2 DSL Anschlüsse koppeln

[JBR]

@Gandalf

Ok - du hast mein Problem verstanden und die Ansätze sind fast gut!!!

Mit den 6 IP-Adresse liegst du auch richtig!

Nochmal zur jetzigen Umgebung mit einem Telekom-Anschluss:
Die 6 IP Adressen habe ich alle auf der externen Netzwerkkarte meiner Firewall
eingetragen und kann diese dann auch von der Firewall aus ansprechen.

Wie würde das mit dem Netgear aussehen??

Eigentlich möchte ich im ersten Schritt nur meine "Surfer" per "Loadbalancing" auf
den zweiten WAN-Port loslassen - der rest soll bleiben wie bisher!

Danke
TOM
PS: Ich habe ein gutes Gefühl, dass wir das zusammen hinbekommen!!

 

[gandalf94305]

Machen wir mal ein konkretes Beispiel:

- Telekom-Router A stellt an seinem LAN-Port die IP-Adressen 91.1.1.0/29 (91.1.1.0-91.1.1.7, d.h. 91.1.1.0/255.255.255.248) bereit.

- Telekom-Router B stellt an seinem LAN-Port die IP-Adressen 91.1.1.8/29 (91.1.1.8-91.1.1.15, d.h. 91.1.1.8/255.255.255.248) bereit.

- Das interne Netzwerk (LAN) der Firma hat 10.0.0.0/8.

- Der Firewall hat einen LAN-Port 10.0.0.1 und dient als Default-Router für alle LAN-Teilnehmer.

- Die LAN-Ports von Router A und B liegen auf zwei WAN-Ports des Firewalls. Der Firewall kann nun über 12 Adressen (an seinem WAN-1 sind dies 91.1.1.1-91.1.1.6 und an seinem WAN-2 die Adressen 91.1.1.9-91.1.1.14) verfügen, die per NAT auf das interne LAN abgebildet werden.

Kann der Firewall bereits Load-Balancing, so müsste man ihm nur sagen, daß z.B. http-Traffic auf beide Ports gehen soll. Dabei sollte man auch dns-Traffic nicht vergessen, denn http benötigt irgendwann auch dns und es hilft nichts, http redundant angebunden zu haben, jedoch keine Namen mehr auflösen zu können.

Kann der Firewall kein Load-Balancing, so muss man dies mit einem Router herstellen, der idealerweise den Firewall einfach ersetzt.

Dazu stellt man analog die Konfiguration wie oben her, d.h. die beiden WAN-Interfaces des Routers werden mit den LAN-Ports von Router A und B verbunden. Teilnehmer am LAN werden an LAN-Ports des Routers direkt oder per Switch angeschlossen. Der Router erhält nun die 2 x 6 IP-Adressen zugeordnet (siehe Anleitung für Multi-NAT) und kann damit - wie der Firewall zuvor - diese auf interne Teilnehmer abbilden. Die Load-Balancing Konfiguration des Routers beschreibt, wie abgehender Traffic auf die beiden WAN-Ports zu verteilen ist. In diesem Fall wäre es für http, https, dns zu definieren.

Natürlich kann man auch den Firewall hinter dem Router oder sogar parallel betreiben, aber das sind spezielle Varianten, auf die ich jetzt mal nicht eingehen will.

--gandalf.

PS: Welcher Firewall ist denn das und was sind seine Funktionen?

 

[JBR]

KLASSE - fast hab ich das kapiert - das Beispiel ist ganz ok!!!

Ich habe einen Microsoft ISA Server als Firewall im Einsatz und das soll auch
so bleiben. An dieser hängt zur Zeit der eine Telekom Router mit seinen 6 Adressen!

Mit dem Netgear (oder einem ähnlichen Produkt) soll nun die Bandbreite zum "surfen"
erweitert werden - alles andere soll vorerst so bleiben wie es ist.

Somit muss ich nun NUR die beiden kleinen Netze, die von den Telekom-Routern
zur Verfügung gestellt werde, per NAT (über den Netgear) auf meine Firewall bringen
und genau hier "weis ich nicht wie" und habe auch keine Vorstellung !!!

Aber sonst hast du das alles genau erfasst - SUPI!!!

