Multi-WAN - Loadbalancing über VPN

Started by tobix, June 28, 2020, 02:31:36 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
June 28, 2020, 02:31:36 PM Last Edit: June 29, 2020, 12:21:52 PM by tobix
Hallo zusammen,

ich plane gerade ein Netzwerk, welches über 2 oder mehr Anbieter an das Internet angeschlossen sein wird.

Der Traffic des Gäste WLANs soll ganz normal über sticky session loadbalancing rausgehen.

Der Traffic des normalen WLANs soll komplett über einen Server geroutet werden, der in einem Rechenzentrum steht und auf dem auch OPNSense läuft. So könnte dann auch loadbalancing ohne sticky sessions genutzt werden, da es nur eine Externe IP (die des Servers im RZ) gibt über die der ganze Traffic raus geht. Der Hauptgrund ist aber, dass eine externe statische IP notwendig ist.

Ist dies mit OPNSense möglich und gibt es irgendwo Infos dazu? Ich habe leider über die Suchfunktion und Google nichts zu diesem speziellen Thema gefunden.

Danke schonmal im voraus.


Edit: Ich habe diese Frage auch nochmal an den Englischsprachigen Teil der Community gestellt. https://forum.opnsense.org/index.php?topic=17871.0
June 29, 2020, 05:23:13 PM #1
> So könnte dann auch loadbalancing ohne sticky sessions genutzt werden, da es nur eine Externe IP (die des Servers im RZ) gibt über die der ganze Traffic raus geht. Der Hauptgrund ist aber, dass eine externe statische IP notwendig ist.

Wie könnte damit Loadbalancing ohne sticky genutzt werden? Du meinst mehrere Tunnel zu deinem RZ Endpunkt aufbauen über mehrere Anbieter und dann dort via outbound NAT hinter der IP des Servers "verstecken"?

Wenn das gemeint ist ;) - ja das geht. Ich habe solche "WAN Accelerator" schon für Kunden gebaut - damals allerdings mit einer pfSense was hierfür egal ist - aber das wuppt. Problematisch wird es "nur", wenn deine RZ IP zu einem bekannten Segment gehört - wie bspw. Hetzner oder Azure und Co - dann wirst du dich darauf einstellen müssen, dass du via policy based routing auch Verbindungen direkt über deine WAN Leitungen schicken musst. Zudem immer rechnen, dass du den Traffic im RZ in- und outbound hast - also doppelt. Gerade wenn man für Traffic zahlt, ist das ganz schnell interessant ;) Und man muss ggf. mit Doppel/Dreifach NAT leben ;) Wenn man aber nicht gerade irgendwas anbieten will, sondern das nur für schnelle Anbindung nutzt und ansonsten via PBR manche Sachen direkt auf WAN1/2/3 (oder auf ein FO/LB Gateway über die 3 Interfaces) mappt, geht das schon.

Beispiel: 3x WAN via 50Mbps DSL, 3x Tunnel auf jedem WAN ins RZ einen OVPN Tunnel. LB Gateway über die 3 VPNs. Outbound NAT auf RZ Sense um alle 3 Tunnel ordentlich zu "verpacken".

Dann kann man da schon gebündelt 150Mbps drüber bekommen. Mit Multistreams natürlich, SingleStream ist immer noch begrenzt auf ein WAN, versteht sich von selbst.

Grüße
"It doesn't work!" is no valid error description! - Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense! ;)

If you're interested in german-speaking business support, feel free to reach out via PM.
June 29, 2020, 10:41:25 PM #2
Danke für deine Feedback.

Ja, ich meine eine VPN Verbindung pro Internetverbindung.

Über das Problem, dass die IP als RZ IP eingestuft werden kann und daher bei manchen Diensten Probleme machen könnte, habe ich mir schon Gedanken gemacht. Jedoch geht es hier um ein Büro in Osteuropa, daher würden wir durch die RZ IP wahrscheinlich weniger Probleme haben als mit der IP des Internetanbieters. Außerdem würde ich wahrscheinlich ein alternatives WLAN anbieten, welches nicht über das VPN geroutet wird. Darauf kann man dann wechseln, wenn es Probleme gibt.

