8
Redundante Internetverbindung richtig umsetzen ?
Hallo zusammen,
wir sind aktuell dabei unser Netztwerk umzustrukturieren. Anbei das Schema nachdem das Ganze umgesetzt werden soll.
Nun geht es mir darum, die Verbindung nach Außen redundant zu gestalten.
Wir nutzen aktuell VDSL über M-Net zusammen mit einer ISDN Anbindung der Telefonanlage, da M-Net bis 2020 ISDN garantiert besteht von unserer Seite hier aktuell kein Handlungsbedarf.
Die DSL Verbindung selbst ist jedoch nicht immer wirklich stabil und sorgt regelmäßig dafür, dass, besonders in Stoßzeiten, Emails stark verzögert versandt bzw. empfangen werden.
Als Firewalls sollen WatchGuard M200 genutzt werden, ( einmal aktiv, einmal als HA-System ) die WAN-Failover unterstützen.
Meine Idee wäre jetzt, jeder Firewall jeweils zwei Modems vorzuschalten, die jeweils die Verbindungsparameter der zwei verschiedenen DSL Verbindungen konfiguriert haben.
Habe gesehen es wäre auch möglich dies mit einem Multi-Modem zu lösen dass ein automatisches Failover macht, aber mir wäre die zwei Modem Lösung lieber.
Wir sind uns jedoch noch nicht sicher wie wir dei zweite Verbindung realisieren, zur Auswahl steht entweder ein zweiter DSL Anbieter ( dann wäre jedoch die Redundanz flöten wenn es ein generelles Problem auf der Leitung zur Firma gibt ) oder eine Lösung mit einem LTE Modem. ( hat hiermit jemand Erfahrungen im betrieblichen Umfeld gesammelt? ).
Wäre über alle Ratschläge und / oder Denkanstöße dankbar.
wir sind aktuell dabei unser Netztwerk umzustrukturieren. Anbei das Schema nachdem das Ganze umgesetzt werden soll.
Nun geht es mir darum, die Verbindung nach Außen redundant zu gestalten.
Wir nutzen aktuell VDSL über M-Net zusammen mit einer ISDN Anbindung der Telefonanlage, da M-Net bis 2020 ISDN garantiert besteht von unserer Seite hier aktuell kein Handlungsbedarf.
Die DSL Verbindung selbst ist jedoch nicht immer wirklich stabil und sorgt regelmäßig dafür, dass, besonders in Stoßzeiten, Emails stark verzögert versandt bzw. empfangen werden.
Als Firewalls sollen WatchGuard M200 genutzt werden, ( einmal aktiv, einmal als HA-System ) die WAN-Failover unterstützen.
Meine Idee wäre jetzt, jeder Firewall jeweils zwei Modems vorzuschalten, die jeweils die Verbindungsparameter der zwei verschiedenen DSL Verbindungen konfiguriert haben.
Habe gesehen es wäre auch möglich dies mit einem Multi-Modem zu lösen dass ein automatisches Failover macht, aber mir wäre die zwei Modem Lösung lieber.
Wir sind uns jedoch noch nicht sicher wie wir dei zweite Verbindung realisieren, zur Auswahl steht entweder ein zweiter DSL Anbieter ( dann wäre jedoch die Redundanz flöten wenn es ein generelles Problem auf der Leitung zur Firma gibt ) oder eine Lösung mit einem LTE Modem. ( hat hiermit jemand Erfahrungen im betrieblichen Umfeld gesammelt? ).
Wäre über alle Ratschläge und / oder Denkanstöße dankbar.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 327290
Url: https://administrator.de/contentid/327290
Printed on: April 19, 2024 at 14:04 o'clock
8 Comments
Latest comment
Meine Idee wäre jetzt, jeder Firewall jeweils zwei Modems vorzuschalten, die jeweils die Verbindungsparameter der zwei verschiedenen DSL Verbindungen konfiguriert haben.
Und dann beide Modems parallel an den DSL-Anschluss? Das geht nicht, die Modems nehmen sich gegenseitig die Synchronisation weg.Eine richtige Redundanz, insbesondere in Hinblick auf IPv6, funktioniert nur mit einem autonomen System.
