failover om SPOF Router on a Stick weg te werken - Netwerken

woensdag 3 augustus 2011 20:56

Acties:

Topicstarter

Ik wil een server gaan bouwen die dienst doet als Router on a stick icm een managed switch. Deze moet NAT, firewalling, routing, port forwarding en zo meer gaan doen voor het interne netwerk.

So far so good, maar zo creëer je wel een SPOF waarbij je geen internet toegang hebt als je server down is, bijvoorbeeld bij een reboot of bij hardware calamiteiten.

Om dit te vermijden zoek ik een betaalbare failover oplossing die tijdelijk het internet kan overnemen wanneer de primary server niet bereikbaar is.

Een eerste oplossing die ik tegenkwam is een tweede hardwarematige server inrichten die bijvoorbeeld door middel van CARP firewall rules gesynchroniseerd houdt en overschakelt bij problemen bij de primary.

Probleem hierbij is dat ik zowel de aanschaf als onderhoudskosten van een tweede server niet wil maken.

Dan zag ik dat je met dd-wrt een Dual WAN met failover kan maken.
Dit is niet hetzelfde als wat wil, namelijk een enkele WAN verbinding online houden als de primary router / server er mee kapt.
Ook komt de WAN verbinding in mijn setup op de managed switch terecht ipv op de WAN interface van de router.

Kortom, zijn er elegantere oplossingen om redundancy te voorzien voor dit netwerk met een router on a stick als router configuratie?

woensdag 3 augustus 2011 21:14

Acties:

CAPSLOCK2000

zie teletekst pagina 888

Om het goed te doen moet je alles dubbel uitvoeren. Zo'n dd-wrt is een nieuw SPOF.
Als je router stuk gaat dan heb je een andere router nodig. Daar kom je niet om heen. Met 1 stuk hardware gaat dat niet lukken. (Iedere oude pc is snel genoeg om voor router te spelen. Zet gewoon een afdankertje uitgeschakeld in de hoek. Als je hoofd-router ooit stuk gaat dan zet je de backup aan).

Wat probeer je precies te bereiken? Het maakt nogal verschil of je een bedrijfsnetwerk probeert te beschermen tegen uitval of dat het om je eigen PC gaat. Moet de failover helemaal automatisch gaan of is een beetje handwerk acceptabel?

Bij mijn ouders thuis heb ik een router die ik hetzelfde MAC-adres heb gegeven als de PC van mijn vader. De instructies zijn: "Als internet stuk gaat, dan trek je de kabel uit de router en steek je hem in je PC."
Dan zit mijn moeder wel zonder internet totdat ik langs kan komen om de boel te repareren, maar zo hebben ze in ieder geval nog iets.

[ Voor 24% gewijzigd door CAPSLOCK2000 op 03-08-2011 21:17 . Reden: beetje uitgebreid ]

This post is warranted for the full amount you paid me for it.

woensdag 3 augustus 2011 21:22

Acties:

TrailBlazer

Karnemelk FTW

zoiets dus idd. Gewoon een router configureren met hetzelfde mac adres als je PC aan de WAN kant. Deze prop je in twee access poortjes op je switch en aanslingeren als het stuk is. Tja je sessies raak je kwijt is dat zo'n drama voor die sporadische keer dat het gebeurt.

woensdag 3 augustus 2011 23:41

Acties:

sloth

Topicstarter

Dat zou inderdaad de betrouwbaarheid al wat verhogen. Maar liever zou ik wat hebben dat automatisch failover kan verzorgen zonder tussenkomst van iemand.

Dat de router ook een SPOF is in dat voorbeeld klopt. Die dingen zijn echter rock solid als je ze niet teveel belast dus daar maak ik me geen zorgen over

Verder gaat het om een thuisomgeving met non-critical toepassingen, maar ik ben wel vaak genoeg van huis waarbij het niet de bedoeling is dat er downtimes van een of meerdere dagen zijn.
Dat de connecties enkele minuten onderbroken worden is dan wel weer geen issue.

donderdag 4 augustus 2011 22:00

Acties:

CAPSLOCK2000

zie teletekst pagina 888

Als die router betrouwbaar is, waarom gebruik je die dan niet als router?

inet -> dd-wrt -> switch -> server

Zo standaard als het maar kan. Alle dingen die jij noemt kunnen prima door dd-wrt gedaan worden.

Ik kan nog wel iets ingewikkelds bedenken met een router die in een virtuele machine op je PC draait en CARP tegen je server praat, maar mijn ervaring is dat zo'n constructies meer problemen veroorzaken dan dat ze oplossen.

Ik heb thuis ook een server die als router dient. Ik heb het router deel in een virtuele machine draaien om het ding zo wat af te schermen van wat er verder nog meer gebeurd op die machine. Het heeft me al een paar keer gered, maar het heeft ook al voor problemen gezorgd. Op een gegeven moment ging mijn server out-of-memory en werd de router-vm afgeschoten. Als de host voor routing had gezorgd was dat nooit gebeurd want zelfs als je hele userland omvalt gaat de kernel lekker verder met routen.

[ Voor 44% gewijzigd door CAPSLOCK2000 op 04-08-2011 22:04 ]

This post is warranted for the full amount you paid me for it.

donderdag 4 augustus 2011 22:54

Acties:

sloth

Topicstarter

De router wil ik niet gebruiken omdat een WRT54GL het bij zo'n 30mbit WAN -> LAN al voor bekeken houdt.
Bovendien zijn veel mogelijkheden (bv dual WAN) vaak slordig om uit te voeren en beheren.
Ook zijn veel leuke (monitoring)functies beperkt doordat je net heel weinig resources ter beschikking hebt.

Daarom wou ik de stap naar pfSense maken, gevirtualiseerd op de server. De server doet slechts enkele basistaakjes waar hij zat resources voor heeft, dus daar kan best wel wat bij.

Je hebt inderdaad een punt met het afschermen van de routing in een VM.
Probleem is dat er naast het probleem wat jij beschrijft er nog zat andere dingen kunnen gebeuren waardoor het systeem down gaat, en het hele netwerk zonder internet zou zitten. Zeker omdat ik met standaard x86 spul wil gaan werken, en geen server grade hardware met redundante systemen.

Net om dat te vermijden zou zo'n scenario waarin een router de boel kan overnemen zo interessant voor me zijn.

Hopelijk verklaart dit het wat en waarom van dit topic al wat beter?

[ Voor 5% gewijzigd door sloth op 04-08-2011 23:00 ]

zaterdag 6 augustus 2011 14:02

Acties:

sloth

Topicstarter

/bump