EdgeX: 2 Subnetze mit je eigenem Internet-AP failover koppeln

Es gibt 15 Antworten in diesem Thema, welches 1.281 mal aufgerufen wurde. Der letzte Beitrag () ist von mroevenich.

    Hallo zusammen,


    leider komme ich trotz vorherigen Recherche mit meinem Problem nicht klar und bitte freundlich um Tipps. Ich lese auch gerne HowTos oder Manuals, wenn mich jemand in die richtige Richtung schubst.


    Ich möchte mit einem EdgeX zwei Subnetze (eth1:192.168.2.0/24 und eth2:192.168.3.0/24), die jeweils eine eigene Fritzbox unter 192.168.[2|3].1 als Zugang zum Internet besitzen, verbinden. Die Ports eth1/eth2 des EdgeX sind jeweils unter 192.168.[2|3].10 konfiguriert. Sie sind im Moment per Drop-Rule voneinander isoliert, andere Geräte sollen nicht miteinander kommunizieren. Baulich kann ich die Fritzen nicht zusammenführen (2 Gebäude).


    Da die Internetverbindung manchmal ausfällt (langsames, altes Kupferkabel) möchte ich die Netze so verbinden, dass jedes Subnetz im wesentlichen isoliert bleibt, und nur der jeweils andere Netzzugang .[2|3].1 im bei Ausfall/Timeout (oder 2nd best: dauerhaft) erreichbar ist.

    - DHCP betreiben die Fritzen für die jeweiligen Netze. Gateway ist immer die eigene .1-Adresse.

    - der jeweils "andere" Netzzugang soll über eine höhere Entfernung/Hop oder einen anderen geeigneten Failover-Mechanismus angesprochen werden, wenn der eigene Netzzugang ausfällt.

    - Ich vermute, dass die Fritzen zu doof sind, einen alternativen Gateway zu konfigurieren. Jedenfalls habe ich keinen solchen Eintrag gefunden.

    - Im Idealfall sollen die Fritzen das andere Subnetz gar nicht kennen (Portfreigaben/DynDNS etc. sind nicht erforderlich). Wenn alle Stricke reißen, kann ich statische Routen auf das jeweils andere Subnetz über die .10-Adresse einrichten (das wäre in der Route das Subnetz-Gateway - damit weiß aber niemand, dass ein anderer Internetzugang im anderen Netz unter .1 benutzt werden könnte).


    Ich kann bisher nur die Verbindung komplett öffnen und den EdgeX als Bridge konfigurieren, dann sehen aber alle Clients alle anderen Geräte beiden Netzen. Im Fehlerfall müßte das Gateway, z.B. im 3.0-Netz. manuell auf 2.1 geändert werden. Das ist doof.


    Was übersehe ich? Wie konfiguriere ich den EdgeX, um das Bridging und Failover darzustellen? Löst es vielleicht das Problem, wenn der EdgeX die DHCP-Aufgaben übernimmt, weil der vielleicht alternative Gateways anbieten kann? Oder bin ich voll auf dem falschen Dampfer?


    Merci für eure Mühe

    Michael

    PS: ich könnte statt direkter Verkabelung auf eth1/2 auch eine virtuelle Verbindung über einen tp-Link T2600G mit L2/L3-Routing zusätzlich anbieten. Ich vermute aber, dass der EdgeX beim L3-Routing überlegen ist - der T2600G war diesbezüglich ein Fehlkauf (kastriertes L3-Routing), weshalb ich den EdgeX überhaupt nachgekauft habe.

    Zitat von mroevenich

    Ich vermute, dass die Fritzen zu doof sind, einen alternativen Gateway zu konfigurieren. Jedenfalls habe ich keinen solchen Eintrag gefunden.

    Wie üblich bei den Consumer Routern haben die Kisten kein Default Gateway ins LAN weil deren aufgäbe es ja ist alles ins internet zu hieven.