Danke
JBR

 

[gandalf94305]

Ok, Microsoft ISA Server kann diese Form des Load Balancing leider nicht selbst und EMC hat RainConnect als Produkt eingestellt. Die Optionen sind also (mal vom Betrieb zweier ISA-Server mit je einer Anbindung abgesehen) recht beschränkt auf die Nutzung eines Geräts vor dem ISA-Server, das die Load-Balancing-Anbindung umsetzt.

Ich nehme an, daß die beiden Telekom-Router mit ihren LAN-Interfaces auf einen Switch geführt werden, an dem auch der Firewall hängt. Hinter dem Firewall liegt das LAN.

Man würde den Dual-WAN-Router nun einfach anstelle des Switches zwischen externe Router und Firewall schalten, d.h. LAN-Interfaces der Telekom-Router werden an die WAN-Interfaces des Netgear gesteckt und das WAN-Interface des Firewalls kommt an LAN des Netgear. Da nun jedoch die externen Adressen aus Sicht des Firewalls andere sein müssen, solltest Du ein privates Netzwerk einführen, z.B. 192.168.0.0/24. LAN des Netgear wäre z.B. 192.168.0.254 und die externen Adressen am Firewall wären ebenfalls aus diesem Bereich.

Wenn die externen IP-Adressen bestimmten internen Systemen entsprechen, dann sollten diese auch auf eigene Adressen im Zwischennetz abgebildet werden, also z.B.

- Öffentliche IP-Adresse eines Webservers 91.1.1.1
- Netgear macht daraus ein direktes Mapping auf 192.168.0.1 im Transitnetz zum Firewall
- Der Firewall bildet diese Adresse auf 10.0.1.1 im LAN ab.

Der Firewall muss in dieser Konfiguration jedoch nicht unbedingt mit NAT betrieben werden, da dies ja der Netgear-Router bereits tut.

Abgehend würde man http und dns auf beiden Netzwerk-Interfaces des Netgear erlauben und damit ein Load-Balancing für Browser-Zugriffe ins Internet ermöglichen.

--gandalf.

 

[sterkel]

Eine ganz nette, wenn auch sehr teuere Lösung gibts von Viprinet.
Aber vielleicht kann man sich ja auch selber auf so einer Multi-WAN-VPN-Lösung was stricken und als "Exit-Node" einen V-Host oder so hernehmen.

 

[gandalf94305]

Es gibt für diesen Zweck auch Systemen von Blue Coat oder Barracuda... bzw. Softwarelösungen, Apache eingeschlossen. Diese Lösungen sind jedoch entweder per se deutlich teurer als ein Dual-WAN-Router oder erfordern mehr Hardware.

Sucht man mal nach "dual wan router" in einer Suchmaschine der Wahl, findet man ein paar einschlägige Produkte von Netgear, D-Link, Allnet, Lancom und Funkwerk.

--gandalf.

 

[JBR]

@Gandalf

Ja, die Idee mit dem Switch und den beiden synch. DSL Zugängen ist gut - würde
dies so funktionieren??
Also vorrausgesetzt ich würde das IP-Handling auf meiner Firewall selbst machen können!

Da dies aber am ISA Server nicht möglich ist - der hat nur ein "default Gateway" - muß
man mit dem Router arbeiten. Somit habe ich an den WAN Ports die IP-Adressen

212.85.xxx.1 - 212.85.xxx.6
und
212.86.xxx.1 - 212.86.xxx.6

anliegen. Was habe ich dann auf der LAN-Seite vom Router???

CU
JBR

 

[gandalf94305]

Das wäre dann beispielsweise folgendermassen:

- Telekom-Router A LAN und WAN1 des Load-Balancing-Routers: 212.85.xxx.1 - 212.85.xxx.6
- Telekom-Router B LAN und WAN2 des Load-Balancing-Routers: 212.86.xxx.1 - 212.86.xxx.6
- Load-Balancing-Router LAN: 10.0.0.1/24
- LAN mit den Adressen: 10.0.0.11-10.0.0.16 die per Multi-NAT den jeweiligen 212.x.y.z Adressen entsprechen (wobei jeder LAN-IP-Adresse jeweils eine WAN1/2-IP-Adresse zugeordnet wird)
- Firewall WAN: 10.0.0.11-10.0.0.16
- Firewall LAN hat den bisherigen, lokalen Adressbereich

Es ändert sich in der ganzen Konfiguration nur die Tatsache, daß zwischen Load-Balancing-Router und Firewall nun ein Transitnetz eingerichtet wird, und daß die öffentlichen IP-Adressen nun am Router statt am Firewall anliegen.

