2 DSL Anschlüsse koppeln

[JBR]

Hallo,

wir haben hier im Unternehmen einen DSL Anschluss mit festen IP Adressen
und beabsichtigen diesen nocheinmal als Backup zu kaufen/mieten!!

Natürlich soll dieser Anschluß dann auch genutzt werden.
Dafür würde ich mir gerne einen "2-WAN-Port-Router" zulegen und die beiden
Anschlüsse koppeln und dadurch ein "Failover" und ein "Loadbalancing" realisieren.

Ist das möglich und welchen Router bräuchte ich für mein Vorhaben??

Danke
JBR

 

[gandalf94305]

Ich verwende einen Netgear FVX538. Dieser hängt per WAN1 an Kabel-Internet und per WAN2 an T-DSL 2000. Er benötigt ein ext. DSL-Modem und ist von der Performance und Konfiguierbarkeit her ok. VPN wird unterstützt.

--gandalf.

 

[JBR]

Danke für die schnelle Antwort!

Beim Kabel Internet hast du eine feste IP Adresse - beim T-DSL ist das dynamisch, oder?
Wer macht bei Dir die Anmeldung beim Provider??

Bei mir würden 2 Telekom-Router die Einwahl machen und ich habe dann

2 x 8 feste IP-Adressen

die ich mit meinem dritten "2-WAN-Port-Router" zusammen bringen muß!

Liege ich da richtig und ist das überhaupt realisierbar??


Danke
JBR

 

[gandalf94305]

Bei Kabel-Internet und bei T-DSL sind die IP-Adressen dynamisch, bei Kabel-BW erhalte ich jedoch die IP-Adresse quasi-statisch. Dennoch sind beide WAN-Interfaces des Routers auf DHCP konfiguriert. Man könnte jedoch auch feste IP-Adressen einrichten... oder Multi-NAT. Die Anmeldung beim Provider macht mein Router für T-DSL, für Kabel-Internet ist dies nicht erforderlich.

Nun hast Du jedoch anscheinend Telekom-Router (sind das die kleinen Cisco-Access-Router?) an jedem DSL bereits dran, d.h. es geht bei Dir eigentlich nur noch um ein Load-Balancing... und ggf. um ein Multi-NAT. Das könnte der Netgear-Router auch erledigen.

Hier ist die Seite mit allen Informationen: http://kbserver.netgear.com/products/FVX538v2.asp
Ich kann auch ein paar Screenshots bereitstellen, falls das interessant wäre.

--gandalf.

 

[JBR]

Hallo Gandalf,

die Screenshoots wären echt KLASSE!!

Ich habe aber ein Verständnisproblem:
Wie bekomme ich die "Beiden zugeteilten Netze der Telekom" an den Netgear
angeschlossen, denn die Einwahl ist ja schon von den beiden Telekom-Ciscos
(800er Serie) erledigt worden???

Hänge ich die beiden CISCOs einfach an die WAN Anschlüsse des Netgears?
Wie verteile ich dann die "2x8 IP-Adressen" ??

Wenn du hierzu ein paar Worte hättest .......

Danke
JBR

 

[gandalf94305]

die Screenshoots wären echt KLASSE!!

Da muss ich mal eine ruhige Minute finden ;-) Mal sehen...

Wie bekomme ich die "Beiden zugeteilten Netze der Telekom" an den Netgear angeschlossen, denn die Einwahl ist ja schon von den beiden Telekom-Ciscos (800er Serie) erledigt worden???

Eine Einwahl findet im Netgear-Router (oder anderen Hersteller-Produkten) nicht mehr statt. Das ist einfach ein IP-Client mit fester Adresse bzw. mit 8 festen Adressen per WAN-Port ;-) Nun kannst Du die 8 Adressen jeweils per Multi-NAT auf Systeme verteilen oder meinetwegen auch ein ganzes Subnetz routen, wenn das sinnvoll ist.

Der Router führt dann nur Load-Balancing bzw. Failover auf den WAN-Ports durch. Die Technologie spielt dabei keine Rolle. Ich habe ja auch mit Kabel-Internet (DHCP-Client per Ethernet am Kabelmodem) und DSL (PPPoE mit Zugangsdaten am DSL-Modem) zwei Technologien und Zugangsverfahren am Laufen.

--gandalf.

 

[Axcel]

Hört sich interessant an.

Heist das, dass man die beiden Bandbreiten addiert?? oder Nimmt der Netgear nur die leitung, die nicht genutzt wird??

 

[gandalf94305]

Die Bandbreiten addieren sich, wenn man Load-Balancing wählt. Man kann auch direkt per Policy verschiedene Typen von Traffic über verschiedene WAN-Ports routen.

--gandalf.

