We are in the process of migrating this forum. A new space will be available soon. We are sorry for the inconvenience.

VPN Cluster oder redundates VPN Netz


spoi
10.06.11, 14:39
Hallo,

sollte von der Idee her nicht so schwer umzusetzen sein. Es kommt halt etwas darauf an, wie die genauen Gegebenheiten sind.
Hier mal eine Idee: http://demo.ovh.de/download/45a0cfb7...2eb452/IMG.png

Das Loadbalancing kann entweder in Hardware wie hier bei OVH erfolgen oder im grunde auch ganz einfach per DNS oder bei OpenVPN auch möglich im Client (wobei dann der Aufwand größer ist weitere VPN-Server hinzuzufügen).

Jeder Server sollte am besten in einem eigenen Subnet sein (VPN-Client IP-Adressen)
Dann müsste man halt ein Routing konfigurieren. Anderenfalls könnte man auch ein größeres Subnetz nehmen, dass für alle VPN-Clients das gleiche ist und dann bridgen.

Hat man kein gesichertes, privates internes Netzwerk kann man dazu auch eine VPN Verbindung zwischen den VPN-Servern verwenden. Dann wird aber wieder der VPN-Server der für das VPN zwischen den VPN-Servern zuständig ist zum Flaschenhals.

Gruß

ALiEn
10.06.11, 14:13
Ich bezog mich auf SSL-VPN. (OpenVPN)

kikei
10.06.11, 12:18
VPN-Server:
Max-Clients setzten
Jeder Server sollte am besten in einem eigenen Subnet sein (VPN-Client IP-Adressen)
Routing zwischen den VPN-Servern einrichten (über VPN/VLAN)

VPN-Clients:
Alle Server eintragen
Der Client verbindet sich dann automatisch mit einem freien Server (Max-Clients)
Und wie? Ich habe mir mehrmals alle READMES zum pptpd durchgelesen und bin auch nicht gerade dämlich was dies anbelangt.

Wie übergebe ich den Clients alle Server? Gibts dann mehrere Gateways oder meinst du mehrere einzeln eingerichtete VPN-Verbindungen, obwohl das für mich wiederum wegfallen würde.

Wäre nett, wenn du mal etwas genauer darauf eingehst. Mich interessieren Netzwerke sehr, doch beruflich mehr in der Programmierung tätig.

ALiEn
07.06.11, 19:28
VPN-Server:
Max-Clients setzten
Jeder Server sollte am besten in einem eigenen Subnet sein (VPN-Client IP-Adressen)
Routing zwischen den VPN-Servern einrichten (über VPN/VLAN)

VPN-Clients:
Alle Server eintragen
Der Client verbindet sich dann automatisch mit einem freien Server (Max-Clients)


----
Server mit 10 Gbit/s Anbindung mieten

AndyDu
06.06.11, 20:39
Ich habe ähnliches überlegt mit DNS, da wird einfach immer der host xxx.xxx.de angesprochen und ich ändere (in meiem Fall per E-Mail mit Script getriggert) die DNS-Einträge (CNAME) so dass die Anfragen am Server2 Landen.

kikei
05.06.11, 20:53
Irgendwie stellt sich mir halt die Frage (arbeite im Informatikbereich) wie das rein vom Netzwerk/Protokoll her möglich wäre. Habe schon mehrere Szenarien durchgekasspert, entweder hab ich nen derben Denkfehler oder man könnte es (natürlich mit ensprechendem Aufwand) über einen Art Loadbalancing Router lösen. Der Server an dem sich alle User einwählen, hat eine Liste der eigentlichen VPN Server, über welche der Traffic geht. Möchte nun ein Client zu einem anderen Client über das VPN eine Verbindung aufbauen, sucht der Loadbalancing Router einen von der Bandbreiten "freien" VPN Server und gibt per Protokoll die Anweißung diesen freien VPN Server für den Datenaustausch zu nutzen. Theoretisch wäre dies doch über iptables lösbar. Das optimale jedoch nicht, denn der Traffic der Anfrage würde trotzdem durch den ersten Server durch und an den zweiten geleitet werden. Der zweite Server, leitet es nun zum richtigen Client weiter und schickt direkt die Antwort an den Client. Wobei ich mich dann frage wie es mit der Authentifizierung des Inhalts wäre? Glaube das funktioniert mit pptp nicht. Per HTTP habe ich solche Netze schon aufgebaut. Die Anfrage immer an den gleichen, welcher per iptables mal an Server 1 und mal an Server 2 geschickt hat. Die Antworten kamen direkt von Server 1 und 2.

