Gu4rdi4n 73 Geschrieben 27. Januar Melden Geschrieben 27. Januar Guten Morgen, ich habe mal eine best practice Frage. Ich habe zwei WAN Verbindungen. Eine primäre und eine backup Leitung. Jetzt besteht das Problem, dass die VPNs keine Verbindung mehr haben, sobald die backup Leitung einspringt, da die Firewall Regeln die Backup Leitung nicht zulassen und man seitens unseres ERP Hosters nur eine IP eintragen will. Alternativ wurde uns angeboten auf FQDN umzustellen. Hier aber das Problem, dass mein Hoster, bei dem die Domain liegt leider kein DNS Failover unterstützt. Drum stellt sich mir jetzt die Frage, ob es eine Alternative gibt, bei der ich nicht gezwungen bin, die Domain z.B. zu GoDaddy zu übertragen. Wie würdet ihr das lösen? Ich bin drauf und dran einfach eine extra Domain zu kaufen und dort den Service zu nutzen. Zitieren
Beste Lösung cj_berlin 1.398 Geschrieben 27. Januar Beste Lösung Melden Geschrieben 27. Januar Moin, gibt es zwischen "VPN" und "ERP Hoster" einen Zusammenhang, oder sind es einfach die zwei Systeme, die vom WAN-Failover betroffen sind? Der Inbound-Teil (VPN) könnte vielleicht einfach ein sekundäres Profil verwenden, das versucht wird, falls das primäre Profil sich nicht verbinden kann. Oder Round Robin, und einige Connections gehen über die Backup-Leitung rein (stört das?). Für den Outbound-Teil (ERP Hoster) - entweder sie können FQDN abbilden, das mehrere IP-Adressen zurückgibt (Round Robin), oder man schaltet einen VPN-Gateway in der Cloud dazwischen, und dessen IP ist dann für den ERP Hoster für die Zulassung maßgeblich. Zitieren
Gu4rdi4n 73 Geschrieben 27. Januar Autor Melden Geschrieben 27. Januar Also unser ERP ist mit einem ipsec VPN angebunden. Heißt, wenn die IP nicht mehr erreichbar ist, dann ist das VPN down, da es nur connections von der einen öffentlichen IP akzeptiert. Gleiches Problem habe ich bei unseren .ovpn SSL Verbindungen. Dort ist eine URL eingetragen, welche eben auf die eine öffentliche IP auflöst. Ich könnte diese Dateien alle manuell abändern und die zweite Zeile hinzufügen, allerdings möchte ich das nicht unbedingt als erste Lösung nehmen. Round Robin wäre dann quasi zwei A Records mit: sub.domain.de -> 1.1.1.1 sub.domain.de -> 2.2.2.2 Hab ich das so richtig verstanden? Zitieren
cj_berlin 1.398 Geschrieben 27. Januar Melden Geschrieben 27. Januar OK, also sind's ZWEI VPNs: eins beim ERP-Hoster und eins von euch. Wie groß ist die Umgebung? Vielleicht würde so ein Cloud-VPN eure Probleme für vertretbares Geld lösen oder zumindest auf den Cloud-Provider verlagern. Euer WAN würde dann einen VPN-Tunnel - über welche WAN-Leitung auch immer - zum Cloud-VPN unterhalten, und den Traffic zum ERP-Hoster darüber routen. Selbiges könnte man auch für OpenVPN betreiben. Ist zwar Tunnel im Tunnel, aber je nachdem, welche Dienste darüber gehen und wie dick die physischen Uplinks sind, mag es funktionieren.. Mit dem DNS Round Robin hast Du es genau richtig verstanden. Es gibt keinen allgemeingültigen Standard, wie die Client-Anwendung damit umzugehen hat, daher hilft nur ein Gespräch mit den Leuten, die sie im konkreten Fall betreiben. Zitieren
Gu4rdi4n 73 Geschrieben 27. Januar Autor Melden Geschrieben 27. Januar (bearbeitet) 70 Clients ca. Also Cloud VPN ist glaube ich etwas overkill und auch ein weiterer point of failure Werde es aber im Hinterkopf behalten, falls die RR Lösung nicht funktioniert. Als letzten Ausweg werde ich dann wohl eine neue Domain machen und diese dann hierdrauf schalten: https://ipv64.net/ bearbeitet 27. Januar von Gu4rdi4n Zitieren
Gu4rdi4n 73 Geschrieben 30. Januar Autor Melden Geschrieben 30. Januar @cj_berlin kleines Heads up: Wir haben jetzt erstmal Round Robin gemacht, Funktioniert tadellos. 1 Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.