 

[ich1234]

Halt, es wird doch nicht eifnach addiert.
Wenn ich 2 Anschluesse im Load-Balancing-Verfahren am Laufen habe und einen Download mit einem Client starte kommt der auch nicht ueber die Geschwindigkeit der im Verfahren ausgewaehlten Verbindung; Jedoch ein 2. Client wird ueber die andere Verbindung geroutet.

Wenn du die Verbindungen addieren moechtest, muss das dein Anbieter unterstuetzen!

 

[gandalf94305]

Je TCP-Connection ist natürlich die Bandbreite auf den jeweiligen Weg beschränkt, es kann jedoch bei VoIP (UDP RTP) durchaus ein asymmetrisches Routing geben, d.h. die Bandbreite addiert sich. Es kommt also auf die Anwendung und die Konfiguration an.

--gandalf.

 

[gandalf94305]

Ok, hier kommen nun mal ein paar Screenshots... Man stellt für die WAN-Interfaces einen "WAN Mode" als Failover, Loadbalancing oder Single Interface (manuelles Failover) ein. Welcher Traffic in welche Richtung geht, wird durch Protocol Bindings bestimmt. Man kann zusätzlich Firewall-Regeln mit Zeitintervallen ("Schedules") und Bandwidth Profiles zur Steuerung der Trafficverteilung anlegen.

--gandalf.

 

[dalamaikus]

@gandalf94305:

Habe das gleiche Gerät eine sehr ähnliche Konfiguration (1 x T-DSL mit fester IP und einmal eine feste IP aus dem "Hausnetz" mit Versatel-Anbindung) und folgende Frage:

Hast du es schon einmal geschafft mit Loadbalancing eine VPN Verbindung herzustellen?
Wenn ich einen WAN-Port fest einstelle, dann funktioniert die Einwahl problemlos. Sobald ich jedoch auf Loadbalancing umstelle und bei "Protocol binding" Any Service einstelle (also alle Dienste sollen beispielsweise über WAN1 gehen), dann kommt per VPN keine Verbindung zustande?

Jemand eine Idee?

Danke

 

[gandalf94305]

Hmm... gute Frage... diese Konfiguration hatte ich noch nie getestet, da bei Load-Balancing ja die Protokolle verteilt werden sollten. VPN-Clients gehen bei mir immer via ein bestimmtes WAN-Interface und damit fix über die Einzelprotokolle zugeordnet.

--gandalf.

 

[dalamaikus]

Das heisst du hast bei dir nur "failover" eingestellt?
Ich möchte halt, dass alle User im Lan beide Leitungen nutzen können, aber VPN soll nur über WAN2 gehen. Sobad jedoch Loadbalancing eingestellt ist funktioniert die VPN Verbindung nicht, selbst wenn ich per Protocol Binding alles auf WAN2 lege...hmmm...eine Idee?

 

[gandalf94305]

Meistens verwende ich Failover, zeitweise Load-Balancing.

Ich habe nun mal testweise folgendes eingerichtet:
- WAN-Mode ist Load-Balancing
- WAN1 ist Kabel-Internet und hat Protocol Binding ANY
- WAN2 ist T-DSL und hat Protocol Binding für HTTP, HTTPS und ein paar andere Protokolle.
- WAN1 und WAN2 werden mit NAT betrieben

Ich kann in dieser Konfiguration ohne Probleme ein VPN-Verbindung mittels Checkpoint SecuRemote oder SecureClient aus dem LAN heraus zu einem Internet-Server aufbauen.

Oder sprichst Du von einer VPN-Verbindung des Routers mit einer Gegenstelle?

--gandalf.

 

[dalamaikus]

Fast. Ich möchte mich von außen in die "Firma" also per IPSec auf den Netgear-Router verbinden. Das funktioniert mit der von Netgear mitgelieferten Software auch ohne Probleme, wenn ich, wie gesagt, einen festen WAN-Port konfiguriere (kein Loadbalancing).

 

[JBR]

@gandalf

Hallo,

ich muss nochmal fragen!
Wie würde das nun bei mir aussehen - ich habe zwei Telekom-Router, an denen
jeweils 8 öffentliche IP Adressen zur Verfügung gestellt werden. Mit diesem "füttere"
ich meine Firewall, habe also Regeln die ins öffentlich Netz zielen!
Setze ich nun einen 2-WAN-Router dazwischen würde dieser die IP Adressen nicht
transparent durchleiten, oder??? (NAT)

Schreib nochmal was dazu

Danke
JBR

 

[gandalf94305]

Was bedeutet genau "8 öffentliche IP-Adressen zur Verfügung gestellt"? Bedeutet dies, daß ein öffentliches Netz /29 auf das LAN-Interface geroutet wird oder ist es ein Multi-NAT?