Danke auch für den Hinweis mit dem Traffic. Ich denke trotz der Nachteile, würde ich zu Hetzner tendieren und dort ist man ja mit 20TB bei Cloudservern (unlimitiert bei Dedicated) recht großzügig und es wird nur ausgehender Traffic gezählt. Vielleicht hat hier aber auch noch jemand einen Geheimtipp für einen alternativen Hoster? Interessant wäre vielleicht auch ein Hoster, der ein /48 IPv6 vergibt, dann kann man /64er an die Clients vergeben (wird aber wahrscheinlich schwierig mit dem vpn setup, vielleicht gibt es da aber eine andere lösung :)).

Doppel/Dreifach NAT sollte kein Problem sein. Bin da nicht sehr erfahren, aber ich denke für normalen Traffic sollte das funktionieren. Dienste werden nicht angeboten. Nur eingehende VPN Verbindungen oder Portforwardings, aber nur direkt über die WAN IPs, nicht über die RZ IP.

June 30, 2020, 12:20:16 PM #3
Quote from: tobix on June 29, 2020, 10:41:25 PM
Danke für deine Feedback.

Ja, ich meine eine VPN Verbindung pro Internetverbindung.

Über das Problem, dass die IP als RZ IP eingestuft werden kann und daher bei manchen Diensten Probleme machen könnte, habe ich mir schon Gedanken gemacht. Jedoch geht es hier um ein Büro in Osteuropa, daher würden wir durch die RZ IP wahrscheinlich weniger Probleme haben als mit der IP des Internetanbieters. Außerdem würde ich wahrscheinlich ein alternatives WLAN anbieten, welches nicht über das VPN geroutet wird. Darauf kann man dann wechseln, wenn es Probleme gibt.

Klingt gut. Muss man nur im Hinterkopf haben. Bei uns war es ein Dienstleister, für den wir das konstruiert haben, der Gebiete und Gemeinden mit wenig/keinem Internet versorgt, weil die Telekomiker es als unrentabel ansehen. Dafür wurden dann 4x50Mbit DSL Lines zusammengeknotet.

Quote
Danke auch für den Hinweis mit dem Traffic. Ich denke trotz der Nachteile, würde ich zu Hetzner tendieren und dort ist man ja mit 20TB bei Cloudservern (unlimitiert bei Dedicated) recht großzügig und es wird nur ausgehender Traffic gezählt. Vielleicht hat hier aber auch noch jemand einen Geheimtipp für einen alternativen Hoster? Interessant wäre vielleicht auch ein Hoster, der ein /48 IPv6 vergibt, dann kann man /64er an die Clients vergeben (wird aber wahrscheinlich schwierig mit dem vpn setup, vielleicht gibt es da aber eine andere lösung :)).

Muss man auch nur im Blick haben, darum erwähnt. Das kann sonst ganz schön teuer werden ;) Aber dann ist das soweit ja klar. Bezüglich /48 - einfach beim Hoster anfragen. Wenn er überhaupt schon IPv6 ordentlich macht, hat er laut RIPE Auflage eigentlich mind. ein /56er an Kunden auszugeben, ein /48er könnte eventuell dann was Kosten, aber wie gesagt, eigentlich sind Hoster von der RIPE aus dazu angehalten Kunden einen mind. /56er Bereich auszugeben als Best Practice damit die IPv6 ordentlich mit /64er deployen können. Wenn du das bekommst, sollte es auch kein Thema sein ein Prefix davon für dich selbst für die Infrastruktur zu nutzen und damit dann jedem VPN ein v6 Transfernetz so dass du dann auch /56er oder /60er nach hinten durchrouten kannst. Wird dann nur über die multiplen VPNs etwas tricky, da müsste man dann ggf. eine Schippe Komplexität drauflegen und ggf. FRR auspacken um das sauber über die multiplen Links zu routen.

Quote
Doppel/Dreifach NAT sollte kein Problem sein. Bin da nicht sehr erfahren, aber ich denke für normalen Traffic sollte das funktionieren. Dienste werden nicht angeboten. Nur eingehende VPN Verbindungen oder Portforwardings, aber nur direkt über die WAN IPs, nicht über die RZ IP.

IMHO wird da oft Drama wegen DoppelNAT etc. gemacht, wenn es aber nicht gerade um super sensible Sachen wie VoIP geht, ist das eigentlich kein Showstopper. Für den normalen Office/Home Traffic, spielt die NAT da wenig Rolle. Und wenn der Rest eh über die WANs selbst läuft sollte es da kein Problem geben :)

Grüße
Jens
"It doesn't work!" is no valid error description! - Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense! ;)

If you're interested in german-speaking business support, feel free to reach out via PM.
Print
Go Up Pages1
User actions