17
Server über zwei WAN Leitungen mit Load Balancing verfügbar machen
Moin zusammen,
ich plane, einen Server im WAN über zwei Leitungen (Kabel und DSL) zwecks Ausfallsicherheit und Load Balancing verfügbar zu machen. Es sind zwei WAN Leitungen vorhanden mit zwei Modems, die in einer Firewall enden. Allerdings wird von aussen über einen DNS Namen ziel.domäne.tld zugegriffen.
Aktuell besteht hier noch ein Fallback Szenario, indem die DNS Weiterleitung manuell auf die entsprechende WAN IP umgestellt werden muss. Dies soll automatisiert werden, was man ja mit DNS Loadbalacing erreichen kann.
Die Domain liegt bei Strato, wo ich nur die DNS Weiterleitung auf die aktuelle WAN IP des genutzten Anschlusses einstellen kann. Zwei WAN IPs kann ich dort nicht eingeben.
Nun meine Frage: Wie bekomme ich das gelöst? Kann ich einen externen Dienst einbinden? Sollte ich selber was aufsetzen (vorzugsweise wahrscheinlich in einem RZ)?
mfg
ich plane, einen Server im WAN über zwei Leitungen (Kabel und DSL) zwecks Ausfallsicherheit und Load Balancing verfügbar zu machen. Es sind zwei WAN Leitungen vorhanden mit zwei Modems, die in einer Firewall enden. Allerdings wird von aussen über einen DNS Namen ziel.domäne.tld zugegriffen.
Aktuell besteht hier noch ein Fallback Szenario, indem die DNS Weiterleitung manuell auf die entsprechende WAN IP umgestellt werden muss. Dies soll automatisiert werden, was man ja mit DNS Loadbalacing erreichen kann.
Die Domain liegt bei Strato, wo ich nur die DNS Weiterleitung auf die aktuelle WAN IP des genutzten Anschlusses einstellen kann. Zwei WAN IPs kann ich dort nicht eingeben.
Nun meine Frage: Wie bekomme ich das gelöst? Kann ich einen externen Dienst einbinden? Sollte ich selber was aufsetzen (vorzugsweise wahrscheinlich in einem RZ)?
mfg
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 643052
Url: https://administrator.de/contentid/643052
Printed on: April 18, 2024 at 21:04 o'clock
17 Comments
Latest comment
Jeder stinknormale Dual WAN Load Balancing Router von der Stange kann sowas. Oder jeder Router der 3 oder mehr Ports hat.
Oder auch jede beliebige Firewall.
https://www.heise.de/select/ct/2016/24/1479992026108405
https://docs.netgate.com/pfsense/en/latest/multiwan/load-balance-and-fai ...
Alles eher simpel und kein Hexenwerk.
Oder auch jede beliebige Firewall.
https://www.heise.de/select/ct/2016/24/1479992026108405
https://docs.netgate.com/pfsense/en/latest/multiwan/load-balance-and-fai ...
Alles eher simpel und kein Hexenwerk.
Zitat von @aqui:
Jeder stinknormale Dual WAN Load Balancing Router von der Stange kann sowas. Oder jeder Router der 3 oder mehr Ports hat.
Oder auch jede beliebige Firewall.
https://www.heise.de/select/ct/2016/24/1479992026108405
https://docs.netgate.com/pfsense/en/latest/multiwan/load-balance-and-fai ...
Alles eher simpel und kein Hexenwerk.
Jeder stinknormale Dual WAN Load Balancing Router von der Stange kann sowas. Oder jeder Router der 3 oder mehr Ports hat.
Oder auch jede beliebige Firewall.
https://www.heise.de/select/ct/2016/24/1479992026108405
https://docs.netgate.com/pfsense/en/latest/multiwan/load-balance-and-fai ...
Alles eher simpel und kein Hexenwerk.
Sein Problem ist aber eher die Thematik, dass er intern.contoso.tld auf beide WAN-IPs lenken will/ muss.
Strato kann es (scheinbar) nicht.
Das Balancing an sich bzw. auch vom LAN/ der DMZ ins WAN ist dann wiederum mit den handelsüblichen, gescheiten Routern, kein Problem. Da hast du recht, @aqui
Hallo,
Du kannst einen günstigen oder hochverfügbaren kleinen virtuellen Server buchen und auf dem einen Loadbalancer oder Proxy installieren.
Je nachdem ob es sich um HTTP(s) oder etwas andere handelt.
Stefan
Du kannst einen günstigen oder hochverfügbaren kleinen virtuellen Server buchen und auf dem einen Loadbalancer oder Proxy installieren.
Je nachdem ob es sich um HTTP(s) oder etwas andere handelt.
Stefan
Du kannst quasi jeden belieben Domain-Registrar verwenden und deine Domain zu dem umziehen. Außer Strato ist mir bisher kein Registrar begegnet, der diese merkwürdigen DNS-Einschränkungen hatte.
INWX ist da z.B. ein Anbieter, bei dem ich selbst bin.
