2 Internetanschlüsse - geht das was ich mir da vorstelle

Forum zu aktuellen Geräten der LANCOM Router/Gateway Serie

Moderator: Lancom-Systems Moderatoren

firefox_i
Beiträge: 251
Registriert: 28 Jan 2015, 09:07

2 Internetanschlüsse - geht das was ich mir da vorstelle

Beitrag von firefox_i »

Hallo zusammen,
wir werden ab demnächst 2 Internetanschlüsse haben.
Einmal Unitymedia über ein externes Kabelmodem (vielmehr eine Fritzbox im Bridgemodus) und einmal klassisch DSL über das interne Modem des 1783VA-4G.

Ich habe neben dem normalen Intranet noch 2 WLANs (einmal eines für MItarbeiter und eines für Gäste).

Ist es möglich
- Traffic des Internet läuft über Unitymedia, der Traffic der WLANs über DSL
- Wenn Unitymedia ausfällt wird der Traffic des Intranet auf DSL umgeleitet

Geht das ?
Die Backup Verbindung habe ich bisher so verstanden, dass die Verbindung nur im Bedarfsfall aufgebaut wird - was in meinem Fall ja nicht der Fall sein soll.

Danke für Hinweise
S.
cpuprofi
Beiträge: 1330
Registriert: 12 Jun 2009, 12:44
Wohnort: Bremen

Re: 2 Internetanschlüsse - geht das was ich mir da vorstelle

Beitrag von cpuprofi »

Hallo S.,

ja das geht mittels Routing-Tag und policy based Routing.

Grüße
Cpuprofi
firefox_i
Beiträge: 251
Registriert: 28 Jan 2015, 09:07

Re: 2 Internetanschlüsse - geht das was ich mir da vorstelle

Beitrag von firefox_i »

Hallo Cpuprofi,
und wie stell ich dann im Falle eines Ausfalles der Unitymediaverbindung um auf die Backup-DSL Leitung?
Da muss ich dann ja im Ausfall-Fall (blödes Wort) das Routing Tag des Intranets umstellen dass es über die DSL Leitung geht...

Gruß
S.
cpuprofi
Beiträge: 1330
Registriert: 12 Jun 2009, 12:44
Wohnort: Bremen

Re: 2 Internetanschlüsse - geht das was ich mir da vorstelle

Beitrag von cpuprofi »

Hallo S.,

dafür ist dann ja das policy based Routing da.

Grüße
Cpuprofi
firefox_i
Beiträge: 251
Registriert: 28 Jan 2015, 09:07

Re: 2 Internetanschlüsse - geht das was ich mir da vorstelle

Beitrag von firefox_i »

Okay,
vielleicht liegt es an der Hitze dass ich das nicht kapiere.

Die beiden WLANs (Mitarbeiter und Gäste) haben schon jetzt 2 eigene Routing Tags die nicht 0 sind.

Mein Ansatz war:
Da die beiden WLANs die über den DSL Anschluss laufen sollen eh schon Routing Tags haben, hatte ich angenommen ich erstelle in der Routingtabelle fpr diese beiden Tags Einträge mit der Zielroute des DSL Anschlusses.

Ich hatte die Routing Tabelle bisher so verstanden, dass wenn es 3 Einträge gibt mit IP Adresse 255.255.255.255 und 0.0.0.0 als Netzmaske und unterschiedlichen werten beim Routing Tag (zB 100, 200 und 0) wid alles mit Tag 100 und 200 auf die entsprechenden Routen geschickt und alles andere eben auf der Defaultroute.

Somit müsste ich doch rein grundsätzlich (ohne jetzt das Backup Thema zu betrachten) auch ohne PBR auskommen oder ?

Das PBR schreckz mich momentan noch etwas ab, denn wir haben eine Deny All Strategie auf der Firewall und dann müsste ich ja jede Allow-Regel duplizieren...einmal für das echte Intranet und dann einmal für die beiden o.g- WLANs.
Oder bin cih da jetzt falsch abgebogen beim Verstehen ?

Und selbst wenn ich dann das ganze über PBR mache ist das ja was statisches.
Beim Ausfall einer Internetanbindung gibt es dann ja erst mal keinen Automatismus um den Intranet-Traffic dann über die andere Leitung zu Routen.
Das wäre dann ja ein manueller Eingriff oder ?

