7
VPN-Router in Zentrale redundant machen
Hallo zusammen,
unsere Zentrale ist aktuell über einen ADSL-Anschluss mit dem Internet verbunden.
Die Aussenstellen (M2M) sind auch über DSL, GPRS und auch LTE angebunden. Die VPN-Tunnel (IPSec) werden von den Aussenstellen zur Zentrale (mit fester IP) aufgebaut. Funktioniert ganz ordentlich.
Nun möchten wir aus Redundanzgründen in der Zentrale aufrüsten. Aktuell enden alle VPN-Tunnel auf dem selben Router (hinter einem externen Modem). Sollte dieser Router ausfallen (oder auch das Modem davor) hätten wir ein Problem. Im Moment helfen wir uns damit, dass wir denselben Router und dasselbe Modem mit derselben Config ein zweites Mal liegen haben. Bei Ausfall müssten wir das Gerät austauschen.
Diesen Zustand möchten wir abschaffen. Unser Ziel ist es, im ersten Schritt eine permanente Redundanz zu schaffen, sodass ein weiteres Gerät automatisch den Betrieb übernimmt, wenn es einen Ausfall gibt. Später könnte ich mir eine Lösung mit einem zusätzlichen Anschluss (zweiter Weg ins Gebäude) denken, soweit sind wir aber noch nicht.
Ich habe schon intensiv im Netz gesucht. Eine gute Lösung habe ich bisher noch nicht gefunden. Wie kann man einen Router (äh, mehrere Router) redundant machen?
Kennt jemand Tutorials, Hardware-Empfehlungen, Whitepapers, die mir hier weiterhelfen können?
Danke und Grüße!
Ali
unsere Zentrale ist aktuell über einen ADSL-Anschluss mit dem Internet verbunden.
Die Aussenstellen (M2M) sind auch über DSL, GPRS und auch LTE angebunden. Die VPN-Tunnel (IPSec) werden von den Aussenstellen zur Zentrale (mit fester IP) aufgebaut. Funktioniert ganz ordentlich.
Nun möchten wir aus Redundanzgründen in der Zentrale aufrüsten. Aktuell enden alle VPN-Tunnel auf dem selben Router (hinter einem externen Modem). Sollte dieser Router ausfallen (oder auch das Modem davor) hätten wir ein Problem. Im Moment helfen wir uns damit, dass wir denselben Router und dasselbe Modem mit derselben Config ein zweites Mal liegen haben. Bei Ausfall müssten wir das Gerät austauschen.
Diesen Zustand möchten wir abschaffen. Unser Ziel ist es, im ersten Schritt eine permanente Redundanz zu schaffen, sodass ein weiteres Gerät automatisch den Betrieb übernimmt, wenn es einen Ausfall gibt. Später könnte ich mir eine Lösung mit einem zusätzlichen Anschluss (zweiter Weg ins Gebäude) denken, soweit sind wir aber noch nicht.
Ich habe schon intensiv im Netz gesucht. Eine gute Lösung habe ich bisher noch nicht gefunden. Wie kann man einen Router (äh, mehrere Router) redundant machen?
Kennt jemand Tutorials, Hardware-Empfehlungen, Whitepapers, die mir hier weiterhelfen können?
Danke und Grüße!
Ali
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 556155
Url: https://administrator.de/contentid/556155
Printed on: April 19, 2024 at 00:04 o'clock
7 Comments
Latest comment
Moin,
Suchstichwörter wären Load Balancing oder Failover Router/Routing.
Gruss
Suchstichwörter wären Load Balancing oder Failover Router/Routing.
Gruss
Ich habe schon intensiv im Netz gesucht. Eine gute Lösung habe ich bisher noch nicht gefunden.
Dir müsste sofort VRRP aufgefallen sein:
https://de.wikipedia.org/wiki/Virtual_Router_Redundancy_Protocol
(Vom oben geposteten HSRP solltest du die Finger lassen, das ist Hersteller proprietär !)