    Zitat von mroevenich

    Was übersehe ich? Wie konfiguriere ich den EdgeX, um das Bridging und Failover darzustellen?

    Zitat von mroevenich

    Gateway ist immer die eigene .1-Adresse.

    Dies... Wenn die FB Box für die Clients das Default Gateway ist bleibt das auch so bis du die Clients

    ein anders gibt. Mag die FB ist es vorbei mit der Sause.


    Lösung A:

    Zweites Gateway mit teurer Metrik auf die Clients die auf den EDGE Router zeigen der dann Routen kan.

    Bessere DHCP server sollten das über Option 3 können.

    Hab ich selber aber noch nie gemacht (also weder Manuel oder DHCP Multiple Default gateway vergeben)

    Finde ich aber auch „Schmutzig“ grade wenn noch dinge wie WLAN UND LAN gleichzeitig dazu kommen

    wird in der Client Routing Tabelle unübersichtlich wer den nun Prio hat und WIN scheint auch nach 30 Jahren

    da gerne selber mal die Metriken zu würfeln.


    Dazu will keiner Manuel Gateways Konfigurieren und nicht alle DCHP Server (oder die eingäbe Masken

    der Verwaltungsrat tools) lassen ein zweites Deffault gateway zu..


    Lösung B:

    Der EDGE wird Default Router für deine Netze und hat die .1 als Gateway für das Netz drinne.

    (über Policy Routing) ein paar ACL dazu da nicht auf andere

    Netz zugegriffen werden kann aus auf die Fb und fertig :smiling_face:


    Lösung C baut auf Lösung B Auf und fügt

    noch eigne Netze / VLAN für die FB Boxen hinzu damit das alles klar getrennt ist

    Kann seidnes B alleine nicht fruchtet mit EDGE und den zwei singen Netzen.



    Evt liege ich auch Komplett daneben...

    Hallo gierig,


    danke erstmal. Das geht in die richtige Richtung…


    Kann der Edge denn als DHCP-Server für die beiden Netze die jeweiligen .1 und zusätzlich das .1 der anderen verteuert anbieten? (Lösung 2, Nummer 3 würde ich dann ggf nachtreten)


    Je länger ich nachdenke, desto komplizierter wird mein kleines Problem. Wie würden die Clients denn wissen, dass sie die teurere Route nehmen müssen und wann die billige wieder da ist…


    Vermutlich müssten die Fritzen jeweils ein eigenes isoliertes Subnetz haben, vielleicht .1.1, 2 und 3 jeweils mit einer statischen Route in das bei Ihnen lokale .1.1 seiner rein routen und irgendeine Infrastrukturkomponente müsste diese routen umschalten, wenn einer der beiden ausfällt.



    -Michael

    Zitat von mroevenich

    Kann der Edge denn als DHCP-Server für die beiden Netze die jeweiligen .1 und zusätzlich das .1 der anderen verteuert anbieten?

    Keine Ahnung da kein EdgeRouter zu Hand. Da der kram aber auf vyatta/VyOS basiert gehe ich Stark davon aus

    das (ggf über Console) das der DHCP alle Freiheiten hat.


    Zitat von mroevenich

    Wie würden die Clients denn wissen, dass sie die teurere Route nehmen müssen und wann die billige wieder da ist…

    Weil sie die Billiger wieder erreichen. Was aber ggf. doof ist weil der Router selber ja erreichbar ist wenn nur das Internet am WAN ausfällt.

    (hier wieder keine Ahnung, das Szenario habe ich noch nie benötigt. Wie gesagt ich denke auch eher das ist „Schmutzig“ und ein

    Client sollte nur ein Gateway of last Resort haben. (weil man ggf auch nicht 100% weis of nun Win10 anders reagiert als 11 oder

    das Mobiltelefon oder der Linux Cluster auf de VMware mit einem Virtuellen Switch...

