VPN-Router in Zentrale redundant machen
Hallo zusammen,
unsere Zentrale ist aktuell über einen ADSL-Anschluss mit dem Internet verbunden.
Die Aussenstellen (M2M) sind auch über DSL, GPRS und auch LTE angebunden. Die VPN-Tunnel (IPSec) werden von den Aussenstellen zur Zentrale (mit fester IP) aufgebaut. Funktioniert ganz ordentlich.
Nun möchten wir aus Redundanzgründen in der Zentrale aufrüsten. Aktuell enden alle VPN-Tunnel auf dem selben Router (hinter einem externen Modem). Sollte dieser Router ausfallen (oder auch das Modem davor) hätten wir ein Problem. Im Moment helfen wir uns damit, dass wir denselben Router und dasselbe Modem mit derselben Config ein zweites Mal liegen haben. Bei Ausfall müssten wir das Gerät austauschen.
Diesen Zustand möchten wir abschaffen. Unser Ziel ist es, im ersten Schritt eine permanente Redundanz zu schaffen, sodass ein weiteres Gerät automatisch den Betrieb übernimmt, wenn es einen Ausfall gibt. Später könnte ich mir eine Lösung mit einem zusätzlichen Anschluss (zweiter Weg ins Gebäude) denken, soweit sind wir aber noch nicht.
Ich habe schon intensiv im Netz gesucht. Eine gute Lösung habe ich bisher noch nicht gefunden. Wie kann man einen Router (äh, mehrere Router) redundant machen?
Kennt jemand Tutorials, Hardware-Empfehlungen, Whitepapers, die mir hier weiterhelfen können?
Danke und Grüße!
Ali
unsere Zentrale ist aktuell über einen ADSL-Anschluss mit dem Internet verbunden.
Die Aussenstellen (M2M) sind auch über DSL, GPRS und auch LTE angebunden. Die VPN-Tunnel (IPSec) werden von den Aussenstellen zur Zentrale (mit fester IP) aufgebaut. Funktioniert ganz ordentlich.
Nun möchten wir aus Redundanzgründen in der Zentrale aufrüsten. Aktuell enden alle VPN-Tunnel auf dem selben Router (hinter einem externen Modem). Sollte dieser Router ausfallen (oder auch das Modem davor) hätten wir ein Problem. Im Moment helfen wir uns damit, dass wir denselben Router und dasselbe Modem mit derselben Config ein zweites Mal liegen haben. Bei Ausfall müssten wir das Gerät austauschen.
Diesen Zustand möchten wir abschaffen. Unser Ziel ist es, im ersten Schritt eine permanente Redundanz zu schaffen, sodass ein weiteres Gerät automatisch den Betrieb übernimmt, wenn es einen Ausfall gibt. Später könnte ich mir eine Lösung mit einem zusätzlichen Anschluss (zweiter Weg ins Gebäude) denken, soweit sind wir aber noch nicht.
Ich habe schon intensiv im Netz gesucht. Eine gute Lösung habe ich bisher noch nicht gefunden. Wie kann man einen Router (äh, mehrere Router) redundant machen?
Kennt jemand Tutorials, Hardware-Empfehlungen, Whitepapers, die mir hier weiterhelfen können?
Danke und Grüße!
Ali
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 556155
Url: https://administrator.de/forum/vpn-router-in-zentrale-redundant-machen-556155.html
Ausgedruckt am: 23.12.2024 um 04:12 Uhr
7 Kommentare
Neuester Kommentar
Ich habe schon intensiv im Netz gesucht. Eine gute Lösung habe ich bisher noch nicht gefunden.
Dir müsste sofort VRRP aufgefallen sein:
https://de.wikipedia.org/wiki/Virtual_Router_Redundancy_Protocol
(Vom oben geposteten HSRP solltest du die Finger lassen, das ist Hersteller proprietär !)
Hier siehst du sowas mal im Praxisdesign:
Mikrotik VLAN Konfiguration ab RouterOS Version 6.41
Damit bündelt man die Router in einem Hochverfügbarbeits Design.
Das Verteilen der VPN Sessions macht man dann entweder mit ganz einfachem DNS Load Balancing oder statisch.
So ein simples Hochverfügbarkeits Design ist millionenfach im Einsatz weil eben sehr sinnvoll wie du oben schon richtig bemerkst. Eigentlich fahrlässig das nicht redundant auszulegen. Kann man dir nicht wirklich glauben das du da angeblich nix gefunden hast.
Mit der richtigen Hardware ist sowas in max. 2 Stunden aufgesetzt und Online.
Das reicht für mein Verständnis aber nicht ganz zur Lösung.
Damit hast du auch Recht. Ein zweiter Internet Provider ist dann auch Pflicht.Der zweite Anschluss hätte aber dann eine andere öffentliche IP-Adresse (statisch).
Deshalb ja dann das oben schon erwähnte DNS Load Balancing wenn du die IP Adressen nicht statisch über die VPN Clients streuen willst !Oder...du konfigurierst die VPN Standorte (bei Site to Site) oder Clients (VPN Dialin) immer mit einem redundanten Backup Tunnel auf die andere IP. DNS Balancing ist aber universeller da mehr HW unabhängiger für die VPN Seite.
Sollen die beiden Router enthalten bleiben?
Wir heißen sie konkret?
Soll es eine zweite Internet-Leitung geben?
VRRP hilft dir nicht.
Wir heißen sie konkret?
Soll es eine zweite Internet-Leitung geben?
VRRP hilft dir nicht.