Hi. Ich möchte ein Linux VPN Gateway mit Hot Standby UMTS Failover einrichten. D.H. die UMTS Verbindung soll dauerhaft betriebsbereit gehalten werden, und wenn ein Paket auf regulärem Wege nicht durch kommt, über UMTS geleitet werden. Die VPN Gegenstelle ist identisch. Ich stelle nicht nur an die Zuverlässigkeit der Verbindung hohe anforderungen, sondern auch an die Latenz, ein Ausfall der Hauptverbindung soll keine großen Verbindungssabbrüche verursachen. Folgendes habe ich angedacht: Es werden 2 VPN Verbindungen aufgebaut und betriebsbereit gehalten. Nun wird über beide Verbindungen per Dauer-Ping ständig die Latenz überwacht, und zwar mit einer Auflösung von einer Sekunde. Sekündliche Pings mit 32 Byte Daten verursachen pro Tag weniger als 10 MB Traffic, das sollte tolerierbar sein. Sobald mehr als 3 Pings in Folge länger als 0,5 Sekunde dauern, wird einfach das Routing geändert. Nachdem 10 Pings erfolgreich mit ausreichend niedriger Latenz über die Haupt-Verbindung gesendet wurden, wird das Routing wieder geändert. Dies müsste in einem Script realisiert werden, was permanent in Endlos-Schleife durchläuft. Diese dynamische Routingänderung soll aber nur bei gewissen Ports angewendet werden, trafficintensive Ports wie HTTP und FTP sollen nach anderen Kriterien umgeleitet werden oder im Umleitungsfall zumindest auf einige 10kbit/s gedrosselt werden. Kann man das so machen, oder habt ihr bessere Vorschläge?
Statt Dauer-Ping käme vielleicht auch irgendwas anderes in Frage. Gibt es bei Linux die Möglichkeit, irgendwie im Sekundentakt die Zahl der Paketverluste/Paketwiderholungen auf IP Ebene abzufragen? Das Failover sollte innerhalb von 3-5 Sekunden durchgeführt sein, da das die Zeit ist, die von der Applikation gerade noch toleriert wird. Ein Tool, was ich habe, arbeitet leider mit einer minimalen Auflösung von einer Minute, was deutlich zu lange ist.
Hallo schau dir mal bonding[1] an. Ich glaube das würde dir dein vorhaben erleichtern. Ich habe bei mir eth0 mit wlan0 am laptop gebündelt, im active backup mode. Dadurch bleiben alle Verbindungen erhalten wenn ich das Lan Kabel ausstecke, funktioniert super Ich denke es müsste auch mit einem VPN funktionieren da das bündeln eine ebene darunter passiert. lg thomas [1] http://www.mjmwired.net/kernel/Documentation/networking/bonding.txt http://wiki.ubuntuusers.de/Netzwerkkarten_b%C3%BCndeln
Danke für den Tipp. Mal sehen, ob das mit 2 Verbindungen mit stark unterschiedlicher Latenz funktioniert.
Mike schrieb: > Ich stelle nicht nur an die Zuverlässigkeit der Verbindung hohe > anforderungen, sondern auch an die Latenz, ein Ausfall der > Hauptverbindung soll keine großen Verbindungssabbrüche verursachen. Und habt ihr schon die Geschwindigkeit, Stabilität und Latenz der UMTS-Verbindung am Standort getestet? Nicht, daß es dann ein böses Erwachen gibt. > habt ihr bessere Vorschläge? Ja, das Problem erfahrenen Profis überlassen und fertige Lösungen kaufen, z.B. den Lancom 1751 UMTS: http://www.lancom-systems.de/LANCOM-1751-UMTS.875+M54a708de802.0.html Kompetente Hilfe zur Einrichtung findest du im Lancom-Forum: http://www.lancom-forum.de/
Ich glaube das sich sowas sehr gut mit einem linux router lösen lässt... wie im detail müste man sich wohl noch gedanken zu machen, bei den kurzen zeitne würde ich aber die umts verbindung nach möglichkeit immer eingewählt lassen! eine ernstgemeinte warnung auch von meiner seite, ich hatte mit umts schon latenzen die 3s und länger waren!!! Paketverluste sind dort auch leider häufig...
