Dual-WAN, 2 Provider, 2 Fritz!Boxen, Load Balancing

[DoubleFritz]

Hallo zusammen,

mit meiner Frage bin ich bis jetzt im Forum nicht fündig geworden, deshalb hier eine Frage zu meiner etwas exotischen Konfiguration.

ISP 1:
Kabel Deutschland
dynamische IP
32 MBit/s
3 Rufnummern
ISDN-Funktionalität
verdongelte Fritz!Box 7270

ISP 2:
1 & 1
Komplett-Anschluss
dynamische IP
6 MBit/s
4 Rufnummern
ISDN-Funktionalität
Fritz!Box 7490

24-port Switch für das interne Netzwerk
D-Link DGS-1210-24

im internen Netzwerk
2 NAS-Systeme
div. Windows 7- und Linux-PCs
Andoroid- und iOS-Smartphones

Meine Auerswald Telefonanlage 4410 COMPact USB hat 2 externe S0-Anschlüsse, einer geht auf die FB7270, einer auf die FB7490. Die 7 Rufnummern benötige ich, ebenfalls die Ausfallsicherheit durch zwei unabhängige Provider, da sowohl meine Frau als auch ich selbständig tätig sind.
Für das Internet kann ich allerdings in meiner jetzigen Konfiguration nur den KD-Anschluss nutzen. Ich möchte aber die 6 MBit/s des 1&1-Anschlusses nicht ungenutzt lassen. Deshalb habe ich mir einen Multi-WAN-Router von TP-Link (TL-ER5120) gekauft. Den wird der freundliche Packerlpostler heute bei mir abliefern.
Auf der FB7270 habe ich noch eine Portfreigabe über einen DynDNS-Anbieter eingerichtet. Die brauche ich auch noch weiterhin. Wie muss ich die handhaben, weiterhin in der FRitz!Box oder im Dual-WAN-Router oder in beiden? Wie muss ich den und die Fritz!Boxen für optimales Load-Balancing konfigurieren?
Meine Idee war:

1. Jede Fritz!Box bekommt intern eine private IP aus unterschiedlichen Adresskreisen, z. B. FB7270 192.168.aaa.1 und FB7490 192.168.bbb.1.
2. Die DHCP-Server in den Fritz!Boxen werden deaktiviert.
3. Der DHCP-Server im TP-Link-Router wird für das interne LAN aktiviert, um die Clients im internen Netz mit IP-Adressen zu versorgen.

Welche IP-Adressen brauchen die WAN-Ports am TP-Link? Ich hätte WAN 1 fest auf 192.168.aaa.2 und WAN 2 fest auf 192.168.bbb.2 eingestellt und gut ist. Das interne Netz bekommt IP-Adressen aus dem Kreis 192.168.ccc.1 - 192.168.ccc.255.

Funktioniert meine Idee überhaupt oder habe ich einen schweren Denkfehler gemacht?

Danke für alle Tipps und Hinweise

Christian

 

[PeterPawn]

Genauso sollte das problemlos funktionieren ... ich habe das bei mir in ähnlicher Form laufen.

Mein TP-Link-Router ist zwar ein Mini-PC mit Linux, aber dieser Unterschied ist wohl zu vernachlässigen, wenn der TP-Link-Router über passende Mechanismen verfügt, um erstens die Verfügbarkeit einer Leitung zu überwachen (seine physikalische Ethernet-Verbindung zur jeweiligen FRITZ!Box wird ja i.d.R. nicht getrennt und somit "sieht" jede Leitung für ihn immer "verfügbar" aus) und andererseits bei Ausfall einer Leitung als Failover auf die andere Leitung umzuschalten.

Je nach Intelligenz des Gerätes macht sich dann der Ausfall einer Leitung als fehlerhafter Verbindungsversuch, der vom Client wiederholt werden muß, bemerkbar oder es gelingt dem internen Router sogar - anhand des ausbleibenden SYN-ACK auf der einen Leitung - den (potentiellen) Ausfall direkt zu erkennen und transparent auf die andere Leitung umzuschalten ... dann verzögern sich für die Dauer der "down detection" der einen Leitung alle Verbindungsversuche, die über die ausgefallene Leitung geroutet werden sollten, um die Länge eines TO-Intervalls für das SYN-ACK (das beim Router natürlich geringer sein sollte, als beim anfordernden Client).

Wie gut das also am Ende wirklich funktioniert (auch als Load-Balancing), hängt von der Intelligenz des TP-Link-Routers ab ... mir waren damals solche Geräte zu unflexibel und so habe ich mich für einen passenden internen Linux-Server auf einem recht stromsparenden Mini-PC entschieden, da es auch noch andere Aufgaben im LAN gab/gibt (Medienzuspieler, NAS, interner HTTP-Server), die das Gerät gleich mit übernehmen konnte.