Theoretisch könnte man auch die öffentlichen Netze entsprechend nach intern routen, aber man kann in den Telekom-Routern normalerweise keine eigenen Routings eintragen - diese erwarten ein Netzwerk mit Endgeräten oder NAT-Routern.

--gandalf.

 

[JBR]

Uiiii,

bist du heute kreativ!! DANKE !!

Könntest du mir nochmal kurz erklären wie du Dein "Kabel-Internet" an
dem Netgear dran hast?
(der Anschluß ist ja fast mit meiner Umgebung vergleichbar)

Einfach anstecken und freuen oder muß man dem Netgear dann beibringen
dass er am WAN2 keine Zugangdaten braucht?
(ich habe jetzt einfach mal Dein WAN1 mit T-DSL und WAN2 mit Kabel-Internet bestückt)

Übrigens: Der FVX538 ist bestellt!!

Danke
JBR

 

[JBR]

SO,

eben nochmal mit dem Netgear-Support telefoniert und eine klare Aussage erhalten!!!

Ich muß nun dem Netgear FVS538 erklären, daß er selbst keinen Login durchführen
muß und daß er kein NAT ververwenden soll - klassisches Routing anklicken und freuen!!
Somit hätte ich auf der LAN Seite, vom Netgear, meinen kompletten IP-Bereich
aus dem Telekom Anschluß zur Verfügung. Kommt der zweite T-COM Anschluss, wird
die am WAN2 genauso eingestellt und ich habe dann auch die neuen IP Adresse auf
der LAN-Seite!!

Ist dies für Dich nachvollziehbar??

Danke
JBR

 

[gandalf94305]

In diesem Fall müssen die Telekom-Router jedoch ihre Netze über WAN1/WAN2 des Netgear routen und können nicht einfach per ARP die MAC-Adresse der Endgeräte erfragen. Bei NAT im Netgear antwortet dieser quasi als Proxy, bei klassischem Routing sollte er eigentlich nicht antworten, sondern nur Routing akzeptieren. Diese Variante geht meiner Meinung nach also nur, wenn die Telekom-Router das öffentliche Netz dann über eine Transit-IP-Adresse auf den WAN-Interfaces des Netgear routen. Das solltest Du mit der Netgear-Hotline nochmals klären.

Ich ging bisher davon aus, daß eine Modifikation der Konfiguration der Telekom-Router nicht möglich ist.

Der Punkt mit "kein Login" ist klar, da es ja statische Zuordnungen sind und die Authentisierung für die Internetverbindung via Telekom-Router schon erfolgt.

--gandalf.

 

[JBR]

..... dass ich an den Telekom Routern nichts machen kann, ist immer
noch die Tatsache!
Jedoch hat mir der Supporter von Netgear erzählt, dass der FVX538
(also DEINER) dies problemlos machen würde - einfach auf klassisches
Routing stellen und freuen!!

Nebenbei bemerkte er, dass der Netgear eigentlich viel mehr kann
als dies, was ich Ihm abfordern möchte.

Mal sehen - morgen soll ich das Teil bekommen ))

Ich berichte wieder

Danke
JBR

 

[gandalf94305]

Na, da bin ich aber mal gespannt

--gandalf.

 

[JBR]

So - gestern ist der Router eingetroffen und ich habe mal munter konfiguriert!
WAN1 und WAN2 eingerichtet und ein Client auf die LAN Seite - fast alle Voreinstellungen
unverändert gelassen und schon war ich im Internet!!!
Leider ist nun NAT aktiviert und ich habe auf der LAN Seite ein drittes Netz - also
ein privates Netzwerk mit 192.168.1.0.

Da dies nicht in meinem Sinne ist und der Netgear Supporter auch der Meinung war,
dass mein Vorhaben funktionieren würde habe ich mal auf "classical routing" umgestellt.
Leider komme ich jetzt nicht mehr ins Internet.
Die LAN Seite hat nun eine Adresse aus dem Bereich von WAN1 - auch habe ich
noch eine "secondary IP Addres" aus dem WAN2 Bereich auf die LAN Seite gebracht und
muss feststellen, dass es einfach nicht funktionieren will.

