bintec R1202 dual carrier redundant setup problem

Dieses Thema im Forum "Bintec" wurde erstellt von K_O-Gnom, 22. Oktober 2010.

  1. K_O-Gnom

    K_O-Gnom Starter

    Registriert seit:
    22. Oktober 2010
    Beiträge:
    2
    Punkte für Erfolge:
    1
    hi alle miteinander,

    ich habe 2 kleine fragen zu ner bintec R1202 aber vorher sollte ich euch vielleicht unser doch etwas spezielles setup erklären.

    wir haben hier im RZ (Rechenzentrum) zwei bintecs vom oben genannten typ stehen. diese sind jeweils an einen carrier (provider) (jeweils ein anderer) angeschlossen WAN seitig. LAN seitig hängen sie jeweils an einem switch welche wiederum gebrückt sind (man kommt also von einer bintec auf die andere drauf. unsere server hängen mit jeweils einer ethernet schnittstelle an einem der switches. (falls es sich jemand nicht vorstellen kann werde ich auf nachfrage gern ein bild hier reinstellen)

    problemstellung ist nun das wir über jeden der beiden carrier gleichzeitig jeden server erreichen wollen. aktuell sieht unsere software konfiguration aus wie folgt. die 2 router haben jeweils eine LAN ip aus subnet 1 und subnet 2. ebenso die server selbst. über router 1 können wir die server auch problemlos erreichen über router 2 leider nicht. problem ist das die server natürlich alle ihre daten über das standard gateway (router 1) rausschicken. und der scheint sie nicht weiter zu leiten. wir haben bisher mit allen möglichen tricks versucht eine route zu erstellen die pakete aus dem 2ten subnetz weiterleitet an router 2 damit dieser sie korrekt zurück zum client schicken kann. bisher leider ohne erfolg.

    auch ein versuch mit brrp schlug aus diesem grund fehl (zusätzlich zu diesem grund war das setup in brrp irgendwie instabil und hat nicht immer ohne probleme funktioniert daher sind wir wieder auf eine standalone konfiguration umgestiegen)

    nun zur frage nummer 1. weis jemand wie man solch eine (erweiterte) route aussehen muss damit pakete die über router 2 ins 2te subnetz hereinkommen über router 1 von dort aus weitergeleitet zu router 2 wieder zurück zum client gehen und pakete die über router 1 zum server (subnetz1) kommen auch über router 1 wieder rausgehen (ohne über router2 zu laufen)?

    jetzt gleich noch eine frage hinterher. wir haben von den beiden carriern ein komplettes netz mit ein paar ip adressen erhalten. aktuell reagieren unsere 2 bintecs jeweils nur auf eine adresse. fügen wir allerdings eine weitere adresse zum WAN interface hinzu streiken unsere VPN tunnel (die tunnel werden von außen aufgebaut die bintecs bauen diese nicht von sich aus auf!). diese lassens ich zwar neu aufbauen aber daten kommen keine drüber. hat das problem schonmal jemand gehabt und/oder hat eine lösung dazu? wir vermuten das man vielleicht irgendwo sagen muss über welche ip der vpn tunnel gehen muss kann das sein wenn ja wo?

    tja ich hoffe es ist alles verständlich. falls fragen auftauchen oder ihr mehr infos braucht schreibt einfach dann versuche ich die infos bereitzustellen.

    gruß Gnom
     
  2. mvmmgda

    mvmmgda Kenner

    Registriert seit:
    16. Februar 2010
    Beiträge:
    99
    Punkte für Erfolge:
    6
    Hallo K_O-Gnom,

    zur "Frage hinterher" kann ich Dir helfen, standardmaessig macht der bintec NAT auf die letzte (als letzte) konfigurierte IP-Adresse eines Interfaces/WAN-Partners. Ausserdem kann eigentlich nach Vorgabe der RFCs ein Gerät nur einmal mit einer IP im Subnetz vertreten sein (Stichwort MAC-Adresse, genaue Ausführung führt hier zu weit), so dass zusätzliche Adressen konfiguriert und angesprochen werden können, aber eine 32bit Neztwerkmaske haben sollten.
    Zu IPSec: Da jetzt durch das NAT für die Gegenstelle die verschlüsselten Pakete von einer anderen IP-Adresse kommen als die Gegenstelle als Gegenstelle konfiguriert hat, werden sie von dieser Gegenstelle verworfen. =;o) Soweit klar?
    Abhilfe: Entweder die für IPSec benötigte Absender-IP als letztes/zuletzt auf das Interface konfigurieren und hier nichts mehr aendern oder, als Koenigsweg, mit Hilfe der NAT Regeln (z.B. Setup Tool->requested from inside) die von IPSec benutzten Services (udp500/udp4500/esp/ah) auf die gewuenschte IP "festnageln".

    Zur 1. Frage kann ich nur sagen, dass das fuer mich wirklich ein typisches VRRP Szenario zu sein scheint. Ich selber habe BRRP in etlichen erstellten Konfigs stabil am Laufen, so dass ich die von Dir geschilderten (aber leider nicht naeher spezifizierten) Probleme nicht nachvollziehen kann. Waere m.E. einen neuen Thread wert.
    Die Loesung mit den Switchen und Extended Routen usw. usf. scheint mir doch etwas zu konstruiert kompliziert.
    Oder ist zu hoch fuer mich ...
    http://www.router-forum.de/images/icons/icon11.gif

    Viel Erfolg wuenscht

    MvmmgdA
     
  3. K_O-Gnom

    K_O-Gnom Starter

    Registriert seit:
    22. Oktober 2010
    Beiträge:
    2
    Punkte für Erfolge:
    1
    Hi MvmmgdA,

    sorry das ich so lange nciht geantwortet hab. wir hatten ein bisschen zu kämpfen mit dem netzwerk setup aber nun stehts.

    dein tip zum thema vpn war gold wert! vielen dank dafür.

    theoretisch hast du recht mit deiner vermutung das das ein brrp szenario wäre. leider haben wir wie gesagt es nicht stabil und zuverlässig zum laufen gebracht. (teilweise kam garkein ping durch stellenweise kam genau ein ping durch (wir witzelten schon die router spielen "jagd auf roter oktober" nach :) ) nach einiger zeit kamen dann alle pings und sonstige anfragen durch allerdings erst nach ca 1-2h in denen dauernd von einem rechner aus gepingt wurde und auch nur bis zu einem neustart dann ging das ganze spielchen von vorne los. ) schade eigentlich das man zum konfigurieren quasi einen lehrgang braucht.

    nunja genug gejammert es läuft nun.
    das setup schaut so aus das wir jetzt pro router ein subnetz haben und die anfragen jeweils in das subnetz zurückgeschickt werden aus dem die anfrage auch kam (also anfragen über router 1 gehen in subnetz 1 anfragen von router 2 ins subnetz 2) klappt soweit wunderbar da auf windows rechnern das nicht möglich ist haben die von uns einfach einen der linux rechner als router bekommen und fertig is die laube :)

    viele grüße
    Gnom