Freifunk Gera-Greiz

Mahlzeit.
 
Bei mir steht in absehbarer Zeit wie vielleicht schon bekannt ein Umzug an. Auf diesem Weg würde ich ganz gerne meine bisher bestehende Infrastruktur ergänzen bzw. durch Multi WAN/Load Balancing erweitern.
Vor Ort bestehen 2 Anbindungen, welche beide über eine statische öffentliche IP verfügen ( 1x VDF 1Gbit/s & 1x Telekom Hybrid M 16Mbit/s + 50Mbit/s LTE ). An dieser Vorgabe lässt sich nicht rütteln…
Das Diagramm sollte selbsterklärend sein, die Adressen sind erst einmal nur fiktiv und dienen  der Übersicht.
 
Mir stellen sich hier nun einige Fragen.
 

1. Es bestehen 2 Anbindungen, welche beide über eine statische öffentliche Adresse verfügen, diese sind zwingend notwendig, da auf gewisse Dienste von extern jederzeit Zugriff bestehen muss/soll. Die Adressierung der einzelnen Maschinen erfolgt statisch. Wie verhält es sich nun wenn auf VM 1 ein Dienst läuft welcher via ISP 1 Adresse von außen erreichbar ist und ISP 1 nun wegbricht. Somit wäre der Dienst nicht mehr verfügbar. Wie bekomme ich das gelöst? Als info bei manchen Diensten kann ich leider nur eine IP und Port angeben. Lässt sich das über den Cisco bewerkstelligen o. in Zeroshell? Für mich völliges Neuland.
2. ISP2 welcher in Form von Hybrid zur Verfügung steht. Im klaren stehen 16 Mbit/s via DSL, sowie 50 Mbit/s via LTE zur Verfügung. Auch hier wie bereits erwähnt besteht eine statische öffentliche Adressierung. Ist diese noch verfügbar, wenn das DSL wegbricht und die Kiste only via LTE befeuert wird? Ich weis zumindest das bei Ausfall des DSL’s weiterhin eine Anbindung ins Netz besteht solange ich mich innerhalb einer bestimmten Funkzelle aufhalte. Hierzu kann mir der Telekom Support keine Auskunft geben, oder sie wollen es nicht…
3. Ist es sinnvoller das Load Balancing als auch die Bündelung durch einen Multi WAN Router erledigen zu lassen, oder den Kram innerhalb einer VM durch z.B. „Zeroshell“ abarbeiten zu lassen? Ich sehe bei der VM Lösung nur Vorteile…  Die Anschaffung eines  Multi WAN Routers entfällt und Stromkosten werden eingespart. Netzwerkschnittstellen sind am Root ausreichend vorhanden ( 2x 100/1000/10000 & 2x 100/1000 ), die Anforderungen von Zeroshell sind nicht erwähnenswert. Wo liegen die Nachteile ? Bzw. Meinungen hierzu wären mir sehr lieb.
4. Ob nun VM seitig oder mit einem Multi WAN Router gelöst, ich bin der Annahme richtig das dennoch über beide öffentliche Adressen parallel auf Maschinen  zugegriffen werden kann, oder gibt es da Probleme wegen dem Load Balancing ?

 
Über Infos, Kritik, was auch immer freue ich mich.
 
Grüße
Frank
 
 
 

Deine Nummerierung halte ich nicht durch, weil sich die Fragen nicht ohne Überdeckung beantworten lassen.

Wenn du 2 Provider hast, wirst du von beiden "providerabhängige", statische IPs bekommen. (Gefühlt bekommst du bei Hybrid vielleicht sogar noch eine für das LTE, aber das ändert nichts am Grundproblem.)
Wenn einer der Provider vom Bagger erwischt wird, hängt deine IP in der Luft und die eingehenden Verbindungen werden nicht mehr zu dir geroutet.
Die Lösung wären "providerUNabhängige" IPs. Für IPv4 wird das wohl eher nichts mehr werden. Der Topf ist leer. Für IPv6 fehlt mir die Fachkenntnis, vielleicht geht das da.
Mit dem unabhängigen Set kannst du dann BGP machen und die Welt wäre schön.