 

[thtomate12]

An der 7270 hängt doch wahrscheinlich ein Modem? Dann könntest auf die 7270 verzichten und vielleicht das mit der Telefonie hinter dem Router regeln

 

[DoubleFritz]

Du hast Recht, die FB7270 hängt an einem Kabelmodem. Aber: KD rückt doch die Zugangsdaten nicht raus und die müsste ich doch nach meinem Verständnis im TP-Link eintragen, oder sehe ich da etwas falsch?
Schönen Abend noch

Christian

 

[DoubleFritz]

Heute ist der TP-Link gekommen. Dann mache ich mich morgen mal ans Basteln.

Ein schönes (Rest-)Wochenende

Christian

 

[thtomate12]

Bei Kabelzugang sind die Zugangsdaten die MAC des Modems und diese bleibt gleich, da es immer noch das Modem ist.
Probiere es einfach aus: Einen Rechner per LAN dran und Modem neustarten, dann sollte es Netz geben.

 

[PeterPawn]

Die Provisionierung der SIP-Accounts für die Telefonie erfolgt aber bei der 7270v2 (HomeBox 1) über TR-069 und damit würde ich die Entfernung der 7270 aus der Konfiguration (wenn man den zusätzlichen Stromverbrauch mal ignoriert) keinesfalls empfehlen (es sei denn, die Telefonie über KDG soll parallel wegfallen). Es ist zwar möglich, die SIP-Accounts aus einer bereits provisionierten 7270 auszulesen, aber auch dann wird ja wohl immer noch eine passende IP-Telefonanlage benötigt und dann kann man auch gleich die 7270 benutzen.

 

[DoubleFritz]

Grüß Euch,

vielen Dank für die Tipps. Prinzipiell funktioniert es fast so wie ich es mit gedacht, und PeterPawn es geschrieben hatte. Und trotzdem geht der TP-Link am Wochenende zurück zum Versender, denn der erste WAN-Port scheint defekt zu sein. Die FB7270 tut wunderbar am 3. WAN-Port, die FB7490 am 2. nur am ersten will keine von beiden.

Jetzt habe ich nur noch ein Problem: Ich habe für den CalDav-Server und für meine OwnCloud (laufen beide auf einem Synology NAS) Portfreigaben eingerichtet. Die funktionieren mit dem zwischengeschalteten Load Balancer nicht mehr. Der TP-Link hat intern fest gespeicherte DynDNS-Anbieter, da kann ich meinen gar nicht eintragen. Die Frage ist, wie kann ich über die FritzBox durch den TP-Link die Portweiterleitung auf mein NAS bringen?

Einen schönen Abend
Christian

 

[thtomate12]

Die Portweiterleitung musst du in TP-Link einrichten, der ist ja dein Gateway
DDNs können die Fritzboxen weiterhin machen

 

[PeterPawn]

@DoubleFritz:
Die DynDNS-Anbieter sollten weiter über die jeweilige FRITZ!Box laufen, ggf. kann man da auch MyFRITZ! verwenden. Da die FRITZ!Boxen ja die Einzigen sind, die eine Änderung der IP-Adresse ohne permanentes Polling ermitteln können, ist das der absolut richtige Platz für die Verwaltung der DynDNS-Adressen.

Für die Freigaben gibt es zwei Möglichkeiten:

1. Die Freigaben werden jeweils in der FRITZ!Box mit dem Ziel "TP-Link" und einer dedizierten Portnummer eingetragen.

2. Der TP-Link wird in beiden FRITZ!Boxen als "exposed host" definiert.

Der TP-Link muß dann wieder die ankommenden Verbindungen ordentlich vom entsprechenden WAN-Port in sein eigenes LAN weiterleiten. Es ist also auf allen drei Routern eine entsprechende Einstellung vorzunehmen.

Variante 1 benötigt einiges an manueller Arbeit, da für jede benötigte Freigabe Eintragungen in den FRITZ!Boxen vorzunehmen sind. Variante 2 leitet alle "unbekannten" Ports automatisch an den TP-Link, setzt diesen dadurch aber auch Angriffen auf bisher unbekannte Lücken in der Firmware des TP-Link aus, wenn solche existieren sollten. Beides hat also Vor- und Nachteile.

Wenn die internen Dienste (CardDAV+OwnCloud) als "virtuelle Server" laufen (es also eine Rolle spielt, unter welchem Servernamen sie angesprochen werden), dann müssen dort natürlich alle benutzten DynDNS-Namen (also irgendwelche Provider + ggf. MyFRITZ!) konfiguriert werden, da im "Host:"-Header bzw. im SNI-Header bei TLS natürlich unterschiedliche Namen im Request enthalten sind, je nachdem, ob der Zugriff über 1&1 oder KDG erfolgt.