Firewall implementatie voor 3 internet-lijnen

Load balancing over je WAN lijnen Google daar eens op!

pfsense?

Ik weet dat je netwerkkabels die parallel liggen kunt trunken, gaat dit ook met internetlijnen dan?? (meer aan de internetpro's gericht hier...)

Ik neem aan dat je link aggegration bedoelt? Dat kan alleen als de lijnen van dezelfde provider komen en deze provider zo vriendelijk is dat in de switch in te stellen of LACP aan te hebben staan, dat lijkt me hier niet het geval.
Is overigens ook niet echt nodig, in deze situatie zou met bijvoorbeeld pfsense nog steeds load balancing over de meerdere lijnen gedaan kunnen worden, en hier kan ook failover in gemaakt worden.
Bijkomend voordeel is dat je met CARP kan zorgen dat wanneer een router uitvalt de ander het overneemt.

Iedere "professionele" firewall, hetzij software of hardware kan jou eisen wel hebben. Je wilt load balancing, failover en de mogelijkheid om zelf je routing te regelen. Op m'n werk heb ik verschillende firewalls die het kunnen (juniper, cisco asa, kerio control).

Ik zou gewoon even kijken hoeveel netwerkverkeer en aantal verbindingen de huidige oplossing verwerkt en dan gaan zoeken naar een router die dat kan hebben (plus wat speling of course). En de gevraagde functionaliteit (load balancing, failover en routing) ondersteund.

Je kunt hier pfsense erg goed voor gebruiken. Het zal alleen niet gaan werken als 2 van de lijnen dezelfde gateway gebruiken. Dit komt regelmatig voor als je 2 lijntjes hebt bij 1 provider.

Je hebt ook kans wanneer iemand je benaderd via een sdsl ip adres en je antwoord terug over de kabel dat de packets clientside gedropt worden natuurlijk als onderdeel van de security

M.a.w load balancing is niet nodig. Je wilt alleen failover. Maakt het al makkelijker in je zoektocht.

lawkexarib schreef op vrijdag 04 november 2011 @ 10:12:
Het is bij ons de bedoeling dat al het verkeer over de Ziggo lijn gaat en aankomt. Wanneer de Ziggo lijn niet beschikbaar is, dan is het de bedoeling dat de firewall een fail over uitvoert naar bijv SDSL lijn.

Maar ook een failover met hetzelfde externe ip ? Afhankelijk van je business kan dat aardig uitmaken
Anders moet je mischien denken aan een externe server met je externe ip en daarnaartoe tunnelen ofzo

fish schreef op vrijdag 04 november 2011 @ 09:51:
Je hebt ook kans wanneer iemand je benaderd via een sdsl ip adres en je antwoord terug over de kabel dat de packets clientside gedropt worden natuurlijk als onderdeel van de security

Ik weet niet hoe andere software hiermee omgaan maar in pfSense kun je instellen dat bij het overschakelen van WAN link, alle states worden gedropt. Alle verbindingen worden geforceerd opnieuw opgebouwd. De meeste software doet dit naadloos.
Je kunt natuurlijk ook ervoor kiezen alle states te behouden (het leuke van pfSense / FreeBSD is dat dat zelfs kan als je 2 firewalls gebruikt en je moet terugvallen op de backup firewall), dat is echter alleen handig als je IP adres dan ook gelijk blijft. Dat is bijv. praktisch in een datacenter waar je vaak 2 gelijke uplinks hebt.

Dan is het dus belangrijk dat wanneer 1 van die verbindingen uitvalt de servers nog steeds te bereiken zijn.

Als je een service draaid die extern bereikbaar moet blijven heb je toch potentieel een probleem als die geen (eigen) failover constructie heeft

je server kan wel bereikbaar zijn. maar op een ander "onbekend ip" is dat acceptabel ?

[ Voor 23% gewijzigd door Fish op 04-11-2011 17:29 ]

Goed jij draaid bijvoorbeeld publiek een webserver www.webserver.nl A record wijst naar ip x.x.x.x alles werkt

er gaat iets mis op de kabel je verbinding gaat de failover gebruiken en adres x.x.x.x is niet meer bereikbaar. hoe moet ik dan weten hoe ik je webserver kan bereiken

[ Voor 5% gewijzigd door Fish op 04-11-2011 22:56 ]

Simpel gezegd: van binnen naar buiten zal meestal geen probleem zijn, maar zaken vanaf het internet naar binnen toe (een webserver bv zoals Fish zegt) levert wel problemen op, omdat die server nu op een ander extern IP benaderd zou moeten worden.

