2 Gateway in einem Netzwerk sinnvoll nutzen?

[Beakinz]

Moin moin,
nur mal angenommen man hätte zwei Internetanschlusse.
Zum Beispiel einmal bei Magenta und einmal bei Kabel.
An beiden Anschlüssen hängt ein Router mit entsp. Modem.

Das Ziel wäre nicht (wie man vielleicht erwarten sollte) eine Bündelung der Bandbreite,
sondern in diesem Fall eigentlich eine verbesserte Ausfallsicherheit.
Also geht Anschluss 1 nicht, dann wird eben 2 genommen... und umgekehrt.
Wenn man vor Ort ist... also einfach die Gateway-Ip von 1 auf 2 ändert, dann
wäre es natürlich kein Problem, aber was tun, wenn es darum geht, von extern
rein zu kommen? Bzw. ein Automatismus erwünscht ist?

Gibt´s günstige Router, die 2 Wan´s haben? Und die das irgendwie erkennen?

Hat jemand Erfahrung mit 2 Anschlüssen...

 

[MetalForLive]

Ja es gibt Router mit zwei WAN Interfaces, die kann man dann in der Regel entsprechend konfigurieren.

 

[TheNam3less]

Nennt sich Failover und ist quasi Basis-Funktionalität bei Dual-WAN-Routern.
Empfehlen kann ich leider keinen, da ich selbst nie einen hatte, aber bspw. bei Geizhals lässt sich die Auswahl wunderbar nach Anzahl der WAN Ports filtern.

 

[Telvanis]

Naja wenn von extern was reinkommt, wird das logischerweise auf die IP antworten, die sich da vorher gemeldet hat. kommt also drauf an, welcher router angefragt hat...

 

[d2boxSteve]

Was gut funktioniert und für privat kostenlos ist: Sophos UTM, einfach nen PC mit 3 Netzwerkkarten und los :=)
https://www.sophos.com/de-de/products/free-tools/sophos-utm-home-edition.aspx

 

[MetalForLive]

Die UTM hat aber ein IP Adressenlimit in der Free Version, ich weiß jetzt gerade nicht wie viel es genau war aber das kann man durch google raus finden.
Ist für die meisten Heimnetze nicht von belangen aber die Sophos XG hat das in der Free Version soweit ich weiß nicht, daher würde ich die lieber nehmen.

 

[OliverL87]

Nehm lieber die UTM Home Edition, da kannst du 50 IP-Adressen verwenden, sollte für daheim reichen.

 

[Rego]

Ich hätte aktuell einen im Angebot, der diese Funktionalität bieten sollte:
Dual WAN Firewall

 

[tobi166]

Ich habe einen Cisco RV320, hat Dual-Wan und als weiteres "Backup" kann man noch einen 0815 USB 3G/4G-Stick einstecken der dann nativ vom Gerät verwendet wird.

 

[Raijin]

Naja wenn von extern was reinkommt, wird das logischerweise auf die IP antworten, die sich da vorher gemeldet hat. kommt also drauf an, welcher router angefragt hat...

Jein. Auch auf die Gefahr hin, klug zu sch..reiben:

Grundsätzlich schickt ein Gerät sämtlichen Datenverkehr, der ins Internet gehen soll, über das Standard-Gateway. Wenn nun sogesehen 2 Gateways vorhanden sind, die .1 und die .2, dann wird das Gerät auch dann noch in Richtung .1 antworten, wenn eine Portweiterleitung im 2. Router von außen angesurft wurde.

Bei 2 Gateways im Netzwerk ist es für das Endgerät nicht erkennbar von welchem Gateway die Portweiterleitung kommt. Bei einer Portweiterleitung wird lediglich die Ziel-IP und der Ziel-Port eines Pakets ausgetauscht. Die Quell-IP bleibt wie sie ist.