    Zitat von mroevenich

    Kann der Edge denn als DHCP-Server für die beiden Netze die jeweiligen .1 und zusätzlich das .1 der anderen verteuert anbieten?

    Kannst Du bitte mal aufzeichnen was Du da eigentlich planst? Schon alleine die Formulierungen lassen nur Fragezeichen zurück? Der Edge kann erstmal für jedes Netz DHCP Spielen. Dazu konfigurierst Du die eth Schnittstellen mit den IP Adressen die das Gateway haben soll im entsprechenden LAN (Sind dann wohl deine beiden .1 er). Das gleich gilt auch falls Du getaggte Netze nutzen willst. Dann erstellst Du die DHCP Server für die IP Netze ... erkennt der Edge dann auch selbst, welche DHCP an welches Interface gekoppelt werden muss.


    Du kannst natürlich nicht einen zusätzlichen Router zuweisen der nicht im gleichen Netzwerk liegt, was Du wohl da oben meintest. Die beiden Fritten kannst Du schonmal an dieser Position streichen bei deinem vorhaben, die machen es wohl eher komplizierter. Die Fritten würde ich als WAN1 und WAN2 für den Edge nutzen, Noch schöner wären hier ggf. Modems aber gut.


    Und dann befragst Du mal Google nach Edge Router, Dual WAN mit Failover und Load Balancing. Dazu gibt es Videos und reichlich HowTos. Ich denke da wirst Du was passendes finden. Wenn ich das richtig in Erinnerung habe, kommen da quasi quellbasierte Routingtabellen ins Spiel. Der Vorteil da wäre dann schonmal, dass die Clients gar nichts von verschiedenen Routern und Routen wissen müssen.

    Hallo DoPe,


    danke für die Tipps.


    Ich vermutete schon, dass meine simple Idee zwei komplizierte Fallen enthält.


    Das wesenliche Problem ist, dass ich nicht die physikalische Hoheit über die Fritze im zweiten Netz habe. Es handelt sich um zwei benachbarte Häuser mit jeweils eigenem Internetanschluss. Dort stehen die Fritten beim jeweiligen Übergabepunkt und sind hausintern verkabelt. Eine Verlagerung zum Edge und eine zentrale Administration als Modem per Edge/Wan scheidet daher bei einer der beiden Fritten leider aus.


    Ich strebe eine logische Kopplung der beiden Netze an (ein Routing zwischen den beiden Netzen kriege ich über eine LAN Verbindung hin, so dass die Clients rauskommen).Das klappt auch, wenn beide Netze im gleichen Subnetz liegen und den DHCP-Range sauber teilen (einmal 0-100 und 101-200 oder so).


    Das geht aber zum Einen nicht dauerhaft, weil sich dann alle Clients und Server gegenseitig sehen und zum Anderen beim Ausfall einer der Internetzugänge diejenigen Clients, die zufällig auf der fraglichen Fritte liegen, trotzdem keinen Netzzugriff haben.


    Ich möchte erreichen, dass

    - zwei Netzsegmente intern voneinander isoliert sind

    - der Access Point im ansonsten isolierten Segment im Notfall aus dem anderen Netz erreichbar ist (und nur der)

    - dies über logische Veränderungen an der Konfig von Edge, ggf. tp-link und den Fritten passiert, da ich bestenfalls ein LAN-Kabel verlegen kann, aber die Fritten nicht beide physikalisch an den Edge kriege (dann hätte ich im Übrigen immer noch einen single Point of failure für beide Netze)


    Hope that helps - und ich bin mir nicht sicher, ob meine Idee überhaupt umsetzbar ist :winking_face:


    -Michael

    PS: da die Fritzen auch WLAN im jeweiligen Haus liefern, kann ich die entfernte auch nicht einfach neben den Edge stellen und das LAN-Kabel mit einem Switch im anderen Haus verbinden.


