Hi. Heute bin ich an euren Ideen und Empfehlungen interessiert. Wie würdet ihr folgende Aufgabe angehen?
Ist-Zustand
Aktuell ist mein Heimnetzwerk über einen Unitymedia/Vodafone-Kabelanschluss mit dem Internet verbunden. Für die Verbindung zum Netz verwende ich die Unitymedia-Connect-Box. Die WLAN-Funktion und der DHCPv4-Server sind deaktiviert, da sich der Pi-Hole und ein Netgear-Orbi-System um diese Funktionen kümmern.
Dieses Setup hat einen Nachteil. Das Router Advertisement der Connect Box lässt sich nicht deaktivieren und nicht weiter konfigurieren. Mit diesem werden die DNS-Server des Internet Service Provider (ISP) im LAN announced. Diese werden von den Clients mit einer höheren Priorität genutzt als der Pi-Hole, was dessen Einsatz ad absurdum führte. Um dieses Problem zu mitigieren, habe ich die DHCPv6 Adressvergabe der Connect Box auf das Minimum von 1 Adresse reduziert. Damit entfaltet der Pi-Hole seine Wirkung und wir bleiben von Werbung weitestgehend verschont. Da die Clients im LAN nun jedoch keine IPv6-Adressen mit Scope Global besitzen, lassen sich Hosts im Internet, welche nur über IPv6 erreichbar sind, nicht ansprechen.
Es kommt ein Glasfaseranschluss hinzu
Voraussichtlich gegen Ende diesen Jahres kommt ein Glasfaseranschluss des Anbieters Sewikom hinzu. Dieser wird bis in den Keller gelegt und endet im sogenannten Hausübergabepunkt (HÜP). An den HÜP wird ein eigener Router via Kupfer-Patch-Kabel angeschlossen.
Der Router ist noch nicht vorhanden und muss von mir gekauft werden.
Gewünschtes Zielszenario
Ich möchte zukünftig beide Anschlüsse parallel nutzen können. Entweder in einer Active-Standby-Konfiguration oder Active-Active-Konfiguration. In letzten Fall wäre auch eine Möglichkeit charmant, in der ich konfigurieren kann, welche Clients welchen WAN-Anschluss bevorzugt nutzen sollen. Fällt ein Anschluss aus, sollen alle Geräte den verbliebenen Anschluss nutzen können.
Damit der Router nicht zum Single-Point-of-Failure wird, möchte ich für diesen ein Cold-Standby-Gerät vorhalten, da Hardware mit Hot-Standby-Unterstützung für das Heimnetzwerk vermutlich übertrieben teuer wird.
Bei der Lösung muss berücksichtigt werden, dass ich auch zukünftig nicht auf DNS-Filterlisten verzichten möchte. Ob diese Funktionalität vom Pi-Hole oder von einer integrierten Router-/Firewall-Lösung bereitgestellt wird, ist jedoch zweitrangig.
Vermutlich bietet es sich an, ein Netzwerkgerät zu verwenden, welches neben der Gateway-/Routing-Funktionalität auch eine Firewall bietet, die den Verkehr zwischen verschiedenen Netzwerkzonen steuern kann.
Wie habt ihr das gelöst?
An dieser Stelle kommt ihr ins Spiel. Wer von euch betreibt bereits ein solches Szenario mit zwei Internetanschlüssen (Glasfaser und Kabel) und wie habt ihr das gelöst?
Welche Hardware verwendet ihr? Warum habt ihr euch für diese entschieden und wovon würdet ihr aus Erfahrung abraten?
Bitte schreibt mir eure Antworten in die Kommentare, per E-Mail oder in den Chat (#my-it-brain:matrix.org).
Hi,
ich hab vor die Clients ne OPNsense gestellt und die OPNsense hat jeweils ein Füßchen zur Connect-Box und zum UMTS Router.
Nicht optimal, weil die OPNsense jetzt der SPOF ist, aber das Risiko habe ich akzeptiert :)
Bin gespannt, wie du es umsetzt.
LG
schtebo
Ich habe mit zwei TP-Link Routern und OpenWRT erst ein loadbalancing gebaut und für alle drei netze ein vlan aktive. DSL, Kabel und LB. So kann ich ggf. Ein system direkt nur auf kabel setzten wo ich mit Bussniss Anschluss feste IPv6 Addressen habe. Das LB Netz hat eine ULA und balancing ist sehr individuell je server, port und Dienst eingestellt.
Da das aber immerwieder Probleme gemacht hat, weil kabel zu viel Latenz hat und DSL zu langsam ist, bin ich gerade dabei eine ASN zu holen und werde dann alles über Bird mit BGP laufen lassen wollen, aber das kommt noch.
Wenn du die neue Lösung implementiert hast, freue ich mich auch dazu über einen Erfahrungsbericht. :-)
Hi, betreibst du Connect-Box und UMTS-Router im Bridge/Modem-Modus oder hast du (Transfer-)Netze zwischen den Geräten und machst Routing auf der OPNsense?
He Joerg,
also … es war einmal, klein Michi mit zwei Internet Anschluessen und Sie lebte gluecklich und zufrieden … ENDE
naja nicht ganz, also was Du definitiv an Problemchen haben wirst ist das Du auf zwei Unterschiedlichen Anbietern definitiv kein routing zusammen bringen wirst im Sinne von:
Client1 – request packet1/session1 -> outbound -> upstream1
upstream1 -> inbound response packet1/session1 -> Client1
Client1 – request packet2/session1 -> outbount -> upstream2
upstream2 -> inbount response packet2/session1 -> Client1
dazu wuerdest du ein ASN(https://en.wikipedia.org/wiki/Autonomous_system_(Internet)) brauchen und einen BGP router der dein Netz upstream1 und upstream2 announced und dem entsprechend routet.
Was funktioniert ist wenn Du `hard coded` Client1 -> upstream1 und Client2 -> upstream2 schickst (geht auch per tcp session wird aber unuebersichtlich und way too complex…
Das Zauberwort heisst `policy based routing` und kann mittels nftables/iptables classified packets an unterschiedliche routen schicken.
Hier die Gute Nacht lektuere dafuer ;P
https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/8/html/configuring_and_managing_networking/configuring-policy-based-routing-to-define-alternative-routes_configuring-and-managing-networking#routing-traffic-from-a-specific-subnet-to-a-different-default-gateway-by-using-nmcli_configuring-policy-based-routing-to-define-alternative-routes
Hey Michi, das ist ja schön, dass du mir hier schreibst. :-)
Ja, dass asymmetrisches Routing einfach keine Freude aufkommen lässt, musste ich leider auch schon leidvoll erfahren. In der Vergangenheit habe ich stets Active-Standby-Konfigurationen gebaut, wo eine WAN-Verbindung erst genutzt wurde, wenn die erste tot war. Die Guten haben zwischendurch mal umgeschaltet, um zu testen, ob die Backup-Leitung überhaupt noch funktioniert. ;-)
Policy-Based-Routing sieht interessant und vielversprechend aus und ich ehrlich, ich hätte nie in einer RHEL-Doku danach gesucht. Vielen Dank für den Link. :-)
LG
Jörg
WAN-Loadbalancing mit Sticky Sessions könnte mir auch gefallen. ich merke mir hier mal den Link: https://docs.opnsense.org/manual/how-tos/multiwan.html