Multi-WAN
Multi-WAN-Szenarien werden häufig für Failover oder Load Balancing eingesetzt, aber auch Kombinationen sind mit dem Schulrouter Plus möglich.
Konfigurieren Sie Failover
Zum Einrichten von Failover wird der folgende Schritt ausgeführt:
Hinzufügen von Monitor-IPs zu den Gateways
Hinzufügen einer Gateway-Gruppe
Konfigurieren Sie DNS für jedes Gateway
Verwenden Sie Richtlinien-basiertes Routing, um unsere Gateway-Gruppe zu nutzen.
Hinzufügen einer Firewall-Regel für DNS-Verkehr, die für die Firewall selbst bestimmt ist
Wussten Sie, dass Sie mit dem Suchfeld in der oberen rechten Ecke Ihres Bildschirms schnell und einfach zur richtigen Seite gelangen? Zum Beispiel so:
Beispielkonfiguration
In unserem Beispiel haben wir zwei bereits konfigurierte WAN-Gateways verwendet, die beide separat als funktionsfähig bestätigt wurden. Als DNS und Monitor-IPs werden wir die DNS-Dienste 8.8.8.8 und 8.8.4.4 von Google verwenden, natürlich können Sie auch Ihre eigenen ‚known good‘ Einstellungen verwenden.
Wir haben WAN und WAN2 definiert, wobei WAN unser primäres (Standard-)Gateway sein wird.
Schritt 1 - Hinzufügen von Monitor-IPs
Sie können diesen Schritt überspringen, wenn Sie die Überwachungs-IP bereits eingerichtet haben und beide Gateways als online angezeigt werden.
Um eine Überwachungs-IP hinzuzufügen, gehen Sie auf System ‣ Gateways ‣ Einzeln und klicken Sie auf das erste Stiftsymbol, um das erste Gateway zu bearbeiten.
Stellen Sie nun sicher, dass Folgendes konfiguriert ist:
Gateway-Überwachung deaktivieren | Nicht ausgewählt | Stellen Sie sicher, dass die Überwachung aktiviert ist. |
Überwachung der IP | 8.8.8.8 | Wir verwenden den DNS von Google. |
Gateway als deaktiviert markieren | Nicht ausgewählt |
Klicken Sie dann auf das zweite Stiftsymbol, um das zweite Gateway zu bearbeiten.
Stellen Sie nun sicher, dass Folgendes konfiguriert ist:
Gateway-Überwachung deaktivieren | Nicht ausgewählt | Stellen Sie sicher, dass die Überwachung aktiviert ist. |
Überwachung der IP | 8.8.4.4 | Wir verwenden den zweiten DNS von Google. |
Gateway als deaktiviert markieren | Nicht ausgewählt |
Schritt 2 - Gateway-Gruppe hinzufügen
Gehen Sie auf System ‣ Gateways ‣ Gruppe und drücken Sie + Gruppe hinzufügen in der oberen rechten Ecke.
Verwenden Sie die folgenden Einstellungen:
Gruppenname | WANGWGROUP | Eingabe eines Namens für das spätere gw-Routing |
Gateway-Priorität | WANGW / Tier 1 | Wählen Sie das erste Gateway und Tier 1. |
.. | WAN2GW / Tier 2 | Wählen Sie das zweite Gateway und Tier 2. |
Triggerpegel | Paketverlust | Wählen Sie den Trigger, den Sie verwenden möchten |
Beschreibung | Failover Gruppe | Frei gewählte Beschreibung |
Erläuterung zum Triggerpegel
- Mitglied inaktiv
Triggert, wenn das Gateway 100% Paketverlust hat.
- Paketverlust
Triggert, wenn der Paketverlust zu einem Gateway höher ist als der definierte Schwellenwert.
- Hohe Latenz
Wird ausgelöst, wenn die Latenz zu einem Gateway höher ist als der definierte Schwellenwert.
- Paketverlust oder hohe Latenz
Auslöser für eine der oben genannten Bedingungen.
Schritt 3 - Konfigurieren Sie DNS für jedes Gateway
Gehen Sie zu System ‣ Einstellungen ‣ Allgemein und stellen Sie sicher, dass jedes Gateway seine eigene DNS-Einstellung hat: so:
DNS-Server
8.8.8.8 | WANGW |
8.8.4.4 | WAN2GW |
Schritt 4 - Richtlinienbasiertes Routing
Weiter zu Firewall ‣ Regeln
Für unser Beispiel werden wir die Standard-LAN-Pass-Regel aktualisieren. Klicken Sie auf den Bleistift neben dieser Regel (Standardregel LAN zu jeder Regel zulassen).
Ändern Sie nun unter Gateway die Auswahl auf WANGWGROUP.
Speichern und Änderungen übernehmen
Diese Regel verwendet die Gateway-Gruppe für den gesamten Verkehr, der aus unserem LAN-Netzwerk kommt. Das bedeutet auch, dass der für die Firewall selbst bestimmte Verkehr in diese (falsche) Richtung geleitet wird. Deshalb wird Schritt 5 für unseren DNS-Verkehr benötigt, der zu und von unserem DNS-Forwarder auf der Firewall selbst geht.
