VPN Load Balancer: Spezialfrage Backup

[Bernie137]

Hallo zusammen!

Vorwort: Wenn ich im Folgenden über einen Load-Balancer oder kurz LB spreche, meine ich IMMER einen VPN-Load-Balancer.

Ausgangsituation: Gegeben ist eine Problem Filiale, wo kein vernünftiges breitbandiges Internet verfügbar ist. Deshalb wird derzeit ein VPN Load-Balancer zur Anbindung an die Zentrale eingesetzt. In der Zentrale ist es eine ausreichend dimensionierte Leitung, feste IP. In der Filiale wird der LB mit 3x DSL6000 betrieben. Also rufen 3 Bündel der Filiale eine Leitung in der Zentrale an. Das funktioniert alles soweit gut, bis auf die Tatsache, dass die Download Bandbreite in der Filiale immer noch zu gering ist (pro Bündel geht ja nur 6Mbit).

Möglichkeit: Es gibt einen regionalen Kabelanbieter, welcher uns sehr preiswert bis zu 72Mbit/s Down und 2Mbit/s Upload anbieten kann. Jedoch ist das Problem, dass dort häufiger Störungen sind und auch mal tagsüber durchaus 2 Stunden Wartung gemacht werden.

Problemstellung: Daher wird unbedingt ein Backup benötigt. Zur Verfügung stehen max. 3xDSL6000.

Gretchenfrage: Ist es möglich, im Normalbetrieb mit der 72Mbit Leitung zu arbeiten und im Backupfall den LB wieder zu reaktivieren, denn nur ein DSL6000 taugt nicht als Backup? Das Problem ist ja, dass auch auf der Gegenseite in der Zentrale wieder ein LB laufen muss.

Daher folgende Überlegung: Ich lasse den LB weiter laufen und deaktiviere nur die DSL-Bündel (damit wird nur die 72Mbit-Leitung genutzt) und per Actionstabelle schalte ich im Fehlerfall die Backbündel scharf? So das im Prinzip der LB nie mit allen Bündeln läuft. Geht so etwas? Reicht es, die entsprechenden Routen in der Routingtabelle zu aktivieren/deaktivieren? Und in der Zentrale bleiben alle Bündel aktiv und warten auf ein Ruf von der Filiale? Schaffe ich mir damit ein riesen Problem, weil ein solcher Einsatz eines LB nicht vorgesehen ist?

In der Zentrale wird ein 1781EF+ und in der Filiale ein 1781EF verwendet.

Vielen Dank schon mal für Eure Ideen und Einschätzungen.

Vg Bernie

[Dr.Einstein]

Hey Bernie137,

lange kein VPN PPTP Loadbalancer mehr gehabt, da oft zu instabil. Aber folgende Idee müsste doch eigentlich klappen:

- neuer normaler Internet VPN
- alter bestehender IPSec + PPTP VPN = Loadbalancergegenstelle

Auf beiden Seiten die Backuptabelle nutzen für normale VPN Gegenstelle -> Loadbalancergegenstelle. Dadurch werden virtuell alle Routing Einträge in der Routingtabelle von normal auf LB umgeschrieben und wieder zurück. Du darfst bloß keine LB Gegenstelle mehr in der Routing Tabelle haben, sonst entstehen Fehler. Bei anderen Herstellern hätte ich mit Matriken gearbeitet, die Distanzen bei Lancom machen aber scheinbar nicht das gleiche.

Gruß Dr.Einstein

[Bernie137]

Hey Dr. Einstein,

danke für Deine Idee und Deine Zeit.

lange kein VPN PPTP Loadbalancer mehr gehabt, da oft zu instabil.

Ich kann nicht meckern, das Ding verrichtet seinen Dienst.

Auf beiden Seiten die Backuptabelle nutzen für normale VPN Gegenstelle -> Loadbalancergegenstelle.

Ich hab es mal im Gedanken durchgespielt. Ich bin der Auffassung, das funktioniert nicht, oder ich habe es nicht verstanden, wie die backup Tabelle arbeitet. Wenn auf beiden Seiten stinknormalo VPN LAN-LAN Kopplung ist, dann bekommt die Zentrale doch gar nicht mit, dass in der Filiale garade der LB reaktviert wurde, um dann selbst auf Backup zu gehen?

Du darfst bloß keine LB Gegenstelle mehr in der Routing Tabelle haben, sonst entstehen Fehler.

