Zwei redundante VPN-Verbindungen (mit zwei Fritzboxen auf einer Seite)

LarsIP

Neuer User
Mitglied seit
15 Jun 2005
Beiträge
174
Punkte für Reaktionen
0
Punkte
16
Hallo,

DSL und Kabelinternet funktionieren ja nicht immer, aber die die Wahrscheinlichkeit, dass beides gleichzeitig ausfällt, ist schon sehr gering. Ich wüsste deshalb gerne, ob folgendes redundante VPN-Vernetzungsszenario zwischen zwei Netzwerken/Standorten funktioniert.

An einem Standort zwei Stück FB 7390:
  • die erste FB hängt am VDSL und befindet sich IP-mäßig im Netz 192.168.1.0 (welche IP genau spielt für das Bsp. keine Rolle), DHCP-Server ist deaktiviert, DynDNS: serveranbindung1.dyndns.org
  • die zweite FB am selben Standort ist über LAN1 am Kabelmodem angeschlossen und im Netz 192.168.2.0, DHCP-Server ist deaktiviert, DynDNS: serveranbindung2.dyndns.org
Diese beiden Fritzboxen sind jeweils per Lankabel mit einer dritten Box verbunden (Hersteller eigentlich egal), DHCP aktiviert, Netzwerk 192.168.0.0.

Statische Routen
In den beiden obigen Boxen sind statische Routen eingetragen zum Router für das Netzwerk 192.168.0.0.

VPN
Die beiden ersten Boxen sind ja über unterschiedliche DynDNS-Namen erreichbar. In einer weiteren, entfernen FB (=anderer Standort) sind nun VPN-Verbindungen zu diesen beiden Netzen (192.168.1.0 und 192.168.2.0) konfiguriert. Entsprechend der Anleitung

Wie kann ich über eine VPN-Verbindung zwischen zwei FRITZ!Box-Geräten (LAN-LAN) auf mehrere IP-Netzwerke hinter einer FRITZ!Box zugreifen?

wird das VPN-Configfile der entfernten FB an zwei Stellen um das Netzwerk 192.168.0.0 ergänzt. Also für die Verbindung zum Netzwerk 192.168.1.0 um die Zeile darunter:

accesslist =
"permit ip any 192.168.1.0 255.255.255.0",
"permit ip any 192.168.0.0 255.255.255.0";

und für die Verbindung zum Netzwerk 192.168.2.0 ebenfalls um diese (gleiche) zweite Zeile:

accesslist =
"permit ip any 192.168.2.0 255.255.255.0",
"permit ip any 192.168.0.0 255.255.255.0";


Ich hoffe mein Ansinnen geht irgendwie aus meiner bisherigen Beschreibung hervor: Ich möchte, dass das Netzwerk 192.168.0.0 über zwei VPN-Verbindungen gleichzeitig erreicht werden kann. In der Folge soll dann eine der beiden VPN-Verbindungen (zu 192.168.1.0 oder zu 192.168.2.0) wahlweise zusammenbrechen dürfen und der Verkehr zu 192.168.0.0 dann automatisch über die jeweils andere VPN-Verbindung geleitet werden.

Darf ich im Configfile überhaupt zweimal "permit ip any 192.168.0.0 255.255.255.0"; haben (siehe oben) oder funktioniert dann gar nichts mehr?

Wechselt der Verkehr zu 192.168.0.0 automatisch auf die jeweils andere VPN-Verbindung, wenn eine von beiden unterbrochen wird?

Wie macht sich die Zwangstrennung der VDSL-Leitung alle 24 Stunden bemerkbar? Durch einen Wechsel auf die andere VPN-Verbindung und bleibt der Verkehr dort?

Kann man es so einstellen, dass der dritte Router nicht NATtet?

Ich würde mich freuen, wenn sich jemand meiner "Spinnereien" annimmt bevor ich versuche es in die Tat umzusetzen (und es dann evtl. gat nicht funktioniert)^^
 
Darf ich im Configfile überhaupt zweimal "permit ip any 192.168.0.0 255.255.255.0"; haben (siehe oben) oder funktioniert dann gar nichts mehr?
Nein. Es gibt plötzlich zwei Routen ins gleiche Zielnetz. Davon wird maximal eine benutzt.

Wechselt der Verkehr zu 192.168.0.0 automatisch auf die jeweils andere VPN-Verbindung, wenn eine von beiden unterbrochen wird?
Nein. Es wird eh nur maximal eine von beiden Verbindungen aktiv sein. Welche das ist, kann vorab nicht eingeschätzt werden. Da das Verbindungsmanagement der Fritzbox die Verbindungen dynamisch auf Anforderung aufbaut, wird es immer wieder versuchen, die gleiche Verbindung aufzubauen, obwohl es eine Alternative gibt.

Wie macht sich die Zwangstrennung der VDSL-Leitung alle 24 Stunden bemerkbar? Durch einen Wechsel auf die andere VPN-Verbindung und bleibt der Verkehr dort?
Entweder gar nicht oder durch den erneuten Aufbau der Verbindung. Je nachdem, welche Verbindung aktiv ist.

Kann man es so einstellen, dass der dritte Router nicht NATtet?
Das kommt auf den Router an.

Wenn du redundante Verbindungen realiseren willst, würde ich den c't Artikel zum Multipath-Routing empfhelen. Die VPN Verbindung sollte dabei pro-aktiv von der Seite mit den zwei redundanten Verbindungen aufgebaut werden. Dort lässt sich über Load-Balancing sicherstellen, dass sie immer über eine verfügbare Verbindung läuft.
 
oder Du knallst noch einen Load Balacing Router wie den Cisco (linksys) RV042 mit den beiden WAN Ports an die beiden Fritzboxen.
Allerdings hat der nur einen Duchsatz von 25 Mbit. Dann Sollte das gehen.
 
Hallo,
Du könntest es auch mit Lancom Routern probieren. Die können sowohl Load-Balancing als auch eine Verbindung als Backup-Verbindung (wird nur verwendet wenn die erste ausfällt) definieren. Ich bin mir jedoch nicht sicher wie gut das Load-Balancing mit zwei Leitungen funktioniert die unterschiedliche Übertragungsraten haben. Die Lancom Router sind zwar einiges teurer als die Fritz-Boxen, aber dafür brauchst Du auf jeder Seite nur einen Router.
Gruß, Nils
 
Load Balacing Router wie den Cisco (linksys) RV042 ... Duchsatz von 25 Mbit ...

Wenn Du den RV082 aus gleichem Hause nimmst, dann schafft der auch deutlich mehr Durchsatz. Laut Datenblatt je WAN-Port 100 MBit/s. In Ermangelung der passenden Anschlüsse kann ich nur Bestätigen, dass der Router mit zwei VDSL50-Anschlüssen keine Probleme hat und den vollen Durchsatz liefert.
 
Danke Euch für die Erleuchtung in der Angelegenheit - ich werden mir die Alternativprodukte mal ansehen und vorerst von dem Doppel-Fritzboxen-Konzept Abstand nehmen :)
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.