Firmennetz mit Load balancer und VPN

[hov044]

Hallo admins,

IST-Zustand:

www---NTBA---Router(ISP)---Panal 1---Switch (4 Port)---Switch (4 Port)---u.s.w.

......................Switch (6 Port)-----Panal 2-----Switch (4 Port)-----Switch (4 Port)

Wie in der Skizze zu sehen, benötigt diese eine neue Planung.

Meine Planung, siehe unten. Ein Firewall mit Load balancern und VPN und ein 48 Switch.

Soll-Zustand:

www----NTBA----Router(ISP)----Firewall----Switch----Panal 1

..............|-----------|-------------|..............|----Panal 2

.............. -------Router(ISP)--------

Als Load balancer und Firewall schwanke ich zwischen dem pfSense C2758 1U Rack Mount Appliance und

Zyxel ZyWall USG-300, als switch habe ich mir Cisco swr2048 ausgesucht.

Eure Erfahrung und Meinung.

Wir wollen demnächst die Zweigstellen in Köln und Dortmund miteinander verbinden, benötigen wir dafür ein Gateway? Wofür war nochmal so ein Gateway gut und wo im Netzwerk wird dies eingesetzt? Zwischen dem Router und Firewall!

LG

Bearbeitet 9. Juli 2014 von hov044

[Crash2001]

Was für eine anbindung existiert denn an den Standorten jeweils? Ist aus deiner Zeichnung (und den Geräten) nicht wirklich ersichtlich.

Ein NTBA ist ein "ISDN-Gerät". Kann also daraus geschlossen werden, dass die Anbindung zwischen den Standorten über ISDN realisiert ist? Falls ja, macht ein Loadbalancer in dieser Art nicht viel Sinn. Ich gehe aber mal eher davon aus, dass die Standorte per DSL oder Standleitung miteinander verbunden sind.

Wozu soll hier überhaupt ein Load Balancer eingesetzt werden? Ist eine Leitung immer voll? Wurde eine zweite Leitung aus Redundanzgründen angeschafft und überlegt, diese nun mitzunutzen, um mehr Bandbreite zwischen den Standorten zu haben?

"Gateway" ist die IP-Adresse auf dem Router, an die Pakete gesendet werden, die in andere Netze als das lokale Netz gehen sollen und somit geroutet werden müssen.

P.S.:

Deine "Zeichnung" ist ziemlich mehrdeutig. Am besten erstellst du mal eine auf Papier und scannst sie ein, oder aber unter Visio o.ä., so dass sie nicht verzerrt / falsch dargestellt wird durch Zeilenumbrüche und Leerzeichen. Vielleicht kann man dann darauf etwas mehr erkennen.

[hov044]

Sorry für die Skizze.

Hier eine Zeichnung:

P.S.: Gateway wird also zwischen dem Router(ISP) und dem Firewall eingesetzt nach meiner Zeichnung!

[Crash2001]

Gateway ist der Router oder die Firewall (je nach Konfiguration) und kein zusätzliches Gerät.

Wenn du Load Balancing machst, muss deine Firewall das Gateway sein, weil sie das Load Balancing ja macht und ansonsten nur einer der beiden Router im Soll-Zustand genutzt werden würde.

[hov044]

welsche ist zu empfehlen:

pfSense C2758 1U Rack Mount Appliance oder Zyxel ZyWall USG-300

[Crash2001]

Da du keinerlei Anforderungen bisher geschrieben hast, und auch auf meine Fragen nicht eingegangen bist, kann dir wohl mit den gegebenen Informationen niemand diese Frage beantworten.

Hängt unter anderem z.B. von folgenden Punkten ab:

• Bandbreite und Art der Anbindung (Leitung 1 gleiche Bandbreite wie Leitung 2? Wie hoch ist die jeweilige Bandbreite? Sollen beide Leitungen parallel genutzt werden, oder eine nur als Failback Leitung?)
  
• Art der Anbindung (Laufzeiten, u.s.w. - wenn die Laufzeiten sehr unterschiedlich sind, kann es da durchaus zu Problemen kommen)
  
• welches Verfahren für Load Balancing soll eingesetzt werden (je nach Anforderungen halt) und welches unterstützen die Geräte überhaupt jeweils (habe ich keine wirklichen Infos zu gefunden)
  
• Leistung der Geräte und benötigter Leistung (under- oder oversized? Welche Bandbreite wird benötigt?)
  
• persönlichen Vorlieben oder Erfahrungen mit einem oder beiden der Geräte.
  
• mögliche Wartungsverträge (Preis, Leistungen) / benötigter Support dafür
  
• Verfügbarkeit und wann es in Betrieb gehen soll.
  
• Anzahl der VPN-Verbindungen und User, sowie was für eine VPN-Verschlüsselung
  
• QoS/CoS?
  
• Je ein gleiches Gerät pro Seite (Lokation a/b), oder nur in der Hauptlokation und in der Gegenseite existiert bereits etwas?
  
• ...

Die Zygwall USG-300 hat z.B. "nur" ca. 130MBit/s Throughput bei AES-verschlüsseltem VPN und "nur" 300MBit/s bei der Firewall. Ob AES-Verschlüsselung beim VPN bei euch eingesetzt wird, ob die Bandbreite der Leitungen eh geringer ist oder sowohl VPN-Verbindungen als auch z.B. Direktverbindungen ins Internet darüber gehen, die vom Client aus schon verschlüsselt sind, oder oder oder wissen wir nicht, ohne dass du so etwas angibst. Genauso die Lizenzsachen (SSL-VPN z.B.)

Genauso auch der Throughput für das pfsense-Gerät.

Ich bin kein Fachmann für Loadbalancer, aber diese Sachen sollte eigentlich ein Berater zusammen mit euch klären und dann entsprechende Vorschläge machen.

Genauso auch, ob es z.B. Sinn macht, einen Loadbalancer mit integrierter Firewall zu nutzen, oder eventuell 2 separate Geräte besser nehmen sollte und wie es mit WAN-Optimierungen (Kompression) aussieht. Eventuell könnte ja auch ein Gerät von F5 oder so in Betracht kommen, wenn z.B. viele Datenbankabfragen über die Leitung gehen.

Genauso, ob die Leitungen von sich auch QoS unterstützten, ihr das konfigurieren könnt, der ISP das konfiguriert für euch, oder ob es evtl Sinn macht, QoS über die VPN-Strecke zwischen den Lokationen zu fahren.

Du hast ja nichtmals angegeben, ob es Direktverbindungen zwischen den Standorten sind, oder ob es Leitungen für den Internetzugang sind, bei denen über das Internet eine VPN-Verbindung aufgebaut wird.

Genauso auch die Frage, ob ein Gateway am jeweiligen Standort notwendig ist.

Ein Gateway (als Router) ist definitiv notwendig. Wie dies aber z.B. mit dem DHCP-Server aussieht, ob da einer lokal stehen sollte, oder ob dies über die Anbindung gehen sollte, das sind grundlegende Designaspekte des Netzes, die dir niemand beantworten kann, ohne das aktuelle Design (Server und Netzwerk) zu kennen.

Ich würde dir also dringend raten: Wende dich damit an einen Fachmann (Systemhaus), denn ansonsten wird es höchstwahrscheinlich in einem Fiasko enden bei deiner offensichtlichen Unkenntnis diesbezüglich.

Kostet zwar etwas, aber dafür hat man dann ein vernünftiges Design und einen Ansprechpartner (evtl mit Servicevertrag auch direkt?), wenn mal was nicht geht.

Ach ja...

No Input => no Output.

Bearbeitet 14. Juli 2014 von Crash2001