S.
cpuprofi
Beiträge: 1330
Registriert: 12 Jun 2009, 12:44
Wohnort: Bremen

Re: 2 Internetanschlüsse - geht das was ich mir da vorstelle

Beitrag von cpuprofi »

Hallo S.,
firefox_i hat geschrieben: 31 Jul 2018, 15:30 Mein Ansatz war:
Da die beiden WLANs die über den DSL Anschluss laufen sollen eh schon Routing Tags haben, hatte ich angenommen ich erstelle in der Routingtabelle fpr diese beiden Tags Einträge mit der Zielroute des DSL Anschlusses.

Ich hatte die Routing Tabelle bisher so verstanden, dass wenn es 3 Einträge gibt mit IP Adresse 255.255.255.255 und 0.0.0.0 als Netzmaske und unterschiedlichen werten beim Routing Tag (zB 100, 200 und 0) wid alles mit Tag 100 und 200 auf die entsprechenden Routen geschickt und alles andere eben auf der Defaultroute.

Somit müsste ich doch rein grundsätzlich (ohne jetzt das Backup Thema zu betrachten) auch ohne PBR auskommen oder ?
ja, dieses ist möglich.
firefox_i hat geschrieben: 31 Jul 2018, 15:30 Das PBR schreckz mich momentan noch etwas ab, denn wir haben eine Deny All Strategie auf der Firewall und dann müsste ich ja jede Allow-Regel duplizieren...einmal für das echte Intranet und dann einmal für die beiden o.g- WLANs.
Oder bin cih da jetzt falsch abgebogen beim Verstehen ?
Falsch abgebogen, da PBR unabhängig von Deny All geht.
firefox_i hat geschrieben: 31 Jul 2018, 15:30 Und selbst wenn ich dann das ganze über PBR mache ist das ja was statisches.
Beim Ausfall einer Internetanbindung gibt es dann ja erst mal keinen Automatismus um den Intranet-Traffic dann über die andere Leitung zu Routen.
Das wäre dann ja ein manueller Eingriff oder ?
Wieso? Es gibt doch die Aktions-Tabelle.

Grüße
Cpuprofi
firefox_i
Beiträge: 251
Registriert: 28 Jan 2015, 09:07

Re: 2 Internetanschlüsse - geht das was ich mir da vorstelle

Beitrag von firefox_i »

Hey CpuProfi,
danke dass so geduldig Antwortest....dafür erstmal ein dickes fettes Dankeschön.
cpuprofi hat geschrieben: 31 Jul 2018, 16:37 ja, dieses ist möglich.
Prima...doch nicht so das Hirn ausgedörrt.
cpuprofi hat geschrieben: 31 Jul 2018, 16:37 Falsch abgebogen, da PBR unabhängig von Deny All geht.
Mist..jetzt hast mich wieder abgehängt.
Ich hab gemäß der Lancom KB (https://www2.lancom.de/kb.nsf/a5ddf4817 ... enDocument) die Deny All konfiguriert und knapp 10 Regeln.

Aber ich glaub ich erkenn gerade meinen Denkfehler:
Wenn ich mit recht hoher Prio die Regeln einstelle fürs PBR (also abhängig vom Quellnetz die Pakete mit einem Routing Tag markiere) und dann den Haken bei "Weitere Regeln beachten nachdem...." sollten doch die weiteren Regeln berücksichtigt werden und alles tut wie gehabt oder?
Oder wieder falsch gedacht ?
cpuprofi hat geschrieben: 31 Jul 2018, 16:37 Wieso? Es gibt doch die Aktions-Tabelle.
Okay da hast Du recht...und da kann ich dann ja so ziemlich alles machen das stimmt....

S.
cpuprofi
Beiträge: 1330
Registriert: 12 Jun 2009, 12:44
Wohnort: Bremen

Re: 2 Internetanschlüsse - geht das was ich mir da vorstelle

Beitrag von cpuprofi »

Hallo S.,
firefox_i hat geschrieben: 31 Jul 2018, 17:43 Aber ich glaub ich erkenn gerade meinen Denkfehler:
Wenn ich mit recht hoher Prio die Regeln einstelle fürs PBR (also abhängig vom Quellnetz die Pakete mit einem Routing Tag markiere) und dann den Haken bei "Weitere Regeln beachten nachdem...." sollten doch die weiteren Regeln berücksichtigt werden und alles tut wie gehabt oder?
Oder wieder falsch gedacht ?
richtig gedacht. Wobei wenn Du nur eine Prio hast (z.B. 0) sich die PBR Regel, sofern der Haken bei "Weitere Regeln beachten nachdem...." gesetzt wurde, von selber oben einordnen sollte...

