3 Leitungen bündeln / Feste IP

[PEASANT KING]

Moin moin,

ich habe mal eine Frage, ich habe hier eine ADSL Leitung mit einer festen IP, nebenher habe ich hier zwei weitere VDSL Leitungen mit dynamischen IPs. Alles Leitungen bei der Telekom.
Der ganze Traffic geht allerdings über die alte ADSL Leitung. Kann ich die Leitungen nicht per Firewall bzw. MultiWAN Router zu einer quasi bündeln trotz der festen IP, auf der auch einige Dienste laufen?

 

[h00bi]

Bündeln im Sinne von Bonding benötigt eine schnell angebundene Gegenstelle, z.B. ein Server in einem Rechenzentrum, der den ganzen Traffic für dich abwickelt. Das kostet mehrere hundert Euro im Monat.
Viprinet bietet sowas an.

Alternativ kannst du einfach Multi-WAN nutzen.
Einzelne Downloads gehen dann nur max. über eine Leitung, aber mehrere gleichzeitige Downloads werden verteilt.
Die ADSL Leitung mit der festen IP wird dadurch aber nicht schneller, bleibt aber natürlich weiterhin erreichbar.

Ich habe hier z.B. 50/50 Glasfaser und 65/30 VDSL an einer Fortigate.
Per Policy based routing gehen die Clients alle über VDSL raus, die Server alle über GF, alle Verbindungen nach innen kommen auf GF rein.
Bei Ausfall wird alles zusammen auf 1 Leitung gelegt.

 

[l007v16]

Ich kenne nur WAN Failover, also eine aktive Leitung, die andere auf Standby. Fällt die eine aus, übernimmt die andere. Geht z.B. mit OPNsense.

 

[PEASANT KING]

Ja das bringt nix, da die 16k Leitung auf krücken läuft und die feste IP hat.

Wenn die ausfällt fällt auch die ganze IP Telefonanlage erst mal flach.

 

[madmax2010]

Du könntest dir eine PC Engines APU 2 kaufen und dann das hier befolgen:
https://www.cloudibee.com/network-bonding-modes/
802.3ad könnte sein was du willst - du wirst jedoch bei allen active-active modes nur load balancing haben
Die VDSL verbindungen würde ich höher gewichten.

 

[azereus]

3 verträge bei der telekom
2x consumer
1x business

mach doch daraus
1x business vdsl + cisco router
1x lte + cisco router
+ /29er subnetz
dazu noch ein switch

beide ciscos sprechen hsrp untereinander
bei ausfall vdsl wird auf lte geschalten-backup
ist vdsl wieder da läuft alles darüber und lte ist wieder auf standby/backup

VDSL
|
vDSL-Cisco
|
Switch <-> Firewall
|
LTE-Cisco
|
LTE

 

[h00bi]

Ja das bringt nix, da die 16k Leitung auf krücken läuft und die feste IP hat.

Wenn die ausfällt fällt auch die ganze IP Telefonanlage erst mal flach.

Erstens is ADSL recht robust, deutlich robuster als VDSL.
Zweitens ist das eher ein Problem deiner Produktwahl.
Wenn du auf einen unahängigen SIP Anbieter wechselst oder auf einen SIP Trunk Pure umsteigst ist es völlig latte von welcher deiner Leitungen dein SIP Gateway nach außen kommuniziert.

Dein Problem mit der Ausfallsicherheit der Telefonie würdest du auch per Bonding nicht weg bekommen.

Ich finde nur die Preise beim SIP Trunk Pure eine Frechheit, besonders wenn man viele Sprachkanäle braucht. Können bei dir ja aber vermutlich eh max. 8 sein auf einem ADSL.

 

[Bob.Dig]

Bündeln im Sinne von Bonding benötigt eine schnell angebundene Gegenstelle, z.B. ein Server in einem Rechenzentrum, der den ganzen Traffic für dich abwickelt. Das kostet mehrere hundert Euro im Monat.

Warum eigentlich? Traffic in einem Rechenzentrum sollte doch nicht so teuer sein müssen?

 

[h00bi]

Warum eigentlich? Traffic in einem Rechenzentrum sollte doch nicht so teuer sein müssen?

Weil du auch Rechenpower brauchst um den Traffic zu splitten/mergen und natürlich geistiges Eigentum, das bezahlt werden will.
Mir wäre dafür zumindest keine open source oder freeware lösung bekannt. Ehrlich gesagt nichtmal eine kostenpflichtige Softwarelösung.
Ist aber auch schon wieder eine Weile her dass ich mich damit beschäftigt habe.
Ich habe es primär deswegen verworfen weil es eine ganze Kette von SPoF gibt und mir das viel zu riskant wäre.
Dann lieber die eigenen IP Adressen per anycast verteilen.

