Thread Info
  • State Suggested Answer
  • Locked Locked
  • Replies 4 replies
  • Answers 1 answer
  • Subscribers 37 subscribers
  • Views 8015 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

VPN "Load-Balancing"

DennyFischer

Hallo zusammen,

ich habe folgendes Szenario:

 

Ziel:
Die zwei Internetleitungen der UTM-2 bündeln um eine Site2Site VPN Verbindung zu UTM-1 (über nur ein WAN-Interface) herzustellen ("Load Balancing"). So das Clients dynamisch auf die beiden Leitungen aufgeteilt werden. So wie beim Uplink-Balancing, nur über VPN halt.


UTM-1
WAN1-schnell         Uplink-Ausgleich Pos. 1 und Gewichtung 100 (nur zum Surfen)
WAN2-synchron      Uplink-Ausgleich Pos. 2 und Gewichtung 0 (nur für VPN)
WAN3-langsam       Uplink-Ausgleich Pos. 3 und Gewichtung 0 (zum Surfen falls die obere Leitung ausfällt)

 
UTM-2
WAN1-schnell          Uplink-Ausgleich Pos. 1 und Gewichtung 100 (zum surfen und für VPN)
WAN2-langsamer     Uplink-Ausgleich Pos. 2 und Gewichtung 0 (soll nur für VPN verwendet werden)


Es werden zwei IPSec-VPN Tunnel aufgebaut (Auth. RSA-Key):


UTM-2 WAN1 zu UTM-1 WAN2
UTM-2 WAN2 zu UTM-1 WAN2


Der Haken „Tunnel an lokale Schnittstelle binden“ ist bei beiden VPN-Tunneln der UTM-2 gesetzt. Die Tunnel werden auch erfolgreich aufgebaut aber es geht kein bzw. kein stabiler Traffic (massive ping Ausfälle) über die Tunnel.

 
Auch das Anlegen einer Multipathregel auf UTM-2 hat nicht geholfen:
 
Lokales-LAN-UTM-2 → Any → Entferntes-LAN-UTM-1 → Uplink Interfaces nach Verbindung (auch mit nach Quelle versucht)


Folgendes Funktioniert stabil:

  • Auf UTM-2 nur einen Tunnel aktivieren jeweils ohne Haken „Tunnel an lokale Schnittstelle binden“
  • Auf UTM-2 nur den Tunnel aktivieren der als Gewichtung NICHT 0 hat mit Haken „Tunnel an lokale Schnittstelle binden“ (da funktionieren beide Verbindungen einzeln wenn man die Gewichtung jeweils umstellt, also 100 auf 0 und 0 auf 100 setzt)

Was nicht funktioniert:

  • Auf UTM-2 beide Tunnel aktivieren mit Haken „Tunnel an lokale Schnittstelle binden“ (Tunnel werden grün aber es geht kein Traffic drüber)

 

Ich habe auch schon mit RED-Tunneln experimentiert, funktioniert auch soweit aber nur über Policy-Route und das ist ja alles andere als "dynamisch".

Habt Ihr noch eine Idee dazu oder Lösungsansätze?

 

Vielen Dank.



This thread was automatically locked due to age.
  • 0

    Hallo Denny,

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. [:(])

    I think that you would need RED tunnels to be able to do what you want.  With IPsec tunnels, I think the best you can get is instantaneous fail over - see Sophos UTM multiple S2S IPsec VPN mit Failover – Tutorial (DE).

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson

    Hallo Bob,

    danke für deine Antwort. Den Artikel hatte ich auch schon gelesen. Wie wäre es denn mit RED-Tunneln möglich ein dynamisches Load-Balancing zu realisieren? Ich hatte nur die Idee das lokale Netz in gleichgroße Teile zu trennen und getrennt zu routen. Das hat aber den Nachteil das es statisch ist, also wenn theoretisch nur die Mitarbeiter arbeiten würden die sich in einem Teilnetz befinden, würde auch nur die eine Internetleitung benutzt.

    MfG Denny

  • 0

    Hier mal der Vollständigkeit halber die Antwort vom Sophos SE-Team:

    "Das binden der Tunnel an das Interface kann funktionieren, jedoch wird hier kein wirkliches Loadbalancing mit Performance Steigerung von A – B erzeugt. An sich fällt uns kein gutes Konstrukt ein, wie man diese Perfromance Steigerung beim VPN erreichen könnte. Man könnte zwei RED Tunnel bauen und diese jeweils in eine bridge zusammen fassen, könnte aber zu allen möglichen Problem führen. Empfehlen wir auch ausdrücklich nicht so auszuführen! Einzig die RED50 besitzt ein Load Balancing mit zwei Tunneln. Leider ist es nicht möglich, dieses in einer UTM nachzubauen, was die RED in Ihrer Firmware direkt integriert macht."

    Per IPSec geht also aktuell nur ein Failover (wie schon erwähnt).

    Per RED-Tunnel wäre ein "manuelles" Load-Balancing möglich (Aufteilen des lokelen Subnetzes auf die RED Tunnel). 

    Per RED50 wäre ein Load Balancing möglich.

  • 0 in reply to DennyFischer

    I agree that some type of manual Balancing would be necessary.  In essence, the "trick" that the UTM does with the RED 50 is to route all the other traffic according to the Multipath rules after it has load-balanced the tunnel traffic through the RED.  You separate the RED traffic based on subnets and/or ports as support suggests.  Or, you can bind all of the non-tunnel traffic to specific WAN Connections based on subnets and/or ports, and then let the remaining traffic (through the RED tunnels) be Uplink Balanced by the default method (by connection).  The proportion of traffic through each tunnel would then be determined by the weights assigned to each RED interface.  Note that this last suggestion is theoretical and that although I have not tried it, I believe it will work.

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Unfiltered HTML