Grüße
Cpuprofi
firefox_i
Beiträge: 251
Registriert: 28 Jan 2015, 09:07

Re: 2 Internetanschlüsse - geht das was ich mir da vorstelle

Beitrag von firefox_i »

Moin,
super dann weiß ich wie ich das ganze angehen kann.

Danke nochmal
S.
firefox_i
Beiträge: 251
Registriert: 28 Jan 2015, 09:07

Re: 2 Internetanschlüsse - geht das was ich mir da vorstelle

Beitrag von firefox_i »

Sorry jetzt muss ich leider nochmal nachtrreten....

Wir haben ja nachher 2 permanente Internet-Leitungen.

Auf dem 1783 sind einige VOIP Nummern von Vodafone eingerichtet und müssen somit über DSL raus.

Ich geh davon aus, dass hier auch das Routing Tag in den erweiterten Einstellungen der SIP Leitung der Schlüssel zum Erfolg sein wird um den Traffic auf die richtige Internetleitung zu bringen korrekt ?

S.
cpuprofi
Beiträge: 1330
Registriert: 12 Jun 2009, 12:44
Wohnort: Bremen

Re: 2 Internetanschlüsse - geht das was ich mir da vorstelle

Beitrag von cpuprofi »

Hallo S.,
firefox_i hat geschrieben: 01 Aug 2018, 09:41 Auf dem 1783 sind einige VOIP Nummern von Vodafone eingerichtet und müssen somit über DSL raus.

Ich geh davon aus, dass hier auch das Routing Tag in den erweiterten Einstellungen der SIP Leitung der Schlüssel zum Erfolg sein wird um den Traffic auf die richtige Internetleitung zu bringen korrekt ?
ja.

Grüße
Cpuprofi
firefox_i
Beiträge: 251
Registriert: 28 Jan 2015, 09:07

Re: 2 Internetanschlüsse - geht das was ich mir da vorstelle

Beitrag von firefox_i »

Hallo zusammen,
so ich hab jetzt mal die Sache so eingerichtet, dass ich erstmal noch nix mit automatischem Umschalten habe.

Ich habe auch das VPN so eingerichtet wir im Thread:
fragen-zum-thema-vpn-f14/vpn-ikev2-back ... tml#p92000
Also einen Endpunkt auf der Seite an der ich die beiden Internetanschlüsse habe und auf der anderen Seite als "Weiteres entferntes Gateway" die zweite statische IP.

In meine Anwendungsfall gibt es also 5 Datenströme:
- INET : Internet-Traffic des INTRANETS
- WLAN_MA : Traffic des Mitarbeiter WLANs
- WLAN_GAST : Traffic des Gäste WLANs
- VPN : Der Datenstrom des VPNs
- VOIP_VF : Vodafone VOIP Traffic

Als Leitungen ins Netz habe ich
- CAB_UM : Kabelmodem von Unity
- DSL_VF : DSL Leitung zu Vodafone


Ich hoffe das ist bis hierher verständlich erklärt und würd mich freuen wenn noch jemand weiterliest.

Was ich aktuell eingerichtet habe ist folgendes:

Routen:
- R1: Die Route nach CAB_UM mit Routing Tag 0
- R2: Die Route nach DSL_VF mit Routing Tag 10


Firewall:
Hier habe ich Regeln definiert mit denen das Routing TAG je nach Quell-Netz gesetzt wird:
- FW1 : INET bekommt Routing TAG 0
- FW2 : WLAN_MA bekommt Routing TAG 10
- FW3 : WLAN_GAST bekommt Routing TAG 10

VPN:
- V1: Hier habe ich im Routing TAG im Eintrag der IKE2 Verbindungs Liste den Routing TAG 0 drin

VOIP:
- Sx: Bei allen SIP Leitungen bei Vodafone habe ich logischerweise das Tag 10 drin


Was ich möchte:
Vorab: Da sowohl Vodafone als auch Unity die nomadische Nutzung nicht unterstützen brauch ich mir keine Gedanken machen die Vodafone SIPs auf Unity umzuklinken wenn VF ausfällt...das tut eh nicht.