Weet niet zeker, maar een korte TTL in je DNS kan dat op vangen toch?

sanzut schreef op zaterdag 05 november 2011 @ 00:26:
Weet niet zeker, maar een korte TTL in je DNS kan dat op vangen toch?

het is maar een voorbeeld natuurlijk. er zijn meer services natuurlijk
een korte ttl is fijn. maar je dns veranderd niet zomaar tenzij je daar dus iets op verzint.

mischien zijn er zelfs wel clients die op ip connecten. (omdat er nog helemaal geen dns namen aan hangen ?) weet ik veel.

ik vraag me ook af or er naar de uplinksnelheids is gekeken. de kabel was duidelijk niet synchroon, wat is die uplinksnelheid vergeleken met de sdsl lijn. waarom zijn daar 64 ip adressen ?

[ Voor 31% gewijzigd door Fish op 05-11-2011 00:36 ]

Wat is er mis met iets als DynDNS? Bij het veranderen van de lijn zal het IP daarin veranderen. Je diensten maak je dan gewoon beschikbaar met een CName.

Maar sowieso is deze discussie nogal onnodig aangezien de TS niet degene is die erover begon

Joolee schreef op zaterdag 05 november 2011 @ 12:59:
Wat is er mis met iets als DynDNS? Bij het veranderen van de lijn zal het IP daarin veranderen. Je diensten maak je dan gewoon beschikbaar met een CName.

Maar sowieso is deze discussie nogal onnodig aangezien de TS niet degene is die erover begon

Er is helemaal niet mis met dyndns maar de ts begrijpt me kennelijk niet. en je kan alles beschikbaar maken met een c name maar dan moet je dat ook aankondigen ipv bij de eerste storing doorgeven. dat zijn dingen die in zo'n plan horen toch ?

M.a.w. we willen altijd voorzien zijn van een internet-lijn met een download- en een uplink.

hier heeft hij het over een voorziening die in beide richtingen goed moet blijven werken

[ Voor 17% gewijzigd door Fish op 05-11-2011 13:30 ]

Wel een hoop technische oplossingen, terwijl de topicstarter een "functioneel ontwerp" moet opleveren.
Daarin beschrijf je wat de functionaliteit moet zijn van de Internet verbinding.
- Stabiliteit
- Beschikbaarheid
- Failover
- Response tijden
- Gewenste bandbreedte
- Dienste die moeten werken
- Interne diensten die beschikbaar moeten blijven bij failover
- Hoe snel de failover moet gaan (afhankelijk van de dienst)

Dat zijn zaken die je in het functioneel ontwerp gaat plaatsen. Laat het ontwerp ook toetsen en ondertekenen door de opdracht gever. Dan heb je een duidelijk uitgangspunt.

Daarna komt er wel een technisch ontwerp waarin je voor alle functionele eisen een solide technische oplossing ontwerpt. Afhankelijk van de achterliggende architectuur principes kan herbruikbaarheid en generiekheid een eis zijn. Maar dat is wel aan te raden.

Nu roepen jullie allemaal technische oplossingen voor mogelijke problemen, maar als de gewenste functionaliteit niet beschreven is en vast staat is het het gokken.

Let op, het is goed dat jullie de mogelijke issues herkennen dus Uiteindelijk zijnhet wel handvatten voor de TS om in zijn ontwerp rekening mee te houden

bazkar schreef op zaterdag 05 november 2011 @ 00:18:
Simpel gezegd: van binnen naar buiten zal meestal geen probleem zijn, maar zaken vanaf het internet naar binnen toe (een webserver bv zoals Fish zegt) levert wel problemen op, omdat die server nu op een ander extern IP benaderd zou moeten worden.

Vergeet niet dat bedrijven vaak bij services kunnen door middel van een whitelist IP. Denk hierbij aan telefoon/sms leveranciers/webservers etc...

Als je IP veranderd kan je daar dus opeens niet meer bij dus wel belangrijk voor de TS om dit mee te nemen in het FO

laurens0619 schreef op dinsdag 22 november 2011 @ 12:24:
[...]


Vergeet niet dat bedrijven vaak bij services kunnen door middel van een whitelist IP. Denk hierbij aan telefoon/sms leveranciers/webservers etc...

Als je IP veranderd kan je daar dus opeens niet meer bij dus wel belangrijk voor de TS om dit mee te nemen in het FO

Vandaar ook de 'meestal' in de zin . Ook uitgaande VPN verbindingen gaan wel degelijk een probleem opleveren, maar 'standaard' browse verkeer niet of nauwelijks.