Schritt 5 - Zulassen-Regel für DNS-Verkehr hinzufügen
Fügen Sie eine Regel direkt über der Standard-LAN-Zulassungsregel hinzu, um sicherzustellen, dass der Datenverkehr zur und von der Firewall an Port 53 (DNS) nicht an die soeben definierte Gateway-Gruppe weitergeleitet wird.
Beginnen Sie mit dem Drücken des Symbols + in der unteren linken Ecke.
Geben Sie die folgenden Details ein:
Aktion | Erlauben | Diesen Verkehr durchlassen |
Schnittstelle | LAN | |
TCP/IP-Version | IPv4 | Für unser Beispiel verwenden wir IPv4. |
Protokoll | TCP/UDP | Wählen Sie das richtige Protokoll |
Quelle | jeglich | |
Ziel | Einzelner Host oder Netzwerk | |
Ziel | 192.168.1.1/32 | IP der Firewall nur daher /32 |
Zielportbereich | DNS - DNS | Nur DNS |
Kategorie | DNS | |
Beschreibung | Lokale Route DNS | Frei gewählte Beschreibung |
Gateway | standard | Standard wählen |
Wenn Sie Unbound für die DNS-Auflösung verwenden, sollten Sie auch Default Gateway Switching über System->Einstellungen->Allgemein aktivieren, da der lokal erzeugte Verkehr nur das aktuelle Standard-Gateway verwendet, das sich ohne diese Option nicht ändert.
Erweiterte Optionen
Für jedes Gateway gibt es mehrere erweiterte Optionen, mit denen Sie das Standardverhalten/die Schwellenwerte ändern können. Diese Optionen können unter System ‣ Gateways ‣ Einzeln geändert werden. Drücken Sie auf das Stiftsymbol neben dem Gateway, das Sie aktualisieren möchten.
- Die aktuellen Optionen sind:
- Latenzschwellwerte
Niedrige und hohe Schwellenwerte für die Latenz in Millisekunden.
- Paketverlustgrenzwerte
Niedrige und hohe Schwellenwerte für Paketverluste in %.
- Probe-Intervall
Wie oft eine ICMP-Probe in Sekunden gesendet werden soll.
- Daunen
Die Anzahl der Sekunden mit fehlgeschlagenen Sonden, bevor der Alarm ausgelöst wird.
- Avg Verzögerung Antworten Qty
Wie viele Antworten sollten zur Berechnung der durchschnittlichen Verzögerung für die Steuerung von „Verzögerungs“-Alarmen verwendet werden?
- Avg Packet Loss Probes Qty
Wie viele Probes sollten verwendet werden, um den durchschnittlichen Paketverlust zu berechnen.
- Verlorene Sonde Verzögerung
Die Verzögerung (in Anzahl der Probeproben), nach der der Verlust berechnet wird.
Konfigurieren des Lastausgleichs
Um den Lastausgleich einzurichten, gehen Sie wie bei Failover vor, wählen aber in Schritt 2 für beide Gateways dieselbe Tier aus.
Dadurch ändert sich das Verhalten von Failover zu gleichem Ausgleich zwischen den beiden Gateways.
Sticky Connection
Einige Websites mögen es nicht, wenn sich die Anfrage-IPs für dieselbe Sitzung ändern, dies kann zu unerwartetem Verhalten führen. Um dieses Problem zu lösen, können Sie die Option Sticky Connections verwenden. Dadurch wird sichergestellt, dass jede nachfolgende Anfrage desselben Benutzers an dieselbe Website über dasselbe Gateway gesendet wird.
Die Einstellung dieser Option kann unter Firewall ‣ Einstellungen ‣ Erweitert vorgenommen werden.
Ungleiche Auswuchtung (Gewicht)
Wenn Sie eine nicht symmetrische Einrichtung haben, bei der ein IPS eine viel höhere Bandbreite als das andere hat, können Sie für jedes Gateway eine Gewichtung einstellen, um die Lastverteilung zu ändern. Wenn Sie z. B. eine Leitung mit 10 Mbit/s und eine mit 20 Mbit/s haben, setzen Sie die Gewichtung des ersten Gateways auf 1 und die des zweiten Gateways auf 2. Auf diese Weise bekommt das zweite Gateway doppelt so viel Datenverkehr zu bewältigen wie das erste.
Gehen Sie dazu auf System ‣ Gateways ‣ Einzeln und drücken Sie auf das Stiftsymbol neben dem Gateway, das Sie aktualisieren möchten. Das Gewicht wird unter dem Abschnitt „Erweitert“ definiert.
Kombinieren Auswuchten & Failover
Um Load Balancing mit Failover zu kombinieren, haben Sie 2 oder mehr WAN-Verbindungen für Balancing-Zwecke und 1 oder mehr für Failover. Schulrouter Plus bietet 5 Tiers (Failover Gruppen), wobei jedes Tier mehrere ISPs/WAN-Gateways aufnehmen kann.