Failover mit 2 Internetanschlüssen

[Errorsmith]

Guten Morgen. Ich habe zur Zeit einen leider etwas instabilen Internetanschluss, an dieser Tatsache kann ich auch nicht wirklich was ändern. Danke Kabel Deutschland :-( Ich habe aber noch einige Zeit meine 2Mbit DSL Leitung. Ich möchte nun, bis mein Kabel "richtig" funktioniert ein Failover realisieren. Ich stelle mir das so vor:

Die WAN Seite von meinem Router bekommt zwei VLAN Interfaces. Auf dem einen ist das Kabelmodem angeschlossen, auf dem anderen das DSL Modem.

Irgendwie wird nun überwacht ob das Kabel noch funktioniert. Wenn nicht passiert folgendes:
- Lösche defaultroute zum Kabelinternet
- aktiviere pppd und wähle über DSL ein
- Setze neue defaultroute
- lade neue pf.conf
- Sende Mail an mich mit Info das auf Fallback geschaltet wurde
- Überwache Status, wenn Kabel wieder funktioniert wird zurückgeschaltet auf Kabel (und Mail an mich)

Läßt sich sowas relativ einfach realisieren? Das Ding ist ein Igel mit 8GB CF Karte und entsprechend nicht extrem leistungsfähig.

Grüße,
errorsmith

 

[rmoe]

Ja, geht. Habe ich selbst. Und die Igel Büchse ist inkl. VPN bei 50Mb auch locker mit dabei.

In meinem Igel steckt eine ausgebaute billige dual Gb (intel) Ethernet PCI Karte und ich betreibe sie "verkehrt herum", also vr0 zum switch inside und die beiden anderen Richtung WAN.
Allerdings: Die Zeiten, in denen ich alles selbst mühevoll händisch machen wollte (um zu lernen und zu üben) habe ich hinter mir. Sowas wird heute einfach, schnell und bequem mit pfSense erledigt.
Und nennenswert mehr Speicher oder CF cap. brauchst du dafür auch nicht. Ein Igel mit 700MHz, 1GB Ram (vermutlich auch mit 512MB) und 8GB CF kann das locker.

Randbemerkung: Das ist eh lustig, was die Leute so zu CPUs meinen. Klar, wir neigen dazu, das in Relation zu unseren Desktops oder Notebooks zu sehen und dann denkt man erst mal, dass so ein Igelchen ja fast nix ist im Vergleich. Aber der richtige Vergleich ist ein anderer, der nämlich zu irgendwelchen Mips Prozessoren mit 200 oder vielleicht 600 MHz. *Der* Performancefresser ist übrigens WLAN. Der Rest von einem Router würde auch mit nem Via C3 mit 300 MHz und 256 MB locker laufen. Schaut euch mal an, was Cisco so verbaut in durchaus schon etwas ernster zu nehmenden Büchsen. Da steckt Daumen mal Pi dasselbe drin wir in einer Fritzbox.

 

[Yamagi]

Cisco nutzt die CPU allerdings nur, um darauf IOS selbst auszuführen. Die wirkliche Magie liegt dort - wie auch bei den meisten anderen spezialisierten Netzwerkgeräten - in speziellen Chips, die einen Großteil des Ethernet- und IP-Krams in Hardware implementieren.

 

[rmoe]

In den großen Kisten natürlich. Aber nicht in kleineren und vielen mittleren, die durchaus im höheren 4-stelligen euro Bereich liegen.

Und warum auch nicht? Eine halbwegs moderne 300 MHz Mips core kann locker 100 Mb/s verarbeiten und auch einen Teil davon ver/entschlüsseln. Mir scheint, wir sind naturgemäß geneigt, sowas mit den Prozessoren in unseren Arbeitsrechnern zu vergleichen und dann sieht das natürlich mickrig aus. Aber ich kann (wie sicher auch andere hier) aus eigener Erfahrung sagen, dass man mit einem 266 MHz Geode (um einiges schmalbrüstiger als eine Via C7) erstaunliches anstellen kann. Zum Beispiel könnte auf so einem Kistchen mit grade mal 256MB RAM eine durchaus nicht kleine Webseite mit Hunderttausenden Zugriffen täglich ge-servt werden.

Überschlagen wir's doch einfach mal: 100 Mb/s macht ca. 10MB/s netto; Bei einer durchschnittlichen packet size von 1KB sind das gerade mal 10k packets/s, die so eine Home Firewall - bei voller Last! - verarbeiten muss. Da bleiben, dämlich überschlags-gerechnet um die 20 Instruktionen pro Byte, wobei eine firewall ja meist nur wenige header bytes auswertet. Daher wird's auch schnell eng bei WLAN's, die ganz andere Arbeitslasten mit sich bringen wegen der Verschlüsselung. Ich persönlich nehme als Faustregel deshalb immer "nicht mehr als 1/20 bis max 1/10 an VPN Leistung", also: Kiste kann 100Mb/s routen, aber nur 5-10 Mb/s VPN. Wobei das bei den Via C7 deutlich höher liegt wegen der Padlock crypto engine; bei den meisten moderneren WLAN SOCs sieht es ähnlich aus - theoretisch, denn praktisch verbraten die ihre Leistung beim WLAN verschlüsseln, weswegen der VPN Durchsatz dann trotz crypto-engine eher mager ausfällt.