Also nur der LB-Eintrag selbst, oder auch die der einzelnen IPSec und PPTP Gegenstellen? M.M. nach müssten diese Einträge auf alle Fälle in der Routing Tabelle verbleiben, sonst existiert der LB Konfigurationstechnisch gar nicht mehr.

Der LB läuft dort nun schon gut 3 Jahre. Es gab immer mal wieder Tage, an denen ein oder gar zwei WAN-Verbindungen nicht da waren über mehrere Stunden (versch. Provider). Außer das die User sich beschwert haben, es ginge langsam, gab es keine Beanstandungen. Daher komme ich ja überhaupt auf die Idee, es auf diese Art vielleicht umzusetzen.

Aber anstatt an den Routen des LB zu drehen, könnte ich auch die zugrunde liegende WAN Verbindung "tot" schalten. Das simuliert eher das Szenario, als ob ein WAN-Zugang weg ist.

vg Bernie

[Dr.Einstein]

Hallo Bernie,

mit Aktionstabellen kann man das bestimmt auch lösen, aber nochmal zu den Backuptabellen:

A: 192.168.0.0/24
B: 192.168.1.0/24

Du hast momentan ja auf beiden Seiten für das eigentliche Routingziel A bzw. B jeweils das LB hinterlegt, und zusätzlich die statischen Routen für den PPTP + IPSec Aufbau. Jetzt könntest du ja neu die A und B Routen überschreiben von alt LB auf eine komplett neue VPN LAN to LAN Verbindung. Sollte jetzt an der Außenstelle A die Kabelverbindung wegbrechen, fliegt der VPN LAN to LAN weg, der Backuptimer fängt an zu zählen. In der Zentrale B fällt der VPN vielleicht 30-90 Sekunden später weg, ab dann fängt auch da der Backuptimer an zu zählen.

Ist die hinterlegte Backupzeit um, wird die 2. Verbindung aufgebaut. Auf beiden Seiten hast du jeweils die LB hinterlegt. Damit werden nur "virtuell" alle Einträge von "VPN LAN to LAN" auf LB in der Routing Tabelle angepasst. Die PPTP / IPSec Routen für den LB bleiben unangetastet.

Mein Beispiel nutze ich primär bei MPLS Strecken, die durch Internet VPN ein Backup bekommen und da funktioniert es super. Wie gesagt, Aktionstabelle sollte auch klappen. Ich find's nur immer doof, wenn Leitungen komplett brach liegen. Wenn der Router sich mal falsch verhält, geht Kabel nicht und durch deine Konfig auch kein DSL.

Gruß Dr.Einstein

[Bernie137]

Hallo Dr. Einstein,

danke für Deine Antwort. Prinzipell ist das vermutlich ein Weg, aber...

fliegt der VPN LAN to LAN weg, der Backuptimer fängt an zu zählen. In der Zentrale B fällt der VPN vielleicht 30-90 Sekunden später weg, ab dann fängt auch da der Backuptimer an zu zählen.

Das ist es, was mir an der Sache nicht so richtig schmeckt. Auf beiden Seiten erst Timer, die ablaufen müssen. Ich werde es nicht weiter verfolgen, aus den folgenden Gründen.

Wie gesagt, Aktionstabelle sollte auch klappen. Ich find's nur immer doof, wenn Leitungen komplett brach liegen. Wenn der Router sich mal falsch verhält, geht Kabel nicht und durch deine Konfig auch kein DSL.

Genau, das finde ich auch doof.

Daher habe ich nun folgende Idee:
Ich benutze den LB einfach weiter mit einer *Modifikation*, dann brauche ich gar kein Backup, da einzelne WAN-Verbindungen ohnehin einmal wegbrechen dürfen.

*Modifikation*:
Dazu habe ich selbst schon einmal die Vorlage gegeben. Ich hatte bisher nicht erwähnt, dass es hauptsächlich um RDP Traffic geht, wofür die Bandbreite benötigt wird. Der Rest ist zu vernachlässigen. Ich habe heute einmal mit unwichtigem http Traffic aus der Filiale gestestet und konnte per Policy Based Routing den Traffic über die Verbindung 3 binden. Bei Ausfall von verbindung 3 kann dann per Aktionstabelle die Firewall Regel wieder abgeschaltet werden. Ich denke, das wird eine elegante Lösung - bei der alle WAN Verbindungen gerne weiter arbeiten dürfen

Daraus ergibt sich für mich noch eine Folgefrage zur Firewall, die ich an anderer Stelle besprechen möchte.

Vielen Dank trotzdem für Deine Tipps.

vg Bernie