Beispiel:

Gateway1: 192.168.1.1 (DSL)
Gateway2: 192.168.1.2 (Kabel)
Server: 192.168.1.254 --> Standard Gateway 192.168.1.1

Wenn nun von außen (zB von 1.2.3.4) auf die DSL-IP zugegriffen wird, dann ändert der dortige Router einfach nur Ziel-IP und -Port, um die Verbindung zum Server weiterzuleiten. Dieser wiederum bekommt eine eingehende Verbindung von 1.2.3.4 und wird seine Antwort auch an 1.2.3.4 richten - über das Standard Gateway 192.168.1.1. Soweit so gut, von da kam ja auch die Anfrage.
Wird nun von außen allerdings auf die Kabel-IP zugegriffen, dann macht der dortige Router dasselbe wie der DSL-Router, Ziel-IP und -Port umleiten. Der Server bekommt abermals eine eingehende Verbindung von der Quell-IP 1.2.3.4 und wird seine Antwort erneut an 1.2.3.4 richten - wie gehabt über das Standard Gateway. Die Folge wäre, dass die Quelle eine Anfrage an die Kabel-IP schickt, aber eine Antwort von der DSL-IP bekommt und demnach schlicht und ergreifend keine Verbindung zustande käme (weil die Quelle ja nix vom Dual-WAN weiß).

Um so ein rudimentäres Multi-WAN-Setup zum Laufen zu bekommen, müsste man an dieser Stelle zusätzlich zur Portweiterleitung - auch Destination NAT genannt - ein passendes Source NAT hinzufügen. Dadurch würde neben den Ziel-Informationen auch die Quelle modifiziert und der Server würde von der öffentlichen IP 1.2.3.4 gar nichts mitbekommen, weil der Router sich selbst als Quelle ausgibt, ähnlich wie ein Router es in Richtung Internet mit private vs öffentliche IP tut, nur andersherum. Bei einem Consumer-Router hat man keine Möglichkeit, solch ein SNAT einzurichten, weil das rein gar nichts mehr mit den 08/15 Szenarien gemein hat, für die solche Router konzipiert wurden. Dafür braucht es dann schon einen fortgeschrittenen Router oder zB einen mit alternativer Firmware wie zB OpenWRT.


Lange Rede, kurzer Sinn: Einfach nur 2 Gateways ins Netzwerk zu hängen, kann bestenfalls als eine Art manuelles Fallback fungieren. Da würde man am Endgerät kurzerhand das Standard-Gateway von .1 auf .2 umstellen und künftig über die zweite Internetverbindung gehen. Ein richtiger Multi-WAN-Router wiederum kann verschiedene Szenarien abdecken. Beispielsweise Load Balancing oder eben Fallback. Im Router definiert man Regeln, anhand derer der Router die Internetverbindung verwalten soll, zB eben "immer WAN1, aber im Notfall WAN2". Auch hier müssen aber die Portweiterleitungen explizit für Multi-WAN modifiziert werden damit obiges Fehlrouting nicht passieren kann.

 

[TheRealX]

Mein Asus RT-AC68U kann auch Dual-Wan über zwei RJ45 Anschlüsse, im Endeffekt also nur die zwei Provider Modems nehmen, anschließen und der Dual-Wan-Router sollte sich um den Rest des Netzwerks kümmern.

 

[Groug]

Extern kannst du nicht zusammenfassen. Da kannst du nur beide Adressen versuchen.
Maximal beide beim gleichen Dyndns anmelden und versuchen den gleichen Eintrag häufig zu aktualisieren.
Wenn einer ausfällt überschreibt ihn der andere.

Intern würde ich zwei Router nehmen. Nützt nichts wenn du zwei Leitungen hast aber nur ein Router.
Der hängt sich auf oder ist defekt und nix geht mehr.

Zum Beispiel zwei Mikrotik hEX lite. Die kannst du per VRRP (Virtual Router Redundancy Protocol) verbinden.
Die teilen sich dann im Prinzip eine virtuelle IP und man muss bei den Clients nichts anpassen.

 

[h00bi]

Raijin hat das eigentlich perfekt zusammen gefasst. Chapeau.

In simplen Umgebungen nutze ich 2 Varianten:
A) Bei Kabel-Ausfall wird manuell auf DSL/LTE umgesteckt. Das DSL/LTE Gateway und das Kabel-Gateway haben eine identische Netzwerkconfig, nur 2 komplett unterschiedliche, nicht überlappende DHCP Ranges.

B) Fritzbox mit LTE Stick als Backup. Das Gateway bleibt hier das gleiche, die Fritzbox schaltet automatisch auf LTE oder der User macht es übers Webinterface. Diese Option macht bei dir mit Kabel+DSL natürlich keinen Sinn.

 

[Beakinz]

Es ist alles noch viel viel Schlimmer
Alles suuuuuper Aufschlussreich was Ihr da schreibt. Ganz viele viele Danke!