 

[Errorsmith]

Ach, ich mag den Igel. Voraussetzung ist allerdings, da das ja nur temporär so laufen soll, das ich keine Zusatzhardware kaufen muß.
Im Switch würde ich Beispielsweise VLAN11 und VLAN12 einrichten. Der Port von der vr0 ist in beiden drin, die Pakete kommen "tagged" an, der Switch sortiert sich das dann zurecht. Der Rest ist ja erstmal einfach: für jeden WAN Uplink einen Port am Switch reservieren und im VLAN11 bzw. VLAN12 einfügen.

Wie sieht das nun mit der Software aus? Schreibt man sich da ein Skript das z.B. alle 5 Minuten ein Ping aussendet und ggf die Interfaces aktiviert? Oder gibts da irgendwas was ich noch nicht kenne?

@PfSense: Mein Lan is my castle - Oder anders gesagt: Das ist bestimmt eine tolle Software, aber ich will verstehen und selber konfigurieren was da passiert. Ich habe bisher keine Verwaltungsoberfläche gesehen, die 100% meinen Wünschen / Ansprüchen genügt und micht nicht in meiner Freiheit beschneidet. Und es gibt ebenfalls akum welche die mit manuellen Eingriffen in die Konfig klarkommen. Für diese Failovergeschjichte wäre das sicher toll, aber ich möchte nicht für eine temporäre Lösung meinen ganzen Router umstricken.

WLAN hat der Igel übrigens nicht. Jedenfalls nicht direkt. Hier steht ein Accesspoint auf dem Serverschrank, der Igel hat damit nur im Sinne von Firewall zu tun.

Grüße,
errormsith

 

[rmoe]

pfSense *ist* FreeBSD. Nur halt mit Config und Verwaltungszuckerguss. Du kannst aber alles wie üblich auch selbst machen. SSH ist selbstverständlich auch verfügbar.

Wie man Failover macht, dazu gibts vielerlei Methoden. Für Zuhause würde sicher auch ein alle x sek. script reichen, klar. Wie genau pfSense das macht, weiss ich ehrlich gesagt nicht, nur, dass es das kann.

Was WLAN angeht, so habe ich das hauptsächlich as Prozessor-Resourcenfresser erwähnt und ein bisschen auch, weil FreeBSD/pfSense das natürlich können (Ich selbst hatte mal einen UMTS stick als Reserve Zugang und gelegentlich (bessere) WLAN Sticks).

Wenn's dich interessiert, dann sag einfach kurz Bescheid, dann schau ich mal in meine pfSense und geb konkrete Infos. Sinnvollerweise vermutlich per PN/Unterhaltung, weil das wohl die meisten kaum interessieren dürfte.

 

[Errorsmith]

Ich weiß das pfsense FreeBSD ist. Ich mag halt den "Zuckerguss" nicht
Der Lösungsansatz würde mich trotzdem mal interessieren. Mir schwebt dabei ein Perlscript vor das zunächst versucht das Modem neu zu starten und ggf dann eben umschaltet. Das ganze soll dann - da eh nur temporär - auf der Konsole laufen und den Status anzeigen. Du kannst mich gern im Profilbereich anschreiben. Danke schonmal

Grüße,
errorsmith

 

[m4rkus]

Ich weiß nicht, ob du dein Kabelmodem jetzt schon am Switch in einem VLAN hast, aber wenn nicht, kann es zu Problemen kommen.

Bei meinen damaligen Versuchen weigerte sich das Modem dem Computer die IP zu geben, weil die MAC-Adresse vom Switch immer "zuerst" im Speicher des Modems war...
Kann sich geändert haben, aber mich hats nen Nachmittag gekostest

Gruß
Markus

 

[Errorsmith]

Hi

Danke für den Hinweis, ich werde darauf achten...
Hattest du das im Bridge-Mode oder als Router / Gateway konfiguriert?
Bei mir ist es so das ich via dhclient aktiv eine IP anfordern muss. Die bekomme ich vom DHCP Server des Providers. Nicht vom Kabelmodem. Da sollte die MAC vom Switch auch garnicht auftauchen. Das "aktive Interface" des Switches ist auch in einem anderen VLAN und wäre in den oben erwähnten VLANS garnicht sichtbar.

Ansonsten: Nein, ich habs noch nicht umgesetzt. Ich schaffe das zeitlich erst morgen Nachmittag, die Programmierung dazu am WE.
Für heute ist nochmal "Hotline nerven" angesagt. Vielleicht kann ich die weichquatschen das ich ein neues Modem (anderer Hersteller) bekomme.

Grüße,
errorsmith