4
Server in DMZ über zwei Leitungen erreichbar machen?
Hallo Forum,
hat jemand Erfahrung mit dem möglichst ausfallfreien Umzug von öffentlich erreichbaren Servern von einem Provider zum anderen?
Wir haben eine schnellere Standleitung bekommen, die alte ist noch in Betrieb.
Da wir diverse Windows-Server in einer DMZ haben, die von Kunden zuverlässig erreicht werden müssen, muss der Übergang von einer Leitung zur anderen möglichst störungsfrei erfolgen.
Für beide Leitungen sind separate Router vorhanden, eine zusätzliche neue Firewall ist verfügbar.
Unsere Kunden nutzen DNS-Namen um auf die Server zuzugreifen. Hier sehe ich das Problem, dass nicht sichergestellt ist, dass eine Änderung der IP-Adresse in kurzer Zeit beim Kunden greift.
Hat jemand eine Idee wie ich den gleichzeitigen Zugriff von beiden Leitungen aus ermöglichen könnte?
Das hätte den Vorteil dass die DNS-Änderung in Ruhe greifen könnte.
Ich bekomme den Zugriff immer nur über eine Leitung hin indem ich das Standardgateway umstelle.
Ist ja auch logisch, die Pakete kennen den Weg zur zweiten Leitung nicht.
Ich kann und möchte aus mehreren Gründen nicht alle Server parallel auf anderer Hardware aufsetzen.
Ich würde mich über einen hilfreichen Tipp freuen, bisher habe ich nichts brauchbares gefunden.
Schönen Gruß,
M. Kammerer
hat jemand Erfahrung mit dem möglichst ausfallfreien Umzug von öffentlich erreichbaren Servern von einem Provider zum anderen?
Wir haben eine schnellere Standleitung bekommen, die alte ist noch in Betrieb.
Da wir diverse Windows-Server in einer DMZ haben, die von Kunden zuverlässig erreicht werden müssen, muss der Übergang von einer Leitung zur anderen möglichst störungsfrei erfolgen.
Für beide Leitungen sind separate Router vorhanden, eine zusätzliche neue Firewall ist verfügbar.
Unsere Kunden nutzen DNS-Namen um auf die Server zuzugreifen. Hier sehe ich das Problem, dass nicht sichergestellt ist, dass eine Änderung der IP-Adresse in kurzer Zeit beim Kunden greift.
Hat jemand eine Idee wie ich den gleichzeitigen Zugriff von beiden Leitungen aus ermöglichen könnte?
Das hätte den Vorteil dass die DNS-Änderung in Ruhe greifen könnte.
Ich bekomme den Zugriff immer nur über eine Leitung hin indem ich das Standardgateway umstelle.
Ist ja auch logisch, die Pakete kennen den Weg zur zweiten Leitung nicht.
Ich kann und möchte aus mehreren Gründen nicht alle Server parallel auf anderer Hardware aufsetzen.
Ich würde mich über einen hilfreichen Tipp freuen, bisher habe ich nichts brauchbares gefunden.
Schönen Gruß,
M. Kammerer
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 119670
Url: https://administrator.de/forum/server-in-dmz-ueber-zwei-leitungen-erreichbar-machen-119670.html
Ausgedruckt am: 26.04.2025 um 08:04 Uhr
4 Kommentare
Neuester Kommentar
Das ist eigentlich nicht schwer. Entweder du benutzt einen Link Loadbalancer was aber eine weitere Anschaffung bedeutet oder... Du benutzt VRRP auf den Routern mit einer virtuellen IP.
Für Details müsste man mehr wissen wie die Anbindung genau realisiert ist. Mit deienr oberflächlichen Beschreibung ist das nur schwer möglich ohne ins Raten zu kommen...!
Für Details müsste man mehr wissen wie die Anbindung genau realisiert ist. Mit deienr oberflächlichen Beschreibung ist das nur schwer möglich ohne ins Raten zu kommen...!
Gut, ich versuche die Anbindung etwas genauer zu erläutern. Ist allerdings etwas kompliziert weil die alte und neue Anbindung jeweils redundant ausgelegt sind. Und ich auch nicht weiß welche Infos hilfreich und nötig sind. 
Alte Anbindung:
Ein Cisco-Router mit zwei Einschüben und daran je eine Leitung verschiedener Anbieter die bei unserem Provider wieder zusammenlaufen. Vom Router ein Kabel zur Firewall (ältere Netscreen). Nutzung von drei Zonen (Untrust, DMZ, Trust)
Neue Anbindung:
Zwei Cisco-Router, daran wieder je eine Leitung zum Provider. Von den Routern je ein Kabel zu einem Switch, von dort ein Kabel zur Firewall (Juniper SSG140). Eine Leitung ist 100 MBit synchron von M-net, die andere 3x 2 MBit zusammengefasst zu einer 6 MBit-Leitung von der Telekom für Redundanz.
Die öffentlichen DNS-Einträge verwaltet unser alter Provider, das bleibt auch erstmal so.
Mit der Konfiguration von Cisco-Routern bin ich nicht so vertraut, da hier seltenst etwas daran zu ändern ist macht das der Provider.
Bitte Bescheid geben was noch an Infos fehlt, danke!
