2 Gateways - ein Netz. Verständnisfrage

Hobbystern

Hobbystern

Wahl-Debianer
Hallo Gemeinschaft,

ich habe 2 Gateways zu einem Netz.
Mit dem ersten kommen VPN Verbindungen Net2Net mittels FritzBox herein. Ich meine es ist IPSEC.

Mit dem zweiten (vDSL) übertragen kleine Server Ihre Daten.

Stelle ich nun als Defaultgateway das vDSL Gateway ein, habe ich keinen Zugriff mehr auf die Subnetze des ersten Gateway und umgekehrt.

Gibt es eine einfache Lösung, wie ich diese beiden Gateways einander bekannt machen kann, so dass automatisch entschieden wird, ob: (Beispiel)

10.0.0.1 Gateway 1
10.0.0.2 Gateway 2
10.x.0.x VPN Netz 1-254

10.[1-254].0.[1-254] soll auf GW1 gehen, während
Google.com auf GW2 aufgelöst werden kann

Ich hoffe, dass ich das Problem klar darstellen konnte.

Grüsse, Stefan
 
das Netz für GW1 in die Routing-Tabelle eintragen?
 
Hi Marce,

Da kommen meine Kenntnis-Lücken. Die "Routing-Tabelle" wird mW. nach statisch am einzelnen Klienten geführt.
Gibt es da eine Variante, wie ich das ganze zentralisieren kann, damit Änderungen an der ganzen Szenerie sofort durchgeführt werden?
 
Das setzt natürlich voraus, dass alle per DHCP entsprechende IP Adressen verpackt bekommen und nicht statische Klienten dabei sind.

Damit ich mein Szenario ohne Endgeräteänderungen hinbekommen kann, müsste ich eigentlich einen "Router" vor die Gateways setzen, welcher dann die Anfragen erhält und entsprechend leitet. Richtig?

Oder halt, alles auf DHCP umstellen...
 
So.

Was lange währt, wird nett.
Eine einfache Darstellung des Netzes hier. Das schwarze Feld ist das, was ich mir hier eigentlich als Lösung denke - wobei es zu besprechen wäre, ob es VOR die Router kommt, oder danach. (davor macht mehr Sinn)

http://www.alstadener.de/Darstellung.jpg
 
Grundsätzlich kann man natürlich einem Rechner 2 Gateways zuweisen. Doch das ist IMHO eine Komplexität die ich am Client nicht haben wollen würde.

Mir fallen da spontan 2 möglichkeiten ein:

Möglichkeit A) Netgear vor den Zyxel einbauen

Der Netgear wird vor den Zyxel gesetzt und hat den Zyxel als DefaultGateway. Dafür bräuchte es dann ein weiteres Zwischennetz zwischen Zyxel und Netgear-Router. Falls der Zyxel auch noch DHCP-Server ist, dann müsste diese Aufgabe jetzt der Netgear übernehmen oder aber auf dem Netgear wird ein DHCP-Relay aktiviert, der auf den Zyxel als DHCP-Server alle DHCP-Anfragen weiterleitet.

Zusätzlich müsste der Zyxel noch eine statische Route konfiguriert bekommen, damit er das nicht mehr direkt verbundene Netz dann wieder kennt. Alternative wäre - falls der Zyxel keine statischen Routen kann - dass man auf dem Netgear Richtung Zyxel ein NAT konfiguriert. In diesem Fall muss man Zyxel nichts mehr konfigurieren.

Den Zugriff auf das VPN sollte man mit der Firewall auf dem Netgear regeln können.

In dem würde die VPN-Verbindung aber auch über das VDSL laufen(verschlüsselt + getunnelt). Ich weiss nicht ob das gewünscht ist. Vielleicht kann man das so umbiegen, dass die VPN-Daten über den eigenen Internetzugang gehen, die restliche Verkehr aber über den Zyxel abgewickelt wird.

Möglichkeit B) Netgear als Nebenrouter vom Zyxel konfigurieren

Das wird wahrscheinlich scheitern. Hierzu bräuchte es eine zusätzliche geroutete Schnittstelle. Die hat der Zyxel aber nicht so wie ich das sehe. Der hat nur 2 Seiten: Internet und mehrere LAN-Ports.

In dem Fall bliebe der Zyxel der Hauptrouter und direkt mit dem LAN verbunden. Es gibt ein neues IP-Netz zwischen Zyxel und Netgear. Der Zyxel bekommt statische Routen für alle VPN-Netze bzw. für ein übergeordnetes Netz(10.0.0.0 / 8 ). Auch die VPN-Transfernetze zwischen VPN-Server und VPN-Client sollten auf den Netgear-Router zeigen. Der Netgear braucht zusätzlich eine statische Route, die auf den Zyxel zeigt oder - nicht ganz so gut - der Zyxel muss in Richtung Netgear ein NAT einfügen.