Die UMTS Verbindung ist sehr gut. Sicher, da gibts auch Paketverluste usw. Gibts auf der anderen Verbindung aber auch. Sogar mehr als bei UMTS. Deswegen soll das alles ja gemacht werden. Und die Chance, dass bei 2 Links keiner geht, ist geringer, als die Links einzeln betrachtet. Wir schauen auch nach kommerziellen Lösungen, bzw OpenSource Lösungen. Aber irgendwas passt immer nicht. Entweder müssen Features "improvisiert" werden, indem mehrere Geräte als ein system Verwedet werden. Z.B einen handelsüblichen NAT DSL Router, einen 3G Router und dahinter angeschlossen einen VPN Gateway Router mit Failover Funktion. Oder der Preis sprengt jedes Budget.
Lancom 1751 sieht gut aus, aber ob der WAN auch per Ethernet machen kann, weiß ich nicht. Und ob er die Verbindung herstellen kann, weiß ich auch nicht. Unser kabelgebundenes WAN ist nicht "Standardgemäß". Das geht nut mit Routern, die eine Cronjob Funktionalität und wget mit SSL haben, und Kommandozeilenscripts zur Tokenerzeugung unterstützen. Die Verbindung wird per DHCP hergestellt, für den Internetzugang muss man aber die Javascript-Browser Authentifizeirung nachbilden. Momentan geht das nur mit einem Router ohne größere Anstrengung quasi "out of the box": Der gute alte Linksys WRT54G mit OpenWRT Firmware. Denn dafür wurde das Script entwickelt.
Mike schrieb: > Aber irgendwas passt immer nicht. > Entweder müssen Features "improvisiert" werden, indem mehrere Geräte als > ein system Verwedet werden. Z.B einen handelsüblichen NAT DSL Router, > einen 3G Router und dahinter angeschlossen einen VPN Gateway Router mit > Failover Funktion. Der Lancom 1751 ist all das in einem Gerät. Und noch mehr. Du kannst damit sogar über ISDN noch einen Fallback einrichten. > Oder der Preis sprengt jedes Budget. Wie bescheiden ist das Budget denn, daß sich die Firma keine 800,-€ für eine zuverlässig funktionierende Lösung leisten kann? Was zieht es an Folgekosten nach sich, wenn die Linuxbastelei dann doch nicht so stabil läuft?
Mike schrieb: > Unser kabelgebundenes WAN ist nicht "Standardgemäß". > Das geht nut mit Routern, die eine Cronjob Funktionalität und wget mit > SSL haben, und Kommandozeilenscripts zur Tokenerzeugung unterstützen. > Die Verbindung wird per DHCP hergestellt, für den Internetzugang muss > man aber die Javascript-Browser Authentifizeirung nachbilden. Noch nie davon gehört. Was ist das genau für ein Zugang?
Für Debian + Derivate existiert übrigens auch ein funktionsfähiges Auth Script. D.H. beim Routerbau bin ich quasi schon auf die Debian Schiene festgelegt, wenn ich nicht neu machen will. Insgesamt habe ich 7 Wochen gebraucht, um von Null aus ein funktionsfähiges und fehlerfreies Auth Script zu bauen. Habe in den 7 Wochen aber auch nicht jeden Tag dran gebastelt. In Arbeitsstunden würde ich es mit Einlesen und Linux grundlagen lernen auf ca 30-40 Arbeitsstunden an geschätzt 15 Tagen schätzen.