a) BESTCASE
DSL_VF und CAB_UM sind verfügbar.
Dann hätte ich gern folgendes:
- INET, VPN über CAB_UM
- WLAN-MA und WLAN-GAS über DSL_VF

--> Das ist das was ich oben momentan statisch drin habe

b) Ausfall DSL_VF
DSL_VF ist nicht verfügbar.
Dann logischerweise alles über CAB_UM.

c) Ausfall CAB_UM
CAB_UM ist nicht verfügbar.
Dann logischerweise alles über DSL_VF.

d) beides weg
Tja Pech dann brauch ich auch nix umstellen ;)



Danke an jeden der bis hierher gelesen hat :M :M :M :M


Kurz noch was zum Thema Aktionstabelle.
Mein Wissen zum Thema Aktionstabelle ist folgendes:
- Wenn ich für eine Gegenstelle mehrere gleiche Ereignisse definiert habe, werden die sequentiell von oben nach unten abgearbeitet

Was sich ehrlich gesagt nicht weiß:
a) Kurz aufeinander Auf und Abbau
Wenn Eine Gegenstelle schnell Auf und Abgebaut wird kann es sein dass noch die Schritte in der Sequenz des Aufbaus laufen.
Ich nehme folgendes an:
Da die Bedingung für die Aktion nicht mehr erfüllt ist, wird die Sequenz abgebrochen.
Sobald Abbau als Ereignis erkannt wird laufen diese Aktionen ab....

b) Routing Tag
Aus der Beschreibung
"Routing-Tag: Über das Routing-Tag bestimmen Sie, über welche Gegenstelle das Gerät die Aktion ausführt. Diese Gegenstelle muss natürlich mit dem entsprechenden Routing-Tag versehen sein." wer ich ehrlich gesagt nicht schlau....




So und nun mein Ansatz:
Nachdem ich hier im Forum gestöbert habe udn mir eine ANforderungen genau angeschaut habe (großes Blatt Papier und paar LInien hilft ungemein) hab ich festgestellt:

- VOIP ist nix zu tun
Erklärung siehe oben.

- Ich ändere in den Firewalleinstellungen und im VPN Eintrag das Zuweisen der RoutingTags

Also los:

Wenn CAB_UM aufgebaut wird:
- INET bekommt Routing TAG 0
- VPN bekommt Routing TAG 0

Wenn CAB_UM abgebaut wird:
- INET bekommt Routing TAG 10
- VPN bekommt Routing TAG 10

Wenn DSL_VF aufgebaut wird:
- WLAN_MA bekommt Routing TAG 10
- WLAN_GAST bekommt Routing TAG 10

Wenn DSL_VF abgebaut wird:
- WLAN_MA bekommt Routing TAG 0
- WLAN_GAST bekommt Routing TAG 0


Was ich versucht habe ist dass jede der Einstellungen nur durch die Zustandsänderung einer einzigen Gegenstelle beeinflusst wird und somit sind Race-Conditions vermieden

Hab ich da irgendwo nen Denkfehler drin?
Würde mich freuen wenn sich jemand des langen Textes angenommen hat.

Danke
Sven
firefox_i
Beiträge: 251
Registriert: 28 Jan 2015, 09:07

Re: 2 Internetanschlüsse - geht das was ich mir da vorstelle

Beitrag von firefox_i »

Dürft ich den Beitrag mal bisschen hochchieben ?
Wäre echt super wenn mir da jemand sagen könnte "kann funktionieren" oder "bescheuerter Ansatz"...dann kann ich das am WE mal versuchen umzusetzen.

S.
Benutzeravatar
Jirka
Beiträge: 5225
Registriert: 03 Jan 2005, 13:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Re: 2 Internetanschlüsse - geht das was ich mir da vorstelle

Beitrag von Jirka »

