Dual WAN; Active-passive Failover vs Multipathrouting

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
horschd
Beiträge: 25
Registriert: Mo 28.06.2021, 11:39

Dual WAN; Active-passive Failover vs Multipathrouting

Beitrag von horschd »

Hallo Community,

habe hier folgendes Szenario für einen Endkunden:

ist:
1x HQ-Standort mit 2x WAN
2x WAN (1x a) Fibre GPON; 1x b) VDSL 50 hinter einer Fritzbox oÄ)
4x Filialen/Standorte, welche via Site-2-Site-VPN ans HQ angeschlossen werden sollen mittels UTMs BlackDwarfs
Site-2-Site-VPN Technologie: sofern möglich, gerne SSLVPN, da IPSec fehleranfällig ist...

soll:
HQ: 2x WAN 
WAN a) Fibre: eingehendes VPN Site-2-Site 
WAN b) DSL: ausgehender Traffic für HTTPs, etc....
 Features für den HQ-Standort:
  • Failover mit automatischem Switching aufs andere WAN bei Ausfall
  • Failover-Switch vom Site-2-Site-VPN, sodass die Filialen/Standorte automatisch umswitchen auf die andere Ziel-WAN vom HQ (oder das HQ initiiert die neue Site-2-Site-VPN zu den Filialen, da diese ebenfalls eine statische IPV4 haben)
  • optional: ggf. Loadbalancing via Multipathrouting
  • optional: ggf. dedizierter, ausgehender Traffic über WAN-Interface X

Habe mir schon diese zwei interessanten Artikel angeschaut:
Multipathrouting:
https://wiki.securepoint.de/UTM/NET/Mutlipathrouting
Site-2-Site SSLVPN mit Fallback:
https://wiki.securepoint.de/UTM/VPN/SSL ... S-Fallback

Frage
1) bei Einsatz von Multipathrouting: Fällt zB Interface WAN a) (Fibre) aus, switcht dann der Traffic automatisch zum Failover-WAN b) (DSL) bzw. umgekehrt?
Soweit ich das gelesen habe im Forum, kann Multipathrouting quasi kein Failover???

2) Soweit ich das Feature Multipatrouting verstanden habe,
kann das eigentlich "nur" Lastausgleich (Loadbalancing) zw. den WAN-Schnittstellen für ausgehenden Traffic;
jedoch kann Multipathrouting kein Failover-Switch?!?


3) Wie verhalten sich die Site-2-Site-VPNs der Filialen/Standorte, wenn im HQ ein WAN-Interface vom Multipathrouting ausfällt? Kann man beim SSLVPN auch eine Alternative-Route als Backup-Host eintragen fürs Site-2-Site-VPN?
(was ist da 'best practice' ? -> sofern die Filialen/Standorte ebenfalls eine feste ipv4-Adresse haben, könnte ja dann die HQ-UTM nach Failover-Switch vom WAN automatisch den Site-2-Site reinitiieren, oder?)

4) wie würdet ihr die Anforderungen realisieren?

Danke für Eure Ideen!

Benutzeravatar
Mario
Securepoint
Beiträge: 935
Registriert: Mi 04.04.2007, 10:47
Wohnort: Bäckerei

Beitrag von Mario »

Zu 1. : Wenn pppoe fuer die Einwahl seitens der Firewall verwendet wird, gibt es auch ein Failover. Denn wenn die Verbindung nicht steht, funktioniert die Default Route nicht. (Solange man wanx als Gateway im Routing benutzt). Dann geht es nur noch ueber die verbleibene Default-Route.

Zu 2. : Man gibt ein Verhaeltnis zwischen den entsprechenden Default-Routen an. Sonst > Siehe 1.

Zu 3. : Man kann mehrere Gateways fuer die VPN-Clients angeben. In der UTM einfach weitere Gateways hinzufuegen beim Client... Beim Securepoint SSL-VPN-Client kann dies ebenfalls in die Konfigruation hinterlegt werden.