Mit einem Switch würde man die IP-Adressen internen Geräten zuordnen und diese werden dann nach draußen korrekt geroutet. Mit einem Router mit zwei WAN-Interfaces übernimmt dieser per Multi-NAT einfach alle dieser IP-Adressen hinter dem jeweiligen WAN-Interface und bildet sie auf interne Systeme entsprechend NAT-Regeln ab.

Es liegt in der Natur der Sache, daß ein NAT-Router die Adressen nicht transparent 1:1 durchleitet, sondern eine Übersetzung zwischen internen und externen Adressen vornimmt. Sind allerdings genau halb so viele interne Systeme wie externe IP-Adressen vorhanden, kann man jedem internen System per Multi-NAT jeweils eine externe IP-Adresse von jedem WAN-Interface zuordnen.

--gandalf.

 

[JBR]

Ja, ich habe zur Zeit 8 öffentliche IP Adressen - also das Netz /29
(weiß nicht ob dies so genau stimmt) und dies hätte ich gerne auf der
LAN Seite vom z.B. Netgear!

Wenn dann der zweite DSL Anschluß, gleicher Art, hinzukommt sollen die
weiteren 8 öffentlich IP Adressen dann an WAN2 vom Netgear!

Ob dies möglich ist, kann ich nicht sagen da mir hier ein wenig Kenntnisse fehlen.
Deswegen auch meine blöden Fragen!

Oder muss ich einen anderen Weg einschlagen und mit NAT zwischen Netgear und
meiner Firewall arbeiten?
Dort sind aber Regeln definiert, die auf die öffentlichen IP Adressen zielen
z.B. auf den Mailserver oder auf den VPN Zugang.

Aber noch eine weitere Frage:
Ist der Netgear transparent, wenn NAT ausgeschaltet ist??

Danke für Deine Mühe
JBR

 

[gandalf94305]

Nehmen wir mal folgendes Szenario:

Du hast zwei Ethernet-Kabel, die jeweils in einen Switch mit 8 Ports gehen (meine Vermutung ist irgendwie, daß Du nur 6 Adressen wirklich hast, aber lassen wir es mal bei 8). An jedem Port kannst Du nun ein Endgerät anschließen, das eine statische IP-Adresse aus dem Reservoir von 8 IP-Adressen des jeweiligen Anschlusses nutzt. Macht in Summe also max. 16 Geräte mit eigenen, öffentlichen IP-Adressen.

Nun willst Du eine gewisse Redundanz bekommen. Dazu kommen die beiden Ethernet-Kabel in einen einzigen Switch, der nun weitere 8 Ports frei hat. Dort schließt man max. 8 Endgeräte an, von denen jedes nun zwei IP-Adressen auf seinem Netzwerkinterface erhält: nämlich eine von jedem der beiden Internetanschlüsse. Man kann nun die Default-Route für jedes Endgerät bzw. das Routing für gewisse Zielnetze so definieren, daß jedes Gerät einen der beiden Internetanschlüsse primär nutzt. Damit kann man ein Failover realisieren, denn bei Ausfall einer Verbindung muss man einfach alle Routing-Einträge auf die andere, noch funktionsbereite Verbindung umstellen.

Man kann anstelle des Switches nun auch einen Multi-NAT-Router einsetzen. Dieser hat zwei WAN-Anschlüsse und eine beliebige Zahl von LAN-Anschlüssen. WAN-seitig besitzt er die 2 x 8 IP-Adressen und LAN-seitig verfügt er über einen privaten Netzwerkbereich. Die 16 Adressen müssen nun im NAT-Router softwaremäßig zugeordnet werden.

Nehmen wir wieder den ersten Fall von oben: 16 Geräte am LAN. Jedes dieser Geräte erhält den kompletten Portbereich einer der 2 x 8 IP-Adressen "durchgeschaltet". Jedes Gerät hat damit eine eigene IP-Adresse nach draußen (das NAT macht hier nicht so viel Sinn).

Im zweiten Fall haben wir beispielsweise 8 Geräte im LAN und jedes der Geräte erhält eine IP-Adresse von jedem der beiden WAN-Interfaces zugeordnet. Nun macht NAT wieder Sinn, da ich für ein und dasselbe Gerät je nach WAN-Interface, das abgehend genutzt wird, ja zwei IP-Adressen zum Internet haben kann. Der Router entscheidet, welcher Verkehr auf welchem Weg über welche IP-Adresse zu routen ist. Das kann auch Load-Balancing sein, d.h. es werden beide WAN-Interfaces nach gewissen Lastregeln verwendet.

--gandalf.

PS: Der Netgear-Router kann auch ohne NAT als gewöhnlicher Router arbeiten. Dann ist er Router zwischen Netzwerken, d.h. es müssen intern im LAN auch öffentliche IP-Adressen vergeben werden. Des weiteren wird ein Transitnetz zwischen Netgear und Telekom-Routern benötigt.