Nicht schlagen... (weil folgendes nicht wirklich einen Sinn ergeben zu scheint!) beide WAN´s haben bei mir keine eigene IP. Somit ist von Außen rein so gesehen nicht möglich (also nicht ohne weitere Komplikationen die mich bei weitem überfordern würden). Dinge wie TeamViewer funktionieren dennoch. Weil man da eigentlich nicht direkt rein kommt.....

Ich bin ein wenig... beim Sparen von Geld oder so?
Also PC groß laufen lassen... alleine vom Strom her oh je. Ist aber erstaunlich was man mit nem alten Smartphone so anstellen kann. Von der Sache her kann das ja dann bei Bedarf den PC hochfahren. Zum Beispiel. Vieles kann es aber vor Ort dann schon direkt steuern.

Müsste ein 2 WAN-Router das nicht aber alles selber lösen können? Kann der nicht von selber erkennen auf welchem WAN er gerade mal die beste Verbindung bekommt? Ein 2 WAN-Router wäre ja nur ein Gateway oder?

 

[emulbetsup]

Würde dir zu pfSense oder OPNsense raten, die beide ein echtes Multi-WAN Setup mit Fail-Over und Load-Balancing unterstützen. Kostenpunkt wären hierfür lediglich ne alte Möhre mit drei Netzwerkkarten und natürlich der Strom, der dabei konsumiert wird. Das von Rajin beschriebene Problem würde diese Lösung auch umschiffen, da du nur ein Gateway in deinem LAN hättest.

 

[Beakinz]

Moin moin,
vielen Dank für die Empfehlung. Ich bin mir allerdings ziemlich sicher, dass die PC-Lösung (pfSense oder OPNsense) meine Fähigkeiten deutlich übersteigen.
Auch die Relation zwischen Bedarf und Aufwand ist schief. Natürlich hätte ich gerne eine Lösung für mein angefragtes Problem. Ich war noch nicht dazu gekommen zu schauen was so ein Router kostet. Vermutlich wäre das noch interessant für mich... aber da irgendwo läuft dann die Grenze. Allerdings steigt mein Interesse mich mehr damit zu befassen... also das Letzte Wort ist da noch nicht gesprochen ;-)

Vielen Dank für die Tipps!!!

 

[Raijin]

Ein Multi-WAN-Router macht out-of-the-box erstmal üblicherweise gar nichts. Es gibt nicht das Multi-WAN-Szenario, sondern eben verschiedene wie zB Load Balancing und Failover, die komplett unterschiedlich funktionieren. Das heißt man muss dem Router durch die Konfiguration schon sagen was er tun soll und auch wann. Bei Failover kann man beispielsweise den Timeout einstellen, der den Wechsel von WAN1 auf WAN2 auslöst. Beim Load Balancing sagt man dem Router, dass WAN1 so und so dick ist und so und so stark ausgelastet werden darf, für WAN2 das gleiche. Diese Regeln sind relativ statisch, d.h. man definiert sie einmal und der Router befolgt sie dann stoisch.

Dynamische Regeln sind etwas anderes. Wie stellst du denn selbst fest welche WAN-Verbindung die bessere ist? Mit einem Speedtest, der unter Umständen bis zu 30 Sekunden läuft? Wie oft machst du das? Und was heißt besser? Niedriger Ping? Hohe Übertragungsrate? Beides muss nicht zwangsläufig gleich gut sein. Außerdem: Während der Ping noch relativ einfach festzustellen ist, müsste man bzw. der Router für die verfügbare Bandbreite regelmäßig einen Speedtest durchführen, der seinerseits die Leitung belastet.


@emulbetsup : Natürlich würde eine Box mit pfSense/OPNsense das Gateway-Problem umschiffen - wie jeder andere Multi-WAN-Router auch.

Zur Erklärung @Beakinz : Einem Multi-WAN-Router - sei es ein dedizierter oder ein PC+ OPNsense - sitzt zwischen dem Netzwerk und den beiden WANs. Heißt: WAN1+2 == MultiWAN-Router --- LAN. D.h. die PCs, etc. im Netzwerk wissen gar nichts von WAN1 und WAN2, weil sie nur ein einziges Standard Gateway kennen, den Multi-WAN-Router. Dieser wiederum verteilt dann selbsttätig die Verbindungen anhand seiner Konfiguration an WAN1 und WAN2, wovon der PC am Ende gar nichts mitbekommt.