Muß ich noch irgendwo drehen (in der Konfig) um den Router zum routen zu bringen??

@Gandalf
Hast du noch eine Idee dazu??

Danke
JBR

PS: Vielleicht muß der Thread nun langsam in den Bereich von Netgear geschoben werden, oder??

 

[gandalf94305]

Das Problem ist folgendes (und daher drückte ich oben meine Skepsis an dem Vorschlag des Netgear-Supports aus):

- Mit NAT hast Du immer ein Zwischennetz. Das ist jedoch nicht schlimm, da man einfach die öffentlichen IP-Adressen IPö1(n) und IPö2(n) (hinter WAN1 und WAN2) auf eine Transitadresse IPt(n) (im LAN hinter dem Netgear-Router) abbildet, die am Firewall dann anliegt. Dieser merkt vom NAT normalerweise nicht viel. Diese Variante geht auf jeden Fall und ohne Modifikation der Telekom-Router.

- Ohne NAT und mit "classical routing" hast Du einen Router statt Endgeräten an den Telekom-Routern hängen. Diese können jedoch nichts von Deinem Netz und der Notwendigkeit, einen Router anzusprechen, wissen, d.h. sie routen nicht. Sie fragen per ARP nach Endgeräten. Das geht also m.E. nicht ohne Modifikationen der Routing-Tabellen der Telekom-Teile.

Mit anderen Worten: Dein Router routet korrekt, aber die Telekom-Router routen nicht zu ihm. Es ist jedoch auch im Fall von Routing erforderlich, ein Transitnetz intern zu haben, denn zwischen was soll der Netgear sonst routen? ;-)

--gandalf.

 

[JBR]

Hi Gandalf,

du meinst ich soll alles mit NAT machen und dann im LAN die öffentlichen
IP Adressen anhängen (Multi Home) ??

Wie muss ich dann die Zuordnung von ext. Adressen nach int. Adressen
machen - wo wird das eingestellt??

Danke
JBR

 

[gandalf94305]

Das ist das Thema "Multi-NAT". Den Link auf den KBServer von Netgear mit dem entsprechenden Dokument hatte ich oben mal gepostet.

--gandalf.

 

[JBR]

So, habe nun mal viel getestet aber der Vorschlag vom NetGear Support
bringe ich nicht ans Laufen und habe daraufhin auf "MultiNat" umgeschwenkt!!
Eigentlich lief es dann sofort, zumindest für allen ausgehenden Traffic.

Mit dem "eingehenden Traffic" habe ich schon einige Probleme.

Eine Webserververöffentlichung ist kein Problem, jedoch hatte ich schon ein paar
Verständnisprobleme bei der Mailserververöffenlichung. Hier habe ich die IP Adresse
vom Mailserver in die Multi-NAT-Liste eingetragen - also einfach eine Zuordnung der
öffentlich IP Adresse (vom Mailserver) zu der IP Adresse im Transit-Netz.
Lief aber nicht!!

Erst als ich den Port (25) zugeordnet habe, liefen meine eingehenden Mails wieder.
Genau hier beginnt mein Verständnisproblem!
Ich habe die IP Adresse des Mailservers aus dem Transit-Netz auf die öffentliche
IP Adresse des Mailservers gelegt und für "Any-Service" zugelassen. Hier sollte doch
auch SMTP drinne sein!!!

Hat jemand eine Idee dazu??

Danke
JBR

 

[gandalf94305]

Hmm... da sollte auch SMTP drin sein... aber es kann sein, daß das Binding speziell für alle Ports via Portbereich definiert sein muss. Das habe ich im Detail noch nicht getestet. Hier könnte der Netgear-Support helfen.

--gandalf.

 

[JBR]

So, habs nochmal zurück gestellt (ohne Portangabe) und es geht nicht!!
Also wieder den Port dazu und freuen.

Meine beiden DSL Anschlüsse (Compay-Connect 2048 synchron) laufen richtig
gut und der FVX538 macht einen tollen JOB.

Insgesamt war alles viel einfacher als ich mir vorgestellt hatte und dann möchte
ich noch einen besonderen Dank an "Gandalf94305" :groesste: loswerden, für die tolle
Unterstützung bei meinem Vorhaben - TOP - ich habe sehr viel dabei gelernt!!!!

CU
JBR