INWX ist da z.B. ein Anbieter, bei dem ich selbst bin.
Moin,
ich weiß nicht ob es hier ein Mißverständniss gibt.
Wenn ich das richtig verstehe sucht er ein Dual-WAN-Portforwarding-Automatic-DNS-Switching-Lösung.
1. Server bei im im Büro
2. 2 WAN Anschlüsse mit unterschiedlichen öffentlichen IPs mit jeweils Portforwarding für z.B. Port 443 auf diesen Server
3. Zugriff von außen über https://server.firma.de
Wie willst Du das rein mit DNS abbilden?
Aktuell zeigt deren Hostname auf die IP von WAN1 und bei einem Fehler ändert er manuell den Eintrag.
Auch 2 IPs eintragen bringt wenig weil der Browser bei jedem Zugriff mal den einen und mal den anderen Eintrag verwendet.
Man braucht also entweder einen Loadbalancer im Internet der die Verfügbarkeit überprüft und entsprechend weiterleitet oder einen Internetanbieter der einem mehrere Internetanschlüsse mit gleicher IP zur Verfügung stellt. MMLPxyTRd irgendwas. Keine Ahnung wie man das nennet.
ich weiß nicht ob es hier ein Mißverständniss gibt.
Wenn ich das richtig verstehe sucht er ein Dual-WAN-Portforwarding-Automatic-DNS-Switching-Lösung.
1. Server bei im im Büro
2. 2 WAN Anschlüsse mit unterschiedlichen öffentlichen IPs mit jeweils Portforwarding für z.B. Port 443 auf diesen Server
3. Zugriff von außen über https://server.firma.de
Wie willst Du das rein mit DNS abbilden?
Aktuell zeigt deren Hostname auf die IP von WAN1 und bei einem Fehler ändert er manuell den Eintrag.
Auch 2 IPs eintragen bringt wenig weil der Browser bei jedem Zugriff mal den einen und mal den anderen Eintrag verwendet.
Man braucht also entweder einen Loadbalancer im Internet der die Verfügbarkeit überprüft und entsprechend weiterleitet oder einen Internetanbieter der einem mehrere Internetanschlüsse mit gleicher IP zur Verfügung stellt. MMLPxyTRd irgendwas. Keine Ahnung wie man das nennet.
Sicher, das mit dem Proxy ist die coolere Lösung, keine Frage.
Aber DNS-RR mit zwei Einträgen bietet hier auch Failover, da der Browser so lange alle IPs durchkontaktiert, bis er Antwort bekommt.
Aber DNS-RR mit zwei Einträgen bietet hier auch Failover, da der Browser so lange alle IPs durchkontaktiert, bis er Antwort bekommt.
Zitat von @LordGurke:
Aber DNS-RR mit zwei Einträgen bietet hier auch Failover, da der Browser so lange alle IPs durchkontaktiert, bis er Antwort bekommt.
Sicher?Aber DNS-RR mit zwei Einträgen bietet hier auch Failover, da der Browser so lange alle IPs durchkontaktiert, bis er Antwort bekommt.
Als ich das das letzt Mal probiert (vor 1-2 Jahren) hatte führt das nur zu geht, geht nicht, geht, geht nicht.
Stefan
DNS-RR macht doch mit IPv6 Probleme und ist auch statisch... Das wäre zwar schön einfach, aber leider keine sinnvolle Lösung,
Hallo,
DNS-RR könnte aber allgemein doch eine Lösung sein.
Dazu braucht man aber 3 Dinge.
1. eine kurze TTL von sagen wir mal 60 Sekunden
2. einen DNS-Server-Anbieter mit API
3. eine Software welche alle 60 Sekunden die Erreichbarkeit eines Dienstes überprüft und ausgefallen Ports am DNS-Server per API löscht
Dann würde spätestens nach 120 Sekunden der Browser eine aktuelle IP erhalten.
Kennt Jemand per Zufall einen Anbieter der so etwas anbietet?
Ich habe eine handvoll Kunden für die so etwas interessant wäre für OWA.
DNS-RR
https://de.wikipedia.org/wiki/Lastverteilung_per_DNS
Stefan
DNS-RR könnte aber allgemein doch eine Lösung sein.
Dazu braucht man aber 3 Dinge.
1. eine kurze TTL von sagen wir mal 60 Sekunden
2. einen DNS-Server-Anbieter mit API
3. eine Software welche alle 60 Sekunden die Erreichbarkeit eines Dienstes überprüft und ausgefallen Ports am DNS-Server per API löscht
Dann würde spätestens nach 120 Sekunden der Browser eine aktuelle IP erhalten.
Kennt Jemand per Zufall einen Anbieter der so etwas anbietet?
Ich habe eine handvoll Kunden für die so etwas interessant wäre für OWA.
DNS-RR
https://de.wikipedia.org/wiki/Lastverteilung_per_DNS
Stefan
Die Firewalls von ZyXEL bieten ein Feature namens "DNS Inbound Load Balancing". Der KB-Artikel dazu ist Mist, aber im User-Guide wars meiner Erinnerung nach gut erklärt.