    Wenn ich Deine Vorschlage recht verstehe, bräuchte ich 2 weitere Edges, die jeweils den WAN-Zugang in den beiden Häusern regeln, dann kämen die jweiligen Fritten dahinter und die WAN-Edges könnten untereinander den Failover regeln? Wie würde das zunächst kabeltechnisch zwischen den Häusern konfiguriert werden müssen?

    mroevenich


    Also wenn ich dich verstanden habe, dann sollen die beiden Netze voneinander getrennt sein (ob jetzt gleiches IP Netz oder zwei unterschiedliche IP Netze ist egal) und eigentlich möchtest Du nur Das Netz A im Notfall über Internetzugang B und umgekehrt ins Netz kommen?


    Weiterhin müssen die Fritten bleiben wo sie sind. Das vorhandene Querkabel ( eins ? ) geht von Fritte A zu Fritte B ?


    Was Du da mit den geteilten DHCP Bereich gemacht hast, geht eigentlich nur wenn Du jeden Client eine Reservierung mit Zuordnung des richtigen Gateways verpasst ... das kann die Fritte glaube ich nicht. Ansonsten kann es passieren, das ein Client im Netz A nach IP schreit und durch welchen Grund auch immer die Fritte aus Netz B schneller antwortet.

    Bei einem Szenario wie diesem, also eine Broadcast Domäne/IP-Subnet/logisches Netz, bräuchtest Du eine Bridge zwischen den Netzen, die ebtables nutzen kann. Dann kann die Traffic filtern. Wir hatten vor vielen Jahren mal OpenWRT Router mit gebridgten OpenVPN zum Zocken (also über Internet ein LAN draufgepappt). Da haben wir das DHCP zum Beispiel gefiltert, damit man nicht eine IP von einem nicht lokalen Router zugewiesen bekommen haben, denn dann war auch der Standartgateway nicht der eigene Router und das Internet war zähhh.


    Ich hab da noch eine Idee. Erkläre mal bitte die Lage des Querkabels und die Nutzung des WLANs der Fritte ... nur das eingebaute WLAN oder mit Repeatern und gemeshe?!?

    mroevenich Also die Örtlichkeiten und die Randbedingungen wie Fritz Mesh etc. machen das mal nicht ganz so einfach. Da ist wohl etwas Trickserei erforderlich und ganz sauber wird es nicht werden. Ich könnte mir vorstellen, dass es wie hier Skizziert klappen könnte. Du benötigst halt 2 Edge Router und zwischen den Gebäuden 2 Kabel von den Standorten der Fritten. Die Edge Router konfigurierst Du dann für Failover/Loadbalancing.


    Bitte jedes IP Netz nur einmal im Konstrukt verwenden!

    - In den Fritten den DHCP aus und beide Fritten in ein extra IP Bereich legen.

    - Im Edge dann WAN1 und WAN2 mit statischen IPs aus dem entsprechenden Frittennetz versorgen und Standardgateway auf die entsprechende Fritte.

    - Die beiden Netzwerke in Haus A und B in unterschiedliche IP Bereiche legen und DHCP im Edge oder einem anderen LAN Gerät nutzen. Der Edge sollte im eigenen LAN natürlich Standardgateway sein.



    Was noch zu Prüfen wäre ist das ganze AVM Mesh Gerammel. Den Accesspoint der Fritte kann man problemlos nutzen, indem man ein LAN Kabel von der Fritzbox in das LAN führt. (Also Fritte A in LANvon Edge A). Nicht ganz sauber aber funktioniert. Wie das mit Mesh aussieht, solltest Du mal vorab testen. Hab das schon mal gesehen, da wurde die 2. Fritte als gemesht angezeigt, hatte aber natürlich eine IP aus dem Edge Router LAN. Ansonsten kann man da wohl auch nur rumtricksen und das statisch mit dem IP Netz der Fritte (am Edge vorbei) regeln.

    Hallo und Danke.