 

[nitech]

Wenn du erreichen willst das das ADSL primär für den eingehend Traffic benutzt wird und die 2 VDSL Linien zum Surfen würde sich ein Multiwan Firewall und "einfaches" Loadbalancing anbieten. Löst das natürlich nicht das Problem dass alle internen Dienste die auf der ADSL-Linie laufen bei einem Ausfall nicht mehr aktiv sind.
mfg

 

[madmax2010]

@Bob.Dig @h00bi
Das kommt immer ein wenig auf die Netzwerkkarten+Treiber+Konfiguration an.
Die meisten aktuellen entzwerkkarten können das direkt in der ASIC abwickeln ohne die CPU zu belasten.
Eigentlich reicht dafür schon eine sehr kleine vm

 

[snaxilian]

@madmax2010 Sorry aber die Idee ist Quark. Bei einem Bonding unter Linux braucht es auch immer eine passend konfigurierte Gegenstelle. Aber auch mit LACP sind einzelne Verbindungen (TCP Connections) technisch bedingt immer auf eine Leitung limitiert. Am Ende verschiebst damit deinen Übergangspunkt ins Internet nur Richtung Rechenzentrum. Ja, damit schafft man Redundanz aber eine Aufsummierung der Bandbreite auch für einzelne Verbindungen ergibt dies nicht. Zumal dann die Gegenstelle im Rechenzentrum ebenfalls redundant sein sollte. Für 5HE zahlst da beispielsweise ~100€ pro Monat, Strom und Traffic kommen nach Bedarf noch oben drauf. Da könntest dann zwei pfSense als HA Cluster nehmen aber brauchst auch jemand, der das ein bisschen betreut.

Viprinet behauptet von sich, dies anders zu lösen aber das erfordert ebenfalls eine Gegenstelle in der Cloud, im besten Fall redundant.

Für ausgehenden Traffic würde ich daher auch ein round-robin über die VDSLs vorschlagen.
Wenn du deine externen Dienste, sprich eingehenden Traffic redundant gestalten willst gibt es mehrere Möglichkeiten:

• Verlagerung "in die Cloud"
• Mit deinem Provider reden sofern die festen IPs vom Provider sind. Oft gibt es da entsprechende (vorkonfigurierte) Lösungen, die im Endeffekt das genannte von @azereus abbilden
• Providerunabhängige IPs besorgen/beantragen und selbst so etwas umsetzen

Gerade letzteres ist relativ teuer und aufwendig, ersteres ist in der Regel der einfachere Weg. Irgendwann in der Zukunft wäre dann ggf. Multipath-TCP noch eine gute Alternative aber das wird noch etwas dauern bis es sich verbreitet hat denke ich...

 

[chrigu]

Primär brauchst du ein Provider oder Server die ein zusammenführen von mehreren unterschiedlichen Internetanschlüsse können. Sonst bleibt es bei den einzelnen Anschlüsse und einem durchdachten routing

 

[mr.w0lf]

Was willst du genau erreichen mit der Bündelung der Anschlüsse?
Wenn du einfach nur kontrollieren willst welcher Traffic über welchen Router läuft dann kannst du das mit einer Firewall(zb Sophos XG) hinter deinen Anschlüssen lösen, wo du dann einfach ein WAN Load Balancing einrichtest.

 

[PEASANT KING]

Genau das möchte ich eigentlich. ich möchte das der komplette Traffic der Telefonanlage über den alten ADSL Anschluss geht. Der restliche Traffic soll über VDSL laufen. Hier kommt aber dazu, das die Telefonanlage an zwei Standorten verfügbar sein muss, was sie zur Zeit auch ist, nur das aller Traffic direkt über die alte ADSL Leitung läuft.

Icvh habe hier Zugriff auf eine Sophos UTM 9 Firewall

 

[Raijin]

Das klingt jetzt aber deutlich anders als das was du in Beitrag #1 geschrieben hast. Dort war explizit von Bündelung die Rede. Bündelung würde bedeuten, dass man aus 1x 16 und 1x 50 Mbit/s gebündelt 66 Mbit/s machen würde - und das ist aus oben genannten Gründen nicht so einfach. Gezielt bestimmten Traffic über die eine und den restlichen Traffic über die andere Leitung laufen zu lassen, ist hingegen kein großes Problem. Das Stichwort heißt hier "Policy Based Routing", kurz PBA. Das hatte @h00bi schon in #2 erwähnt:

Ich habe hier z.B. 50/50 Glasfaser und 65/30 VDSL an einer Fortigate.
Per Policy based routing gehen die Clients alle über VDSL raus, die Server alle über GF, alle Verbindungen nach innen kommen auf GF rein.