Dafür muss die DNS-Auflösung des Ziel-Hosts auf die Zywall delegiert werden. Diese gibt dann auf die Anfrage dynamisch die WAN-IP zurück, welche nach dem gewählten Algorithmus die beste ist. Getestet habe ich das noch nie, weil ich der Meinung bin, dass auf einer Firewall kein extern ansprechbarer DNS-Dienst zu laufen hat. Wie gut das - gerade in Hinblick nicht nur auf Loadbalancing sondern auch auf Failover - funktioniert, kann ich daher leider nicht sagen.
Gruß
sk
Dafür muss die DNS-Auflösung des Ziel-Hosts auf die Zywall delegiert werden. Diese gibt dann auf die Anfrage dynamisch die WAN-IP zurück, welche nach dem gewählten Algorithmus die beste ist. Getestet habe ich das noch nie, weil ich der Meinung bin, dass auf einer Firewall kein extern ansprechbarer DNS-Dienst zu laufen hat. Wie gut das - gerade in Hinblick nicht nur auf Loadbalancing sondern auch auf Failover - funktioniert, kann ich daher leider nicht sagen.
Gruß
sk
Hallo,
klingt nach DynDNS.
Außerdem kannst Du von Innen ja nur testen ob die Leitung ausgehend ok ist.
Nicht ob die Portweiterleitung ggf. vom Provider blockiert wird.
Stefan
klingt nach DynDNS.
Außerdem kannst Du von Innen ja nur testen ob die Leitung ausgehend ok ist.
Nicht ob die Portweiterleitung ggf. vom Provider blockiert wird.
Stefan
Zitat von @tobitobsn:
DNS-RR macht doch mit IPv6 Probleme und ist auch statisch... Das wäre zwar schön einfach, aber leider keine sinnvolle Lösung,
DNS-RR macht doch mit IPv6 Probleme und ist auch statisch... Das wäre zwar schön einfach, aber leider keine sinnvolle Lösung,
Inwiefern ist da jetzt IPv6 problematisch?
Meinst du den Fallback von IPv6 nach IPv4 a.k.a. "Happy Eyeballs"?
An sich ist DNS-RR aber genau für diese Zweck gedacht: Lastverteilung und Redundanz.
Redundanz ist aber etwas, was der Client unterstützen muss und häufig sind die Timeouts so lang, dass Benutzer nicht warten oder die Clients selbst in interne Timeouts rennen.
Von daher ist tatsächlich ein Reverse-Proxy geschickter, der ja über zyklische HTTP-Anfragen sogar testen kann, welche der Verbindungen funktioniert und welche ggf. gerade schneller ist.
Nachteil ist, dass du damit den SPOF auf ebendiesen Server verlagerst.
Moin,
kannst du meiner Meinung nach nur mit einem Load Balancer as a Service bei einem Hoster sauber und zuverlässig lösen. Bekommt man ab 15,00€/Monat. Hängt natürlich auch von den Wünschen ab. Alles andere ist zu teuer (z.B. eigenes AS mit dyn. Routing) oder zu fehleranfällig (z.B. DNS Round Robin, Monitoring Skript welches bei Ereignis A zugleich Aktion A ausführt).
Gruß,
Dani
kannst du meiner Meinung nach nur mit einem Load Balancer as a Service bei einem Hoster sauber und zuverlässig lösen. Bekommt man ab 15,00€/Monat. Hängt natürlich auch von den Wünschen ab. Alles andere ist zu teuer (z.B. eigenes AS mit dyn. Routing) oder zu fehleranfällig (z.B. DNS Round Robin, Monitoring Skript welches bei Ereignis A zugleich Aktion A ausführt).
Gruß,
Dani
Hallo Dani,
Hast Du einen konkreten Link?
Ich wüßte nur wie ich es selber mache.
Stefan
Zitat von @Dani:
kannst du meiner Meinung nach nur mit einem Load Balancer as a Service bei einem Hoster sauber und zuverlässig lösen. Bekommt man ab 15,00€/Monat.
kannst du meiner Meinung nach nur mit einem Load Balancer as a Service bei einem Hoster sauber und zuverlässig lösen. Bekommt man ab 15,00€/Monat.
Hast Du einen konkreten Link?
Ich wüßte nur wie ich es selber mache.
Stefan
Thema hat sich bei uns aktuell erstmal erledigt, da nun auf eine komplett andere Lösung (Realisierung der Zugriffe über zwei VPN Server - Client prüft beide Server auf Verbindung) gesetzt wurde. Beim nächsten Mal würde ich aber entweder einen Loadbalancer (VM) bei Hetzner buchen oder eine eigene VM mit einem NGINX mit dieser Funktion aufsetzen.
Bitte dann auch den Thread schliessen und auf gelöst setzen !
How can I mark a post as solved?
How can I mark a post as solved?