Hier siehst du sowas mal im Praxisdesign:
Mikrotik VLAN Konfiguration ab RouterOS Version 6.41
Damit bündelt man die Router in einem Hochverfügbarbeits Design.
Das Verteilen der VPN Sessions macht man dann entweder mit ganz einfachem DNS Load Balancing oder statisch.
So ein simples Hochverfügbarkeits Design ist millionenfach im Einsatz weil eben sehr sinnvoll wie du oben schon richtig bemerkst. Eigentlich fahrlässig das nicht redundant auszulegen. Kann man dir nicht wirklich glauben das du da angeblich nix gefunden hast.
Mit der richtigen Hardware ist sowas in max. 2 Stunden aufgesetzt und Online.
"Gelogen!" ist etwas hart ausgedrückt und stimmt so nicht ganz.
Natürlich bin ich auf VRRP gestossen. Das reicht für mein Verständnis aber nicht ganz zur Lösung.
Der zweite Link ist sehr gut. In diesem Beispiel wird von einem weiteren Zugang zum Internet ausgegangen. Momentan haben wir nur einen, einen Zweiten hinzuzufügen wäre kein Problem und ist auch schon so gut wie beauftragt (allerdings aus anderen Gründen).
Für ausgehende Verbindungen für Surfen etc. kann ich mir diese Lösung gut vorstellen.
Der zweite Anschluss hätte aber dann eine andere öffentliche IP-Adresse (statisch). Die Geräte in den Aussenstellen bauen die Verbindung zum ersten Router auf. Ist dieser ausgefallen, kommen keine Verbindungen zustande. Das würde bedeuten, dass die Geräte in den Aussenstellen bei Ausfall einer ersten, prorisierten Verbindung die zweite aufbauen müssen. Ich bin nicht sicher, ob die das automatisch können.
VRRP kann hier also nur ein Teil der Lösung sein.
Vorerst vielen Dank für die Infos und die Links!!
Ali
Natürlich bin ich auf VRRP gestossen. Das reicht für mein Verständnis aber nicht ganz zur Lösung.
Der zweite Link ist sehr gut. In diesem Beispiel wird von einem weiteren Zugang zum Internet ausgegangen. Momentan haben wir nur einen, einen Zweiten hinzuzufügen wäre kein Problem und ist auch schon so gut wie beauftragt (allerdings aus anderen Gründen).
Für ausgehende Verbindungen für Surfen etc. kann ich mir diese Lösung gut vorstellen.
Der zweite Anschluss hätte aber dann eine andere öffentliche IP-Adresse (statisch). Die Geräte in den Aussenstellen bauen die Verbindung zum ersten Router auf. Ist dieser ausgefallen, kommen keine Verbindungen zustande. Das würde bedeuten, dass die Geräte in den Aussenstellen bei Ausfall einer ersten, prorisierten Verbindung die zweite aufbauen müssen. Ich bin nicht sicher, ob die das automatisch können.
VRRP kann hier also nur ein Teil der Lösung sein.
Vorerst vielen Dank für die Infos und die Links!!
Ali
Das reicht für mein Verständnis aber nicht ganz zur Lösung.
Damit hast du auch Recht. Ein zweiter Internet Provider ist dann auch Pflicht.Der zweite Anschluss hätte aber dann eine andere öffentliche IP-Adresse (statisch).
Deshalb ja dann das oben schon erwähnte DNS Load Balancing wenn du die IP Adressen nicht statisch über die VPN Clients streuen willst !Oder...du konfigurierst die VPN Standorte (bei Site to Site) oder Clients (VPN Dialin) immer mit einem redundanten Backup Tunnel auf die andere IP. DNS Balancing ist aber universeller da mehr HW unabhängiger für die VPN Seite.
Sollen die beiden Router enthalten bleiben?
Wir heißen sie konkret?
Soll es eine zweite Internet-Leitung geben?
VRRP hilft dir nicht.
Wir heißen sie konkret?
Soll es eine zweite Internet-Leitung geben?
VRRP hilft dir nicht.
VRRP hilft dir nicht vollständig wäre die richtige Antwort aber das hatten wir oben ja auch schon konstatiert.