---

Weitere Anmerkungen

Grundsätzlich ist die Frage, wie Deine Umgebung aufgebaut ist. Ich vermute nicht, das IPSec im Einsatz ist. Das dürften die FritzBoxen nicht können.

Manche Anwendungen sind besonders NAT-unfreundlich. Sprich es wird da vermutlich Probleme geben. Z. b. FTP oder VoIP(SIP/RTP) bereiten beim Einsatz von NAT besonders Probleme.

Ansonsten scheint mir der Netgear die leistungsfähigere Komponente zu sein und sollte deswegen die zentrale Komponente sein, da das Zyxel-Gerät schlicht viel weniger Möglichkeiten hat.

Die Frage, die sich mir sonst noch stellt, ist wie das VPN überhaupt zu stande kommt. Sind hier feste öffentliche IP-Adressen an den Routern im Spiel, oder wird hier mit DynDNS gearbeitet?
 
Zuletzt bearbeitet:
Eine sehr ausführliche Antwort, ich Danke.

Grundsätzlich kann man natürlich einem Rechner 2 Gateways zuweisen. Doch das ist IMHO eine Komplexität die ich am Client nicht haben wollen würde.

Da stimme ich mit Dir überein. Das ist ungewünscht. Ich meine "mit dem schwarzen Feld" auch eher einen Router, welche eine Routingtabelle steuert - also de facto eigentlich der Job der beiden Endgeräte - aber halt dynamischer.

Möglichkeit A) Netgear vor den Zyxel einbauen
Der Netgear wird vor den Zyxel gesetzt und hat den Zyxel als DefaultGateway. Dafür bräuchte es dann ein weiteres Zwischennetz zwischen Zyxel und Netgear-Router. Falls der Zyxel auch noch DHCP-Server ist, dann müsste diese Aufgabe jetzt der Netgear übernehmen oder aber auf dem Netgear wird ein DHCP-Relay aktiviert, der auf den Zyxel als DHCP-Server alle DHCP-Anfragen weiterleitet.

Zusätzlich müsste der Zyxel noch eine statische Route konfiguriert bekommen, damit er das nicht mehr direkt verbundene Netz dann wieder kennt. Alternative wäre - falls der Zyxel keine statischen Routen kann - dass man auf dem Netgear Richtung Zyxel ein NAT konfiguriert. In diesem Fall muss man Zyxel nichts mehr konfigurieren.

Den Zugriff auf das VPN sollte man mit der Firewall auf dem Netgear regeln können.

Das ist laut Netzwerk-Ansprechpartner der Weg der Wahl. Die genaue Konfiguration in den Geräten war wackelig und hat deutlich meine Kompetenz überschritten.

Aber selbst wenn das laufen würde - wäre die Frage, ob man sich da nicht einen viel zu engen Flaschenhals und vorallem einen kritischen Punkt für Fehler einbaut. Fällt ein Gerät aus, ist eine komplizierte Konfiguration funktionsunfähig.

Möglichkeit B) Netgear als Nebenrouter vom Zyxel konfigurieren

Das wird wahrscheinlich scheitern. Hierzu bräuchte es eine zusätzliche geroutete Schnittstelle. Die hat der Zyxel aber nicht so wie ich das sehe. Der hat nur 2 Seiten: Internet und mehrere LAN-Ports.

In dem Fall bliebe der Zyxel der Hauptrouter und direkt mit dem LAN verbunden. Es gibt ein neues IP-Netz zwischen Zyxel und Netgear. Der Zyxel bekommt statische Routen für alle VPN-Netze bzw. für ein übergeordnetes Netz(10.0.0.0 / 8 ). Auch die VPN-Transfernetze zwischen VPN-Server und VPN-Client sollten auf den Netgear-Router zeigen. Der Netgear braucht zusätzlich eine statische Route, die auf den Zyxel zeigt oder - nicht ganz so gut - der Zyxel muss in Richtung Netgear ein NAT einfügen.

Auch dies war ein Bastelszenario, welches man mir gab. Grundvoraussetzungen erfüllt, aber wer entscheidet was wo lang geht?!

Grundsätzlich ist die Frage, wie Deine Umgebung aufgebaut ist. Ich vermute nicht, das IPSec im Einsatz ist. Das dürften die FritzBoxen nicht können.