Per Route kann man das Verhalten des VPN-Tunnels beim Aufbau seitens der UTM natuerlich auch bestimmen. Per Zielroute. Oder ueber die CLI ueber das Setzen eine lokalen Adresse (wenn ich mich korrekt entsinne: openvpn set id x local_address)

Ich wuerde fuer den Internetzugang, der nur VPNs anbindet, eine Quellroute anlegen und keine Default-Route. Den Tunnelserver dann so konfigurieren, das Multihome aktiv ist. Den VPN-Clients wuerde ich dann zuerst die IP dieses Anschlusses als Gateway angeben. Nachfolgend dann die IP des Haupt-Internetanschlusses. Alternativ koennte man das auch per dynamischen Host erledigen.
Mit freundlichen Grüßen

Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50

Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de

horschd
Beiträge: 25
Registriert: Mo 28.06.2021, 11:39

Beitrag von horschd »

Mario hat geschrieben: Zu 1. : Wenn pppoe fuer die Einwahl seitens der Firewall verwendet wird, gibt es auch ein Failover. Denn wenn die Verbindung nicht steht, funktioniert die Default Route nicht. (Solange man wanx als Gateway im Routing benutzt). Dann geht es nur noch ueber die verbleibene Default-Route.

Zu 2. : Man gibt ein Verhaeltnis zwischen den entsprechenden Default-Routen an. Sonst > Siehe 1.

Zu 3. : Man kann mehrere Gateways fuer die VPN-Clients angeben. In der UTM einfach weitere Gateways hinzufuegen beim Client... Beim Securepoint SSL-VPN-Client kann dies ebenfalls in die Konfigruation hinterlegt werden.

Per Route kann man das Verhalten des VPN-Tunnels beim Aufbau seitens der UTM natuerlich auch bestimmen. Per Zielroute. Oder ueber die CLI ueber das Setzen eine lokalen Adresse (wenn ich mich korrekt entsinne: openvpn set id x local_address)

Ich wuerde fuer den Internetzugang, der nur VPNs anbindet, eine Quellroute anlegen und keine Default-Route. Den Tunnelserver dann so konfigurieren, das Multihome aktiv ist. Den VPN-Clients wuerde ich dann zuerst die IP dieses Anschlusses als Gateway angeben. Nachfolgend dann die IP des Haupt-Internetanschlusses. Alternativ koennte man das auch per dynamischen Host erledigen.
Hallo Mario,
danke für deine Kommentare

zu 1) sofern ich das richtig verstehe, greift der Failover bei Multipathrouting also nur, wenn BEIDE WANs via PPPoE sich einwählen. Das ist dann leider kein Szenario meiner Wahl.
-> das müsste eigentlich ein Feature-Request sein, sodass Multipathrouting auch aktives Failover switcht bei Ausfall - unahängig von der Einwahl (PPPoE, statisch, uÄ)...

zu 3) bzw. gesamt: 
Ich tendiere nun dazu,
ein klassisches Active-Passive-Failover einzurichten:

WAN a) Fibre: VPN-only eingehend, sowie als passive Failover im Fall von Ausfall WAN b)
WAN b) DSL: "primäres" WAN ausgehender Traffic default, sowie zweites VPN-Gateway via MultiHome

Beide WANs fütter ich im globalen DNS mit Hostnamen und setze diese je in der globalen UTM-Konfig je als Gateways ein für die VPNs (inkl. Multihome)

Vorteile: 
+ einfacheres Netzdesign, einfacheres Troubleshooting
+ klassischer automatischer Failover bei Ausfall - unabhängig vom WAN-Typ (ob PPPoE, oder statisch oÄ)
+ eingehender (VPN)-Traffic wird primär via dem WAN mit dem starken Upload befeuert
+ ausgehender Traffic (HTTPs, etc.) geht primär über das andere WAN raus (DSL)

Nachteile:
- kein Loadbalancing bei ausgehendem Traffic
- die WAN a) mit stärkerem Down- und Upstream "langweilt" sich vom ausgehenden Verkehr her zwecks Auslastung....
- keine granularen Regeln zwecks ausgehendem Routing

Benutzeravatar
Mario
Securepoint
Beiträge: 935
Registriert: Mi 04.04.2007, 10:47
Wohnort: Bäckerei

Beitrag von Mario »

Ein gewoehnliches Fallback unterstuetzen wir natuerlich auch. das muss aber explizit eingerichtet werden.
Mit freundlichen Grüßen

Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50

Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de

Antworten