Sophos müsste das eigentlich auch können, aber ich hab noch kein Sophos unterm Finger gehabt.

Grundsätzlich benötigt man:

1 Router/Firewall mit Multi-WAN
1 Kabel von WAN#1 zu Router#1
1 Kabel von WAN#2 zu Router#2
1 Kabel von LAN zu Switch
Alle Endgeräte an Switch, alle Endgeräte sehen nur ein Standardgateway, den Multi-WAN-Router.
PBA in Multi-WAN-Router regelt welches Endgerät über WAN#1 oder WAN#2 geht.

So kann man dann eben einstellen, dass die Telefonanlage über WAN#2 läuft, den alten ADSL-Anschluss, während der Rest über WAN#1, die VDSL-Leitung geht. Wenn man sich ein bischen in die Thematik einliest, ist so ein Setup in 15 Minuten eingerichtet und getestet. Sollte mit allen fortgeschrittenen Routern funktionieren, sei es pfSense, Sophos, EdgeRouter, MikroTik RouterBoard oder auch eine selbst eingerichtete Linux-Box (das dauert dann aber länger). Voraussetzung sind min. 3 Ethernet-Ports, 2x für WAN und 1x für LAN. Das könnte zB selbst ein 50€ günstiger EdgeRouter-X regeln.

 

[PEASANT KING]

Ja die Bündelung war auch erst angedacht. Hier die Frage, es muss schon ein Multi WAN fähiger Router sein, es reicht nicht einfach drei Router zu haben die in die Firewall gehen und von da aus dann zu konfigurieren?

 

[h00bi]

UTM9 ist glaube ich nur die Software.
Die Box müsste SGxxx heißen, SG steht für Security Gateway.

Das was du Firewall nennst ist i.d.R. ein vollwertiger Router, der u.A. auch Multi-WAN kann.
Die WANs sind für den Router ja erstmal nur untrusted networks.
Reine Firewalls gibts so gut wie nicht mehr.

Selbst die kleine SG105 hat schon vier 1GbE Interfaces (3x WAN, 1x LAN)

 

[Raijin]

Hier die Frage, es muss schon ein Multi WAN fähiger Router sein, es reicht nicht einfach drei Router zu haben die in die Firewall gehen und von da aus dann zu konfigurieren?

Es muss zwingend ein Gerät geben, das die Verbindungen aller Internetzugänge verwalten kann. Das wird gemeinhin als Multi-WAN bezeichnet. Zwar gibt es tatsächlich explizit eine Gerätekategorie für "Multi-WAN-Router", aber unterm Strich kann das jede halbwegs vernünftige Hardware-Firewall, die wie @h00bi schon sagt im Prinzip ein Router ist und ausreichend LAN-Interfaces haben muss. Die Betonung liegt übrigens auf Interfaces, weil die reine Existenz mehrerer Ports noch nichts aussagt - das könnte auch ein Switch sein wie bei einem 08/15 Heimrouter (=> 1x WAN-Interface und 1x LAN-Interface mit x Ports als Switch).

Viele Geräte kommen dafür in Frage. Beinahe alle Hardware-Plattformen für Betriebssysteme wie pfSense, Sophos, etc, aber eben auch fertige Rotuer/Firewalls von MikroTik, Ubiquiti (EdgeRouter) und dergleichen. Das geht los bei ca. 50€ für einen EdgeRouter-X oder eines der Pendants bei MikroTik und ist nach oben hin offen.

Ich würde dir raten, einfach mal bei youtube nach Multi WAN zu suchen. Dort wirst du einige Tutorials für die hier erwähnten Geräte finden. Schau sie dir an und dann kannst du besser einschätzen ob das für dich in Frage kommt oder nicht. Denn konfigurieren musst du die Kiste allein, wenngleich wir im Zweifelsfalle sicherlich Hilfestellung leisten können.

 

[PEASANT KING]

Ich habe in der Firewall, das Ding ist übrigens eine SG 115, ein weiteres Interface eingerichtet auf Port eth2,
dann habe ich einen Uplink Ausgleich für beide Interfaces eingerichtet also der ollen ADSL Leitung und einer der VDSL Leitungen und als Multipath Regel habe ich erst mal nur meinen Rechner angelegt, so dass alles was mit Web zu tun hat über die VDSL Leitung gehen sollte, allerdings hat es überhaupt nichts gebracht.

Die VDSL Leitung langweilt sich bei ein paar KB up und down.
Ich bin einfach zu blöd wahrscheinlich das Konstrukt zu verstehen, zumal die Rechner und Telefone sich in einem Subnetz befinden, die DSL Router allerdings jeweils ein eigenes Subnetz bilden...