Mhmm....IPSEC scheint mit der FBF kompatibel zu sein. Wenigstens was Google so kennt....(link: http://www.draytek.de/aktuelle-news...em-draytek-router-und-einer-avm-fritzbox.html)

Ansonsten scheint mir der Netgear die leistungsfähigere Komponente zu sein und sollte deswegen die zentrale Komponente sein, da das Zyxel-Gerät schlicht viel weniger Möglichkeiten hat.

Schade ist halt, dass der Netgear kein VDSL erkennen kann, er kann die Tags nicht lesen. Ansonsten wäre das alles hier eine einfache Nummer, denn er hat ja zwei DSL Anschlüsse....

Die Frage, die sich mir sonst noch stellt, ist wie das VPN überhaupt zu stande kommt. Sind hier feste öffentliche IP-Adressen an den Routern im Spiel, oder wird hier mit DynDNS gearbeitet?
[Q/UOTE]

Heterogen. Feste IPs ebenso, wie dynamische. Aber der Server ist immer fest zu erreichen und zwar auf beiden DSL Verbindungen.

Die "alte" DSL Verbindung ist eigentlich überflüssig - aber es gehen halt alle VPN Verbindungen auf dieser fixen IP ein. Verände ich diese Einstellungen zum vDSL brauche ich:

- einen VPN Server (der Zyxel kann das nicht), welcher mit den FBF Geräten harmonisch läuft
- einen VPN Server, welcher die UserVPN Zugänge annimmt (aktuell OpenVPN auf einem QNAP NAS)
- jeder Klient muss umkonfiguriert werden

Es bedarf hier einer sauberen Aufstellung...aktuell ist eigentlih nur vDSL + Zyxel überflüssig, aber halt Zukunft....

Stefan
 
Dann ist das Problem die statischen IPs. Das wird bei den oben aufgeführten Vorschlägen Probleme bereiten. Wenn sich die FritzBoxen zu einer bestimmten statischen IP verbinden und die Antwort kommt von einer anderen IP, das wird nicht funktionieren. Aber genau das würde z. B. in obiger Möglichkeit A) passieren, wenn der Netgear als Default-Router den Zyxel eingetragen hat.

D. h. der von Dir vorgeschlagene Ursprungsweg - ein dritter vorgeschalteter Router wäre eine mögliche Lösung. Dieser Router leitet die VPN-IP-Netze an den Netgear weiter und hat als DefaultGW den Zyxel. Zyxel und Netgear haben dann keine IP mehr im LAN sondern zusammen mit dem neuen 3. Router ein separates, dem LAN vorgelagertes IP-Netz. Zyxel und Netgear müssen dann allerdings eine statische Route ins LAN zum 3. Router bekommen oder der 3. Router setzt diesbezüglich ein NAT um.

Testweise kann man das ja mal mit einem beliebigen Linux-PC oder gar einer VM(vorausgesetzt, der VM-Host hat mindestens 3 Netzwerkkarten) umsetzen. Später kann man das ja als Mini-Firewall laufen lassen, die es bestimmt günstig überall gibt.

---

Die Trennung von Zugangsrouter(Zyxel) und VPN-Server ist, wie man hier feststellen kann sinnvoll, da sich die eingesetzte Technik ändern kann und auch tatsächlich geändert hat. Insofern wäre für mich der Zyxel ganz und gar nicht überflüssig. Es ist halt ein Router für eine spezielle Internetleitung, von denen es noch mehr geben kann, bzw. der durch einen erneuten Technikwechsel vielleicht mal wieder getauscht wird.

Wenn man aus kostengründen das Setup vereinfachen möchte, dann wäre es sinnvoll auf der schnelleren Technik statische IP(s) zu ordern(falls möglich), was dann natürlich wieder Konfigurationsaufwand nach sich zieht.
 
Zuletzt bearbeitet:
Danke hellfire für Deine ausführliche und sachliche Antwort!

Der dritte Weg wäre für mich ebenfalls der Lösungsweg. Ein entsprechendes "firewall-linux" gibt es mit mehreren Ansätzen und Herausforderungen. EIne gute Idee.

Es ändert sich immer etwas und somit ist man gesichert. Eine VM steht ebenfalls bereit - allerdings ist hier wirklich ein SPOF (SinglePoint..) zu sehen.

Übrigens haben alle DSL Leitungen (Zyxel und Netgear) eine fixe IP - aber wie wir beide hier sehen, haben dynamische Konfigurationen Ihren Vorteil "durch die Zeit".

Danke! Stefan
 

Ähnliche Themen

Rounting mit drei Interfaces

Zurück
Oben