Icke ®. schrieb: >> Unser kabelgebundenes WAN ist nicht "Standardgemäß". >> Das geht nut mit Routern, die eine Cronjob Funktionalität und wget mit >> SSL haben, und Kommandozeilenscripts zur Tokenerzeugung unterstützen. >> Die Verbindung wird per DHCP hergestellt, für den Internetzugang muss >> man aber die Javascript-Browser Authentifizeirung nachbilden. > > Noch nie davon gehört. Was ist das genau für ein Zugang? Secure Point NEtwork Access Controller Damit wird die Internetverbindung realisiert. Es ist normalerweise vorgesehen, sich mit einem JavaScript fähigen Browser einzuloggen, um auf das Internet zuzugreifen. Routerbetrieb ist nicht möglich, außer man macht es wie ich selber, indem man den JavaScript Auth nachbaut. Und ich habe für die Entwicklung von null aus ca 7 Wochen gebraucht bis es mit dem WRT54G fehlerfrei funktioniert. Also incl Grundlagen lernen und viel lesen, auf debian entwickeln und dann auf WRT54G portieren. Ein Profi hätte es wohl in 2-3 Stunden geschafft.
Die Internetverbindung ist leider etwas instabil, so dass ich jetzt noch UMTS mit ins Boot holen will. Ich habe leider öfters Verbindngsabbrüche (Liegt nicht an meinem Script, sondern am vorgelagerten Netz, noch vor dem Network access controller) Außerdem viel Packet Loss, und bei der Latenz einen hohen Jitter. 23 ms bis weit über 1000 ms. Die Probleme entstehen durch zu hohen traffic. Da an einem 32 Mbit/s KD Business Internetzugang über 100 Teilnehmer hängen. Für VOIP untauglich.
Die Lancoms beherrschen eine Menge Protokolle, auch mit Scripten. Aber ob das mit eurem Spezialzugang funktioniert, keine Ahnung, davon bin ich bisher verschont geblieben. Stell die Frage im Lancom-Forum, dort sind auch die Entwickler vertreten. Wenn es einer weiß, dann die. P.S. Keine Chance auf einen anderen Zugang, z.B. SDSL?
Hi. Ja, kann da mal fragen, was man mir bei so einem Netzwerkumfeld empfehlen würde. SDSL o.ä kann ich mir hier leider nicht nehmen. Ob Kabel Deutschland bis auf Telnehmerebene geht oder nicht, weiß ich nicht. Der zentrale Zugang geht jedenfalls über Kabel D. Es ein Hochhaus mit geschätzt ca 300 Appartements. Das Internet wird hier von der Hausverwaltung in Eigenregie verkauft. Früher wars mal über die Stadtwerke mit 1 Mbit/s DSL und eigenem Vertrag. Das DSL war lokal (Inhouse) terminiert, und man ging dann über das Backbone das Energieversorgers bis in ein Rechenzntrum. Das Hochspannungs-Umspannwerk ist vielleicht 200 m weit weg, und das mittespannungs umspannwerk ist hier im Haus neben der Tiefgarage. Aber dann wurde auf LAN mit eigenverkauf umgestellt. Und Business 32 Mbit/s Kabel Zugang als Uplink. Warum man sich von den Stadtwerken verabschiedet hat, weiß ich nicht. Die alte Lösung war zwar langsamer, aber deutlich stabiler. und auch mit öffentlicher IP. Mit der neuen Zugangsvariante bin ich nur noch am frickeln, um Zugang "wie DSL" zu bekommen. Um Stabilität wie bei DSL hin zu bekommen. VPN klappt teilweise (Derzeit leider noch per Software auf dem PC) VPN soll auch mal komplett transparent laufen, ohne dass man auf dem Client was konfigurieren/installieren muss. Und der gesamte Traffic soll restlos per VPN getunnelt werden. Das "Always on" ohne Browserlogin klappt schon. Es ist der erste Schitt, um Internet wie bei DSL zu bekommen.
Wenn 100+ Leute auf nem 32 Mbit/s Kabel zugang hängen, dürfte klar sein, dass die Stabilität leidet. Sufen würde ja noch gehen. Haben sogar nen transparenten Caching Proxy. Aber da brauchen nur ein paar Filesharer dabei sein, und schupps isses aus mit dem Netz. Filesharing ist leider nicht wirkungsvoll gesperrt oder gedrosselt. Das LAN und vor allem der Uplink pfreift dann auf dem letzten Loch und die Stabilität/Latenz ist schlechter wie bei UMTS oder gar EDGE.
Thread beobachten
Seitenaufteilung abschaltenBitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.