raxxis990
Goto Top

Szenario für LWL Ausfall Standort zu Standort über VPN?

Guten Abend ihr Lieben,

Ich bin aktuell damit etwas beschäftigt eine Art Netzwerk Backup Strategie zu entwerfen.

Im Standort Technik steht / Liegt der VMware Cluster mit Vm´s für Außenstelle 1 und 2.
Am Standort Technik Ist ein Netgear M4300 8X-8F Switch von hier geht es mit 2 SM LWL Fasern ( LACP LAG ) zu Außenstelle 1 dort ist der gleiche Switch und von hier wieder weiter mit 2 SM LWL Fasern ( LACP LAG ) zur Außenstelle 2.

Am Technik Standort ist ein HA Verbund zweier Sophos XGS 3100 sowie 2 WAN Anschlüsse. Außenstelle 2 bekommt ein WAN Anschluss per LWL Strecke vom Technik Standort mit sowie der 2. WAN Anschluss per Richtfunk.

Somit sind an der Sophos XGS 116 an der Außenstelle 2 Zwei WAN Anschlüsse. Beide Sophos sind über 2 IPSec Tunnel als Failover Gruppe Verbunden fällt einer aus übernimmt der andere.


JETZT KOMMT DER AUSFALL!!!!

Wir nehmen mal an es wird irgendwo gebaut und es wir die LWL Strecke Zerstört egal wo wie bekomme ich ein Failover vom Technik Standort zur Außenstelle 2 wenn das LWL Weg ist?

Ich komme vom Standort Technik per VPN zum Prod Netz der Außenstelle 2 um Manuell Einstellungen an Pumpen , Schiebern, Ventilen oder der SPS zu machen . Aber ich habe keine Verbindung zu den Servern weil die nicht im Main Netz 10.0.4.0/23 hängen es also keine Verbindung per Kabel gibt.


Was würde es für Möglichkeiten geben? Wie könnte ich das umsetzen?


Plan für die Zukunft wenn Technisch Möglich und umsetzbar eine Richtfunk Strecke von Standort Technik zur Außenstelle 1 und dann zu 2 da keine Direkte Sicht .


Ich glaube ein Ausfall der LWL Strecke durch Erdarbeiten ist gering da neben dem LVL Kabel die Fernwärme und Gas Leitung liegt.
screenshot 2024-07-01 214659

Content-ID: 23330923472

Url: https://administrator.de/contentid/23330923472

Ausgedruckt am: 21.11.2024 um 19:11 Uhr

tikayevent
tikayevent 01.07.2024 um 21:57:48 Uhr
Goto Top
Ich kenn Sophos nicht, kann also nicht sagen, ob die es beherrschen, aber ich lege in diesem Fall auf den IPSec-Tunnel einen GRE-Tunnel und über den Tunnel lass ich dann ein Routingprotokoll laufen (idealerweise nicht RIP). Über die Hauptverbindung muss ebenfalls das Routingprotokoll laufen, in dem Fall so konfiguriert, dass die Direktverbindung bevorzugt wird.

Wenn also die Glasfaserverbindung gefressen wird, erkennt einer der betroffenen Router das Ausbleiben der Routingupdates und das Netz sucht sich einen anderen Weg.
raxxis990
raxxis990 01.07.2024 um 22:26:01 Uhr
Goto Top
Also die Sophos kann im Routing SD-WAN-Routen, Statische Routen, BGB, OSPF, OSPFv3, RIP.

Site to Site VPN : IPSec und SSL-VPN

Dazu müsste doch aber der 1. Netgear an der HA Sophos sein und das ist er ja gar nicht oder irre ich mich da jetzt?
aqui
aqui 01.07.2024, aktualisiert am 02.07.2024 um 13:30:57 Uhr
Goto Top
Alternative wäre ein VxLAN Tunnel was sich anbieten würde wenn du eine VmWare Infrastruktur hast und in RZ und Backup RZ die gleichen IP Netze liegen (müssen).
Damit kannst du die Servernetze per Layer 2 verbinden und das wäre ein klassischer Lösungsansatz für ein Backup RZ.
Man kann es nicht nur mit den ESXi Hosts direkt lösen sondern viele Router und Firewalls supporten das ebenfalls einige Low Budget Produkte wie z.B. Mikrotik oder OPNsense. Ein Mischbetrieb ist ebenso möglich.
VLAN über Site2Site VPN
Das zugrundeliegende IP Netz mit den redundanten Links routest du in jedem Falle dynamisch mit OSPF etc. um ein schnelles, automatisches Failover realisieren zu können!
ipzipzap
ipzipzap 02.07.2024 um 11:10:53 Uhr
Goto Top
Bei der Sophos SG UTM konnte man einen RED-Tunnel* erstellen, der dann als Interface für OSPF verfügbar war.

Ich hatte damit zwei Standorte verbunden, einmal per VPN übers Internet, aber langsam mit nur 16MBit/s, und einmal per WLAN-Richtfunk mit 600MBit/s. Fiel die Richtfunkstrecke aus, hat OSPF innerhalb von drei Sekunden das Routing auf das VPN umgeschaltet.

cu,
ipzipzap


*Technisch war das auch nur ein simpler GRE-Tunnel.
Spirit-of-Eli
Spirit-of-Eli 02.07.2024 um 11:17:39 Uhr
Goto Top
Moin,

Bau einfach mehrere VPN Tunnel auf und Route den Traffic entsprechend nach einer Failover Regel. Z.b. mit OSPF.

Gruß
Spirit
aqui
aqui 08.07.2024 um 09:45:30 Uhr
Goto Top
Wenn es das denn nun war bitte dann auch nicht vergessen deinen Thread hier als erledigt zu schliessen!
Wie kann ich einen Beitrag als gelöst markieren?