.de immer gleich, und ich bekomme keine SSL-Fehler.
Oder mache ich gerade einen Denkfehler?
Gegeben sei folgendes System:
Eine 16MBit T-DSL-Business Leitung mit statischer IP und einer Sophos UTM als Gateway. Es gibt eine Subdomain gw1.domain.de, die auf die statische IP per A-Record zeigt.
Intern gibt es u.a. einen Exchange-Server und noch ein paar andere Dienste. Um diese zu erreichen, gibt es verschiedene DNS-Namen, die per CNAME auf gw1.domain.de zeigen, wie z.b.
autodiscover.domain.de
mail.
imap.
remote.
webmail.
vpn.
etc...
Nun kommt eine zweite, schnellere 150Mbit-Internetleitung von Unitymedia Business hinzu, auch mit statischer IP. Der Uplink ist an einem eigenen Interface der Sophos angeschlossen, und über Multipath-Regeln kann man schön den ausgehenden Traffic steuern und bei einem Ausfall der Unitymedia-Leitung die DSL-Leitung als Failover nutzen.
Worüber ich mir nun den Kopf zerbreche, wäre die korrekte DNS-Konfiguration für den EINgehenden Traffic.
Wenn beide Leitungen gleich schnell wären, würde ich gw1.domain.tld einfach zwei A-Records geben mit beiden IPs. Es soll aber eingehend immer Unitymedia genutzt werden, weil die halt schneller ist, es sei denn, die fällt mal aus.
Daher erstelle ich für die statische IP von Unitymedia den Hostnamen gw2.domain.de, und stelle die obigen DNS-Einträge darauf um.
Logisch gesehen finde ich das aber jetzt falsch, weil nun mit gw1. und gw2. beide Hostnamen auf dasselbe Gateway bzw. denselben Host zeigen, der ja nur einen Hostnamen haben darf/kann/sollte, oder?
Könnte ich DNS-Einträge für die Leitungen anlegen (uplink1. & uplink2.domain.de) und dann gw1.domain.de per CNAME zur jeweils aktiven umleiten?
Oder wie richtet man sowas normalerweise sauber ein?
Danke im Voraus,
ipzipzap
EDIT:
Zusätzlich mache ich mir gerade noch Gedanken über SSL-Zertifikate. Wenn die UM-Leitung down ist und ich die DSL-Leitung benutze, würde sich ja der Hostname ändern, und die Zertifikate würden ungültig werden.
Daher habe ich mir gerade folgendes überlegt:
Ich lege einen Hostnamen gateway.domain.de an als CNAME mit Verweis auf gw2.domain.de (Unitymedia). Wenn die jetzt down ist, ändere ich beim Hoster den CNAME auf gw1.domain.de (T-DSL). Dann bleibt die eigentlich aufgerufene Domain mit gateway.domain.de immer gleich, und ich bekomme keine SSL-Fehler.
Oder mache ich gerade einen Denkfehler?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 303002
Url: https://administrator.de/contentid/303002
Ausgedruckt am: 03.12.2024 um 17:12 Uhr
3 Kommentare
Neuester Kommentar
Moin,
Damit dein Pla aber auf geht, ist es notwendig dass der CNAME-Eintrag einen sehr kleinen TTL-Wert hat. Sonst geht der Schuss nach hinten los. Denn viele Clients bzw. deren ISP werden den Eintrag cachen... und erst nach Ablauf des TTL wieder den Wert abfragen.
Gruß,
Dani
Ich lege einen Hostnamen gateway.domain.de an als CNAME mit Verweis auf gw2.domain.de (Unitymedia). Wenn die jetzt down ist, ändere ich beim Hoster den CNAME auf gw1.domain.de (T-DSL). Dann bleibt die eigentlich aufgerufene Domain mit gateway.domain.de immer gleich, und ich bekomme keine SSL-Fehler
Wird so funktionieren.Damit dein Pla aber auf geht, ist es notwendig dass der CNAME-Eintrag einen sehr kleinen TTL-Wert hat. Sonst geht der Schuss nach hinten los. Denn viele Clients bzw. deren ISP werden den Eintrag cachen... und erst nach Ablauf des TTL wieder den Wert abfragen.
Oder wie richtet man sowas normalerweise sauber ein?
Das wird jeder anders definieren. Wenn die veröffentlichen Dienste so wichtig sind, hätte ich auf SDSL oder EthernConnect gesetzt mit entsprechender Entstörzeit.Gruß,
Dani
Zitat von @ipzipzap:
Ich hatte jetzt gedacht, das es da ein Best-Practise zu gibt o.ä. Halt wie man sowas normalerweise richtig macht, wenn das Gateway mehrere Uplinks hat.
Ich hatte jetzt gedacht, das es da ein Best-Practise zu gibt o.ä. Halt wie man sowas normalerweise richtig macht, wenn das Gateway mehrere Uplinks hat.
Normalerweise wird das so angebunden, dass die verwendeten öffentlichen IPs bzw. das IP-Netz über beide Links erreichbar ist - entweder beim gleichen Provider über eine VRRP-Konfiguration oder (besser) per BGP mit mind. zwei verschiedenen Providern (https://de.wikipedia.org/wiki/Provider_Independent_Address_Space).
Bei SMB-Kunden scheitert selbst die erste Variante häufig schon am Geld, weshalb SMB-Firewalls dafür häufig den ein oder anderen Workaround unterstützen. ZyXELs USG-Serie hat beispielsweise diesbezüglich zwei Mechanismen: 1) DNS based Inbound Load Balancing, was sich aber nur sehr bedingt als Failovermechanismus nutzen lässt (der Focus hier liegt auf dem Loadbalancing eingehender Verbindungen) und 2) das DynDNS-Backup. Hier wird halt die öffentliche IP des primären WAN-Anschlusses bei einem DynDNS-Anbieter registriert und wenn diese Verbindung gestört ist, wird einfach dieser DNS-Eintrag automatisch auf die IP des anderen WAN-Anschlusses aktualisiert. Ich würde erwarten, dass Sophos letzteres auch kann.
Sinnvoll ist es für dieses Szenario, seine DNS-Zone bei einem kommerziellen DynDNS-Dienst zu haben. Alternativ kann man natürlich auch einen CNAME auf den DynDNS-Record verweisen lassen.
Im Prinzip ist das eigentlich nichts anderes, als Du Dir selbst überlegt hast - nur dass Du hier nicht manuell eingreifen musst.
Gruß
sk