Moin,
LG, Thomas
oder eine Lösung mit einem LTE Modem
nimm einen Lancom 1781VA-4G und lass den das WAN-backup machen ...LG, Thomas
Moin,
Ich stelle - ohne zunächst eine Lösung dafür zu kennen - mal die Anmerkung in den Raum:
Wie verschickt ihr eure Mails?
Geht ihr über einen externen Hoster oder direkt und habt einen mx-Record auf eure feste IP am VDSL?
Nicht, das bei letzterem dann bei dem Versand über LTE eure versendeten Mails bei dem Empfänger als Spam ankommen, weil DNS-Eintrag nicht zur IP passt...
Was man machen könnte:
Die Frage wäre, warum euer VDSL instabil ist!?
Zu viele und zu große Mails? -> Hier könnte man mit QoS arbeiten
Neben Mail noch andere Dienste (VPN, Video/ Flash-Srreams, ...) aktiv?
Technische Mängel -> holt euren Provider ins Boot
Gruß
em-pie
Ich stelle - ohne zunächst eine Lösung dafür zu kennen - mal die Anmerkung in den Raum:
Wie verschickt ihr eure Mails?
Geht ihr über einen externen Hoster oder direkt und habt einen mx-Record auf eure feste IP am VDSL?
Nicht, das bei letzterem dann bei dem Versand über LTE eure versendeten Mails bei dem Empfänger als Spam ankommen, weil DNS-Eintrag nicht zur IP passt...
Was man machen könnte:
- Surfen über 4G
- Mails & CO über VDSL...
Die Frage wäre, warum euer VDSL instabil ist!?
Zu viele und zu große Mails? -> Hier könnte man mit QoS arbeiten
Neben Mail noch andere Dienste (VPN, Video/ Flash-Srreams, ...) aktiv?
Technische Mängel -> holt euren Provider ins Boot
Gruß
em-pie
Macht Sinn, den Punkt hatte ich nicht beachtet 
Sorry wenn ich so blöd frage, aber was meinst du mit " funktioniert nur mit einem autonomen System"?
Sorry wenn ich so blöd frage, aber was meinst du mit " funktioniert nur mit einem autonomen System"?
Es wäre zwar möglich diesen Punkt durchzugehen, wäre in dem Fall aber nicht zielführend, da der Einbruch bzw. die Instabilität durch eine neue Firma entstanden ist, die 3x am Tag einen Serverabgleich mit einem redundanten System in der Schweiz fährt und dadurch die komplette Anbindung des Gewerbegebiets in dem wir sitzen in den Keller zieht. Ich hatte jetzt nur explizit Emails erwähnt, da es bei uns den geschäftskritischen Bereich ausmacht.
Hmm...
das ist ja dann ein völlig anderer Umstand...
Was sagt denn euer Provider?
Habt ihr eine garantierte Mindestbandbreite?
Stünde ein anderer Anbieter/ eine andere Technologie (z.B. Kabeltechnik) zur Auswahl?
Kann ja nicht sein, dass nur weil ein Nachbar seine Kapazitäten ausschöpft, ihr alle nicht produktiv agieren könnt, bzw. schon fast mit Leitungsausfällen zu kämpfen habt...
das ist ja dann ein völlig anderer Umstand...
Was sagt denn euer Provider?
Habt ihr eine garantierte Mindestbandbreite?
Stünde ein anderer Anbieter/ eine andere Technologie (z.B. Kabeltechnik) zur Auswahl?
Kann ja nicht sein, dass nur weil ein Nachbar seine Kapazitäten ausschöpft, ihr alle nicht produktiv agieren könnt, bzw. schon fast mit Leitungsausfällen zu kämpfen habt...
Hallo,
ist das alles ein HA Konzept oder nur redundant aufgebaut oder sogar nur der WAN Bereich doppelt?
Redundant = ~25.000 Euro und HA = ~150.000 Euro, oder soll nur die WAN-Struktur redundant sein?
- Was für Protokolle werden denn verwendet?