Welches Gerät man am Ende kauft bzw. einrichtet, ist nicht zuletzt auch Geschmackssache. Grundsätzlich sollte man sich aber intensiv mit Multi-WAN-Technik beschäftigen und nicht einfach nur stur irgendwelche Tutorials bei youtube oder so nachbauen. Multi-WAN-Router sind alles andere als 08/15 Consumer-Router und bieten daher in der Regel auch deutlich mehr Einstellungsmöglichkeiten. Tutorials behandeln in der Regel das Szenario des Autors und das erfüllt nun mal nicht 1:1 die eigenen Anforderungen. D.h. man muss Einstellungen anpassen und sollte dann wissen warum und wieso.

- TP-Link TL-R470T+ @ ~40€ (bis zu 4 WAN, geizhals-Text falsch)
- Ubiquiti EdgeRouter-X @ 50€ (bis zu 4 WAN, geizhals-Text falsch)
- MikroTik HAP ac @ 100€
- pfSense/OPNsense auf (nahezu) beliebiger Hardware mit ausreichend Netzwerk-Schnittstellen

Das ist nur eine beispielhafte Liste. Ich persönlich setze EdgeRouter ein. Der TP-Link wurde vor kurzem in einem anderen Thread empfohlen. MikroTik hat sicherlich auch etwas im 50er Bereich im Angebot, aber mit MikroTik kenne ich mich nicht so sehr aus (der HAP ac hat im übrigen auch WLAN). Zu guter Letzt sind pfSense/OPNsense oder ähnliche Firewall-Betriebssysteme auf nahezu jeder Hardware einsetzbar. Auch hier gilt aber die Warnung, dass die Konfiguration deutlich mehr bietet als ein 08/15 Router für den dum.. unbedarften Endanwender. Prinzipiell sind nämlich EdgeRouter, MikroTiks und dergleichen im Groben und Ganzen nichts anderes als ein Mini-PC mit 3+ LAN-Schnittstellen und einem eigenen Firewall-OS, also wie ein PC mit OPNsense, aber eben nicht mit OPNsensen, sondern zB EdgeOS (Ubiquiti) oder RouterOS (MikroTik). Wenn du dir das eine nicht zutraust, wirst du auch mit dem anderen Schwierigkeiten haben.

 

[Beakinz]

Also... jetzt reizt mich das schon irgendwie... 50 Taler würde ich schon investieren... alleine wegen der Neugier... aber ich sehe mich jetzt schon scheitern... mangels Verständnis.

 

[Nase]

ich sehe mich jetzt schon scheitern... mangels Verständnis

Und wäre es schlimm, etwas Neues zu lernen, woran man Interesse zeigt? Machen!

 

[Raijin]

Naja, letztendlich konfiguriert man sowas einmal und fässt es dann eigentlich nicht mehr wirklich an. Auch wenn ich davor gewarnt habe, sich nur auf Tutorials zu stürzen, sollte das nicht heißen, dass man dafür studiert haben muss. Es ging lediglich darum, dass man sich ein wenig damit beschäftigen muss, weil Multi-WAN- bzw. generell fortgeschrittene Router abgesehen vom Namen nur bedingt mit einem handelsüblichen Heim-Router vergleichbar sind.

Bei Fritzbox und Co ist ab Werk 99% vorkonfiguriert und man kann nur in sehr engen Grenzen überhaupt konfiguriert werden - zB die Gast-Funktion, die mit einem Haken angeschaltet wird. Bei einem (semi)professionellen Router gibt es diesen Haken in der Regel nicht, weil man das was bei einer Fritzbox hinter diesem Haken passiert zu Fuß einstellen muss (zB VLANs, Firewall, etc). Ein Heimrouter ist wie ein Steakmesser in der Küche, explizit zum Schneiden von Steaks. Kräuter kann man damit nicht hacken... Ein (semi)professioneller Router ist wie ein schweizer Taschenmesser mit allen 1723 verschiedenen Messern, die die moderne Küche so zu bieten hat - inkl. Steakmesser und Kräuterhackdingens.

Man kann im Prinzip auch nichts wirklich kaputt machen, sondern braucht unter Umständen eben weitere Tips und Tricks aus der Literatur, Tutorials oder eben Foren wie diesem hier. Aber wie gesagt: Man muss sich schon mit der Materie befassen und nicht einfach nur blind abschreiben.