Hallo Sven,
firefox_i hat geschrieben: 06 Aug 2018, 18:34Was ich ehrlich gesagt nicht weiß:
a) Kurz aufeinander Auf und Abbau
Wenn Eine Gegenstelle schnell Auf und Abgebaut wird kann es sein dass noch die Schritte in der Sequenz des Aufbaus laufen.
Ich nehme folgendes an:
Da die Bedingung für die Aktion nicht mehr erfüllt ist, wird die Sequenz abgebrochen.
Sobald Abbau als Ereignis erkannt wird laufen diese Aktionen ab....
das ist grundsätzlich richtig, aber bereits abgesetzte Befehle laufen außerhalb der Aktionstabelle durchaus noch weiter, bis sie abgearbeitet sind. Beispiel: Es erfolgt ein http-Request, der nicht durchgeht, weil die Adresse nicht aufgelöst werden kann, weil die Internetverbindung nicht besteht. Sollte das dann innerhalb des Timeouts, von z. B. einer Minute dann doch noch funktionieren, dann läuft der Befehl noch durch...
firefox_i hat geschrieben: 06 Aug 2018, 18:34b) Routing Tag
Aus der Beschreibung
"Routing-Tag: Über das Routing-Tag bestimmen Sie, über welche Gegenstelle das Gerät die Aktion ausführt. Diese Gegenstelle muss natürlich mit dem entsprechenden Routing-Tag versehen sein." wer ich ehrlich gesagt nicht schlau....
Ich weiß jetzt ja nicht, aus welchem Kontext das genommen wurde, aber gemeint ist vermutlich, dass die (Default-)Route, die auf die Gegenstelle zeigt, mit eben dem entsprechenden Routing-Tag versehen ist.
firefox_i hat geschrieben: 06 Aug 2018, 18:34Hab ich da irgendwo nen Denkfehler drin?
Neben Aufbau und Abbau gibt es auch noch einen Abbruch und einen Aufbaufehler, wobei man auch nicht alles berücksichtigen muss (einem Abbruch folgt im Normalfall ein Aufbaufehler (bei keep alive) oder das Problem ist schon vom Tisch; einem Aufbaufehler muss aber kein Abbruch voraus gegangen sein).
Arbeiten an der Aktions-Tabelle benötigen schon etwas Erfahrung, um da alles richtig und optimal zu machen. Von daher ist es vermutlich sinnvoller, sowas in Auftrag zu geben, als sich stundenlang selber damit abzugeben. Das ist ein Standard-Szenario, wie es regelmäßig vorkommt.

Viele Grüße,
Jirka
firefox_i
Beiträge: 251
Registriert: 28 Jan 2015, 09:07

Re: 2 Internetanschlüsse - geht das was ich mir da vorstelle

Beitrag von firefox_i »

Nabend Jirka,
danke dass den ellenlangen Text durchgelesen hast :M :M
Jirka hat geschrieben: 17 Aug 2018, 16:26 das ist grundsätzlich richtig, aber bereits abgesetzte Befehle laufen außerhalb der Aktionstabelle durchaus noch weiter, bis sie abgearbeitet sind.
Danke für die Info.
Ich versteh dich doch richtig, dass ein Befehl der in einer Zeile der Aktionstabelle steht erstmal läuft bis er normal beendet oder eben mit Fehler beendet ist.
Die Änderungen die ich via Aktionstabelle an den Firewalleinstellungen machen will laufen ja im Normalfall durch und somit sollte das kein Problem sein.

Wenn in der Aktionstabelle nun aber - ich übertreib mal bewusst - 50 Zeilen zu einem Aufbauereignis stehen, laufen die ja sequentiell ab, und hier würde ich erwarten, dass, sobald ein Abbau erkannt wird und somit die Triggerbedingung nicht mehr gilt, die restlichen Befehle nicht mehr abgearbeitet werden.

Hab ich das so korrekt beschrieben ?

Jirka hat geschrieben: 17 Aug 2018, 16:26 Ich weiß jetzt ja nicht, aus welchem Kontext das genommen wurde, aber gemeint ist vermutlich, dass die (Default-)Route, die auf die Gegenstelle zeigt, mit eben dem entsprechenden Routing-Tag versehen ist.
Diese Beschriebung gehört zum Feld "Roting Tag" im Eintrag in der Aktionstabelle.
MIr fiel ehrlich gesagt kein-Use-case ein bei dem ich für eine Gegenstelle abhängig vom Routing Tag was machen könnte.
Außer eventuell was mit den Volumenereignissen...


Jirka hat geschrieben: 17 Aug 2018, 16:26 Von daher ist es vermutlich sinnvoller, sowas in Auftrag zu geben, als sich stundenlang selber damit abzugeben.
Als Autodidakt und Ingenieur würde ich das aber schon gern selbst können :D
Nee im Ernst...ich denke das sollte keine Raketentechnologie sein (und selbst wenn....ich arbeite in ner ähnlichen Branche *fg*).

S.
Antworten