CARP / VRRP / HSPR / RIP / OSPF / BGP oder was genau?
- Ist es eventuell möglich ein BGP Netz vom ISP zu bekommen oder eventuell sogar Business Anschlüsse eventuell gar ein oder zwei FTTH Anschlüsse mit 100, 200 oder gar 400 MBit/s?
An irgend etwas muss es ja hapern wenn die Mails nur Zeitversetzt versendet werden, oder!?
- Ich würde hinter den beiden Firewalls oder Routern einen oder zwei zentrale Switche als Core installierenUnd diese Switche sollten dann auch Layer3 Switche sein die einige oder alle der verwendeten Protokolle am WAN Interface unterstützen.
- Die Modems kann man entweder direkt an die Firewalls oder aber an einen davor gelagerten Switch anschließen.
Der Switch sollte ein verdammt schnell sein und VLANs unterstützen.
- Es sollte nur eine DMZ vorhanden sein und die sollte auch von beiden Firewalls aus bedient werden können.
Gruß
Dobby
ist das alles ein HA Konzept oder nur redundant aufgebaut oder sogar nur der WAN Bereich doppelt?
Redundant = ~25.000 Euro und HA = ~150.000 Euro, oder soll nur die WAN-Struktur redundant sein?
- Was für Protokolle werden denn verwendet?
CARP / VRRP / HSPR / RIP / OSPF / BGP oder was genau?
- Ist es eventuell möglich ein BGP Netz vom ISP zu bekommen oder eventuell sogar Business Anschlüsse eventuell gar ein oder zwei FTTH Anschlüsse mit 100, 200 oder gar 400 MBit/s?
An irgend etwas muss es ja hapern wenn die Mails nur Zeitversetzt versendet werden, oder!?
- Ich würde hinter den beiden Firewalls oder Routern einen oder zwei zentrale Switche als Core installierenUnd diese Switche sollten dann auch Layer3 Switche sein die einige oder alle der verwendeten Protokolle am WAN Interface unterstützen.
- Die Modems kann man entweder direkt an die Firewalls oder aber an einen davor gelagerten Switch anschließen.
Der Switch sollte ein verdammt schnell sein und VLANs unterstützen.
- Es sollte nur eine DMZ vorhanden sein und die sollte auch von beiden Firewalls aus bedient werden können.
Gruß
Dobby
Ist zwar schon ein wenig älter aber ich geb trotzdem mal mein Senf dazu =)
Frag doch mal bei deinem ISP nach.
Ich arbeite ebenfalls bei einem Provider und wir machen das sehr häufig für Kunden. Szenario sieht dann zwei cisco Router vor deinen (oder auch Provider) Firewalls. Leitungen am besten 2 verschiedene Technologien. Zum Beispiel eine Dedicated Leases Line und VDSL. Damit das funktioniert ist wie oben erwähnt aber einiges Wissen notwendig von HSRP, OSPF und BGP Protokollen.
Vergiss bitte 4G! XD Normalerweise erhältst du mit SIM Karten eine private IP Adresse und der ISP macht in seinem Backbone irgendwo ein NAT. Spätestens wenn irgendwann einmal noch VoIP in die Geschichte einsteigt wird das sehr unschön. Praktisch unmöglich zum Troubleshooten.
Gruss John
Frag doch mal bei deinem ISP nach.
Ich arbeite ebenfalls bei einem Provider und wir machen das sehr häufig für Kunden. Szenario sieht dann zwei cisco Router vor deinen (oder auch Provider) Firewalls. Leitungen am besten 2 verschiedene Technologien. Zum Beispiel eine Dedicated Leases Line und VDSL. Damit das funktioniert ist wie oben erwähnt aber einiges Wissen notwendig von HSRP, OSPF und BGP Protokollen.
Vergiss bitte 4G! XD Normalerweise erhältst du mit SIM Karten eine private IP Adresse und der ISP macht in seinem Backbone irgendwo ein NAT. Spätestens wenn irgendwann einmal noch VoIP in die Geschichte einsteigt wird das sehr unschön. Praktisch unmöglich zum Troubleshooten.
Gruss John
