alhambra
Goto Top

VPN-Router in Zentrale redundant machen

Hallo zusammen,

unsere Zentrale ist aktuell über einen ADSL-Anschluss mit dem Internet verbunden.
Die Aussenstellen (M2M) sind auch über DSL, GPRS und auch LTE angebunden. Die VPN-Tunnel (IPSec) werden von den Aussenstellen zur Zentrale (mit fester IP) aufgebaut. Funktioniert ganz ordentlich.

Nun möchten wir aus Redundanzgründen in der Zentrale aufrüsten. Aktuell enden alle VPN-Tunnel auf dem selben Router (hinter einem externen Modem). Sollte dieser Router ausfallen (oder auch das Modem davor) hätten wir ein Problem. Im Moment helfen wir uns damit, dass wir denselben Router und dasselbe Modem mit derselben Config ein zweites Mal liegen haben. Bei Ausfall müssten wir das Gerät austauschen.
Diesen Zustand möchten wir abschaffen. Unser Ziel ist es, im ersten Schritt eine permanente Redundanz zu schaffen, sodass ein weiteres Gerät automatisch den Betrieb übernimmt, wenn es einen Ausfall gibt. Später könnte ich mir eine Lösung mit einem zusätzlichen Anschluss (zweiter Weg ins Gebäude) denken, soweit sind wir aber noch nicht.

Ich habe schon intensiv im Netz gesucht. Eine gute Lösung habe ich bisher noch nicht gefunden. Wie kann man einen Router (äh, mehrere Router) redundant machen?
Kennt jemand Tutorials, Hardware-Empfehlungen, Whitepapers, die mir hier weiterhelfen können?

Danke und Grüße!

Ali

Content-ID: 556155

Url: https://administrator.de/forum/vpn-router-in-zentrale-redundant-machen-556155.html

Ausgedruckt am: 23.12.2024 um 04:12 Uhr

Franz-Josef-II
Franz-Josef-II 10.03.2020 um 14:11:19 Uhr
Goto Top
sabines
sabines 10.03.2020 um 14:12:43 Uhr
Goto Top
Moin,

Suchstichwörter wären Load Balancing oder Failover Router/Routing.

Gruss
aqui
aqui 10.03.2020 aktualisiert um 16:10:05 Uhr
Goto Top
Ich habe schon intensiv im Netz gesucht. Eine gute Lösung habe ich bisher noch nicht gefunden.
Gelogen !
Dir müsste sofort VRRP aufgefallen sein:
https://de.wikipedia.org/wiki/Virtual_Router_Redundancy_Protocol
(Vom oben geposteten HSRP solltest du die Finger lassen, das ist Hersteller proprietär !)
Hier siehst du sowas mal im Praxisdesign:
Mikrotik VLAN Konfiguration ab RouterOS Version 6.41
Damit bündelt man die Router in einem Hochverfügbarbeits Design.
Das Verteilen der VPN Sessions macht man dann entweder mit ganz einfachem DNS Load Balancing oder statisch.
So ein simples Hochverfügbarkeits Design ist millionenfach im Einsatz weil eben sehr sinnvoll wie du oben schon richtig bemerkst. Eigentlich fahrlässig das nicht redundant auszulegen. Kann man dir nicht wirklich glauben das du da angeblich nix gefunden hast. face-sad
Mit der richtigen Hardware ist sowas in max. 2 Stunden aufgesetzt und Online.
alhambra
alhambra 10.03.2020 um 16:03:52 Uhr
Goto Top
"Gelogen!" ist etwas hart ausgedrückt und stimmt so nicht ganz.

Natürlich bin ich auf VRRP gestossen. Das reicht für mein Verständnis aber nicht ganz zur Lösung.
Der zweite Link ist sehr gut. In diesem Beispiel wird von einem weiteren Zugang zum Internet ausgegangen. Momentan haben wir nur einen, einen Zweiten hinzuzufügen wäre kein Problem und ist auch schon so gut wie beauftragt (allerdings aus anderen Gründen).
Für ausgehende Verbindungen für Surfen etc. kann ich mir diese Lösung gut vorstellen.

Der zweite Anschluss hätte aber dann eine andere öffentliche IP-Adresse (statisch). Die Geräte in den Aussenstellen bauen die Verbindung zum ersten Router auf. Ist dieser ausgefallen, kommen keine Verbindungen zustande. Das würde bedeuten, dass die Geräte in den Aussenstellen bei Ausfall einer ersten, prorisierten Verbindung die zweite aufbauen müssen. Ich bin nicht sicher, ob die das automatisch können.

VRRP kann hier also nur ein Teil der Lösung sein.

Vorerst vielen Dank für die Infos und die Links!!

Ali
aqui
aqui 10.03.2020 aktualisiert um 16:09:46 Uhr
Goto Top
Das reicht für mein Verständnis aber nicht ganz zur Lösung.
Damit hast du auch Recht. Ein zweiter Internet Provider ist dann auch Pflicht.
Der zweite Anschluss hätte aber dann eine andere öffentliche IP-Adresse (statisch).
Deshalb ja dann das oben schon erwähnte DNS Load Balancing wenn du die IP Adressen nicht statisch über die VPN Clients streuen willst !
Oder...du konfigurierst die VPN Standorte (bei Site to Site) oder Clients (VPN Dialin) immer mit einem redundanten Backup Tunnel auf die andere IP. DNS Balancing ist aber universeller da mehr HW unabhängiger für die VPN Seite.
142583
142583 11.03.2020 um 07:59:33 Uhr
Goto Top
Sollen die beiden Router enthalten bleiben?
Wir heißen sie konkret?

Soll es eine zweite Internet-Leitung geben?

VRRP hilft dir nicht.
aqui
aqui 11.03.2020 um 08:21:49 Uhr
Goto Top
VRRP hilft dir nicht vollständig wäre die richtige Antwort aber das hatten wir oben ja auch schon konstatiert.