    Die Skizze trifft meine Vermutung genau: die Fritten müssen wohl vom Rest isoliert werden und dienen dann nur noch als Gateway. Das wäre sauber und könnte dann durch eine weitere “innere“ Fritte zu WLAN / lokalem DHCP ergänzt werden. Da ich noch eine unbenutzte 4790 habe, könnte die den relativ schwachen Gatewayverkehr tragen und die modernere 7590 nach innen das lokale Geschäft. Das dann natürlich auf beiden Seiten…


    Ich befürchte nur, dass meine Kinder randalieren, weil dann die Latenzzeiten beim zocken explodieren… 😉


    Frage: wenn da ohnehin 2 Edges hin müssen, kann ich die nicht direkt koppeln und denen das Bridging untereinander und zum jeweiligen Gateway/Netz überlassen? Im Notfall sind Latenzzeiten vernachlässigbar. Ich hätte doch dann quasi ein Gatewaysegment mit eigenem IP-Range, 2 Gateways, die Edges spielen Bridge und NAT nach innen, dahinter die modernen Fritzen? Dann könnte ich sogar mit einem einfachen Funkrepeater die Verknüpfung herstellen und muss nicht Bohren…

    Du würfelst ständig Bridge, Router und deren Möglichkeiten durcheinander. In diesem Szenario wird ausschliesslich geroutet.


    Rein theoretisch kann man vermutlich mit einem Edge, der ausreichend Interfaces hat auskommen. Wird das Konfigurieren wohl aufwändiger. Die Howtos sind da meist auf 1 LAN und 2 WANs ausgelegt, da es ja ums Failover oder Load Ballancing geht.


    Durch den zusätzlichen Edge werden die Latenzen nicht explodieren ... jedenfalls nicht im Vergleich zu Ideen wie Funkrepeater als Verbindung.

    Danke für die Klarstellung. Ich hatte die Bridge immer als die intelligentere Entität in meinem Kopf gespeichert, dabei ist es genau andersrum. Streiche Bridge oben…


    Was ich meinte, ist:

    - wenn ich ohnehin weitere Edges brauche, kann ich doch eigentlich auch die Internetfritzen in einem LAN bündeln, dass von den beiden inneren getrennt ist, z.B. x.x.1.1 und x.x.1.2

    - die Edges sprechen (logisch, s.u) über Kreuz wie von Dir vorgeschlagen die beiden an

    - Alle Clients incl. Switches, Repeater, Mesh, WLAN usw. wandern in 2 eigene LAN-Segmente .2.x und .3.x hinter den jeweiligen Edges, so dass deren komplexe Konfiguration bei den Edges keine Rolle mehr spielt.


    Technisch müsste ich doch dann nur ein Kabel zwischen die beiden Edges spannen und denen das Routing auf die (nun dummen, nur Glasfasermodem spielenden) Fritzen überlassen. Denkfehler?


    - Internes Netz routet auf ihren Edge als primären Gateway

    - Edge routet auf seinen WAN-Fritz

    - Erreicht auch den anderen WAN-Port auf dem anderen Edge (gleiches Subnetz)


    Wenn wir soweit sind, stellt sich die Frage, wie ein Edge einen Fehler feststellt und die Route wechselt…



    Der Edge merkt das in dem man failover / loadbalancing konfiguriert. Also dual wan benutzt.


    Das setzt voraus dass Du 2mal Wan hast, also die beiden Fritten jeweils über ein Interface angebunden. Heisst Du hast 2 Interfaces, die nicht im gleichen IP Subnet liegen dürfen. Würde also 2 Kabel benötigen.

    Konfigurierst Du die WAN Schnittstellen der Edges statisch, dann könntest Du es mit einem Kabel machen. Nicht sauber aber geht. Fritten dann ohne DHCP. Du darfst dann aber nicht wie oben vorgeschlagen ein zusätzliches patchkabel von Fritten LAN zu Edge LAN verbinden um so evtl. AVM Mesh und Fritten WLAN nutzen zu können.