Multi-WAN selbst ist eher unkritisch. Ob du dafür auf Blech (Cisco, Watchguard, ...) setzt oder auf VMs (Zeroshell, OS-Bordmittel) sollte eher egal sein. Das macht keinen Unterschied für das Resultat. (Höchstens für die Wartungsintensität und die Investitionskosten.)
Gefühlt würde ich eher auf OpenSense oder PfSense setzen. Die müssten das auch können und sind breiter vertreten. Aber ich stecke da im Markt nicht so weit drin.

Erreichbarkeit HINTER dem Multi-WAN:
Das ist auch eher einfach zu bauen. Letztlich macht deine Frontkiste (Firewall, Multi-WAN-Dingens) eine Art von Proxy und leitet die Daten nach innen durch.
Deine interne Struktur ist ja stabil und sollte idealerweise von dem äußeren Umfeld komplett logisch getrennt sein. Deine VMs wissen also nicht, dass sie im Internet unter 1.2.3.4:5678 erreichbar sind.

Das von Matthias erwähnte dynamische Routing mit BGP und Co. ist die einzige Möglichkeit, welche mir jetzt einfällt, um mit jeder denkbaren Internet-Anwendung die Redunzanz auch für eingehende Verbindungen hinzubekommen. Du hast Deine eigene öffentliche IP-Adresse und beide Provider müssen eingehenden Traffic über den zugehörigen Anschluß zu Dir routen. Und müssen dem restlichen Internet sagen, daß sie denn Traffic für Deine Adresse annehmen. Das machen Deine Provider nicht. Und Provider, die das tun, sind wahrscheinlich zu teuer.

Es gäbe aber noch eine exotische Möglichkeit: Vom Freifunk-Rheinland-Backbone haben wir neben einem /48er-IPv6-Netz auch 4 eigene öffentliche IPv4-Adressen. 3 davon gehören zu Gw1-3, eine ist noch übrig. Theoretisch könntest Du die nutzen. Dazu müßtest Du über jeden Deiner beiden Anschlüsse jeweils einen Tunnel (GRE oder so) zu jedem unserer 3 Gateways schalten (also insgesamt 6 Tunnel). Darüber legst Du einen Daemon fürs dynamische Routing (z.B. Bird). Letzendlich wissen dann unsere 3 Gateways, über welchen der 6 Tunnel Deine IP-Adresse gerade am besten erreicht wird.

Ob sich das wirklich lohnt, wage ich zu bezweiflen. Das Ganze ist wirklich komplex und dadurch auch fehleranfällig. Durch Fehler in diesem Konstrukt kommt es dann vielleicht eher zu Ausfällen wie durch Fehler bei Deinen Providern. Aber interessant wäre es schon...

Ich bin absolut dagegen die vom FFRL der Community zur Verfügung gestellten IPs für private Server oder ähnlich zu verwenden.
Nennt mich Spielverderber, aber das hat nichts mit Freifunk zu tun, egal wie interessant und exotisch es ist..

Ich auch. Wenn wir sowas im Verein mal basteln wollen, gerne. Ausserhalb nicht. Da kommen wir in Teufels Küche

Hi,
nach genauerem Überlegen habe ich das Thema mit zwei öffentlichen Adressen erst einmal verworfen und werde alle Dienste nur mit einer Adresse ansprechen.  Eine Adresse von FFRL kommt definitiv nicht in Frage Jörg. Das ist rein Privat und hat nichts mit dem Verein etc. zu tun. Das wirft nur ein schlechtes Licht.
Die Multi WAN Geschichte würde ich in einer VM lösen, spart mir Strom und Anschaffungskosten.