Alte Anbindung:
Ein Cisco-Router mit zwei Einschüben und daran je eine Leitung verschiedener Anbieter die bei unserem Provider wieder zusammenlaufen. Vom Router ein Kabel zur Firewall (ältere Netscreen). Nutzung von drei Zonen (Untrust, DMZ, Trust)
Neue Anbindung:
Zwei Cisco-Router, daran wieder je eine Leitung zum Provider. Von den Routern je ein Kabel zu einem Switch, von dort ein Kabel zur Firewall (Juniper SSG140). Eine Leitung ist 100 MBit synchron von M-net, die andere 3x 2 MBit zusammengefasst zu einer 6 MBit-Leitung von der Telekom für Redundanz.
Die öffentlichen DNS-Einträge verwaltet unser alter Provider, das bleibt auch erstmal so.
Mit der Konfiguration von Cisco-Routern bin ich nicht so vertraut, da hier seltenst etwas daran zu ändern ist macht das der Provider.
Bitte Bescheid geben was noch an Infos fehlt, danke!
Wenn du an den Ciscos nichts konfigurieren kannst, dann hast du keine Chance !!
Zwischen den Routern machst du VRRP oder HSRP mit einer VIP. Dann Policy based Routing zum Provider je nachdem was du über welche Leitung nutzen willst.
Alternative ist ein dynamisches Routing Protokoll mit einer customizten Priority Steuerung.
Diese beiden Szenarien sind bei solchen Standarddesigns wie du sie hast mehr oder weniger Tagesgeschäft für einen Provider, wenn du es nicht machen willst oder kannst auf den Ciscos. Das sollte er also problemlos umsetzen können !
Nebenbei: 3 mal 2 Mbit kann man technisch nicht auf 6 Mbit zusammenfassen !! Die Geschwindigkeit pro Session bleibt immer auf 2 Mbit begrenzt. Lediglich die Kapazität der Leitung wird verdreifacht. Vermutlich kannst du das sogar selber noch nichtmal kontollieren ob das so gemacht ist... Das ist der Nachteil wenn man einem Provider vertrauen muss...
Wenn man weiss was man macht ist deine Anforderung in 10 Minuten umgesetzt auf den Geräten in der Konfig !
Diese Art der Standard Anbindung hat mehr oder weniger jeder der sich an einen Provider verkauft, deshalb ist das nichts ungewöhnliches und dein Anliegen sehr einfach mit ein paar Konfig Kommandos umzusetzen !
Du musst aber an die Router ran...sonst ist dein Anliegen logischerweise nicht umzusetzen ohne zusätzliche Hardware...das ist klar !
Diese zusätzliche Hardware wäre dann z.B. eine Link Loadbalancer von F5 oder Foundry/Brocade
Zwischen den Routern machst du VRRP oder HSRP mit einer VIP. Dann Policy based Routing zum Provider je nachdem was du über welche Leitung nutzen willst.
Alternative ist ein dynamisches Routing Protokoll mit einer customizten Priority Steuerung.
Diese beiden Szenarien sind bei solchen Standarddesigns wie du sie hast mehr oder weniger Tagesgeschäft für einen Provider, wenn du es nicht machen willst oder kannst auf den Ciscos. Das sollte er also problemlos umsetzen können !
Nebenbei: 3 mal 2 Mbit kann man technisch nicht auf 6 Mbit zusammenfassen !! Die Geschwindigkeit pro Session bleibt immer auf 2 Mbit begrenzt. Lediglich die Kapazität der Leitung wird verdreifacht. Vermutlich kannst du das sogar selber noch nichtmal kontollieren ob das so gemacht ist... Das ist der Nachteil wenn man einem Provider vertrauen muss...
Wenn man weiss was man macht ist deine Anforderung in 10 Minuten umgesetzt auf den Geräten in der Konfig !
Diese Art der Standard Anbindung hat mehr oder weniger jeder der sich an einen Provider verkauft, deshalb ist das nichts ungewöhnliches und dein Anliegen sehr einfach mit ein paar Konfig Kommandos umzusetzen !
Du musst aber an die Router ran...sonst ist dein Anliegen logischerweise nicht umzusetzen ohne zusätzliche Hardware...das ist klar !
Diese zusätzliche Hardware wäre dann z.B. eine Link Loadbalancer von F5 oder Foundry/Brocade
Habe die Umstellung ohne Cisco-Kenntnisse mit den Mitteln des kleinen Mannes ganz gut hinbekommen. 
Für den Mailserver wurde frühzeitig ein MX-Eintrag hinzugefügt, an die alte Leitung habe ich für FTP den Redundanzserver hingehängt und für HTTP einen Redirect gemacht.
Dank Parallelbetrieb beider Anbindungen konnte ich DNS-Nachzüglern nachgehen.
Bisher keine Beschwerden. Ein paar wird es vielleicht noch geben wenn die alte Leitung abgeschaltet wird.
Schönen Gruß,
Michael
Für den Mailserver wurde frühzeitig ein MX-Eintrag hinzugefügt, an die alte Leitung habe ich für FTP den Redundanzserver hingehängt und für HTTP einen Redirect gemacht.
Dank Parallelbetrieb beider Anbindungen konnte ich DNS-Nachzüglern nachgehen.
Bisher keine Beschwerden. Ein paar wird es vielleicht noch geben wenn die alte Leitung abgeschaltet wird.
Schönen Gruß,
Michael