Bisher können wir unser VPN Netzwerk (leider bei einem anderen Hoster, da die Preise bei OVH für echten GBit nach Deutschland zu teuer ist) nur über einen einzigen Server laufen lassen, damit sich alle Clienten gegenseitig finden. Irgendwann wird es die Kapazitäten sprengen, ganz klar!

JBBERLIN
30.05.11, 21:49
Sehr Interessante Frage,

weil genau soetwas sollen wir für ein Projekt momentan auch realiseren. Des halb bin ich gerade dabei das in einem Testaufbau mit meinen OVH Servern am probieren.

@kikei - wenn du magst kannst du mich an mailen bezüglich Informationsaustausch!
endlesspixel dann kommt das übliche at gefolgt von hotmail.com

Ich bin gerade dabei das mit 2x ESXi im Vrituellen Rack auf beiden ESXi Hosts läuft eine Linux Firewall/Router/VPN VM welche selbst mit der anderen via IPSec verbunden ist sozusagen als Heartbeat und Datenabgleich.

Viele Grüße
JBBERLIN

Hook
26.05.11, 16:53
Mit iptables kannst du zwar Anfragen an andere Server weiterleiten, aber diese soweit ich weiß nicht umleiten. Dann fungiert dein Server an den die Anfragen gehen praktisch als Proxy bzw. router. Die Daten werden zwar vom anderen Server abgerufen, aber laufen trotzdem noch über deinen Server an den die Anfrage ursprünglich ging.
Wie man die beiden VPN Server aber verbinden kann weiß ich nicht. Evtl. einfach einen Client auf dem einen installieren und auf den anderen verbinden?

kikei
26.05.11, 16:47
Naja, im Grunde sollte es per iptables funktionieren. Das Problem mit dem Loadbalancing ist jedoch, dass der zweite Server dann nicht den anderen Client finden kann, sofern der eine Client beim ersten Server angemeldet ist und der andere beim anderen.

Meine Frage war auch nicht auf OVH bezogen, sondern ob es allgemein technisch möglich ist.

Hook
26.05.11, 15:35
In deinem Manager unter dedizierte Server -> Dienstleistungen -> Loadbalancing IP kannst du eine Infrastruktur zum Loadbalancing erstellen wenn du mehrere Server hast.
Die Anfragen, die an diese eine IP gehen werden dann unter den Server aufgeteilt. Ich hab das noch nicht selbst genutzt, aber denke dass dies genau das ist was du brauchst. Anfragen an eine spezielle IP auf eine andere Umzuleiten ist soweit ich weiß nicht möglich.

kikei
26.05.11, 14:48
Hey Leute,

mich interessiert es grade wie man es anstellen könnte mit mehreren Servern ein VPN Netzwerk zu ermöglichen.

Ich meine das VPN in dem Sinne, dass sich alle untereinander finden. Sagen wir mal, man nutzt ein 100Mbit Server, irgendwann wären die User eingeschränkt wenn man jedem Client mindestens 500KByte/s ermöglichen möchte.

Ist es denn überhaupt möglich sowas zu realisieren? Also ich sage mal, dass die Anfrage an den Hauptserve geht, diese an einen anderen VPN Server weitergeleitet wird und dann zum Ziel geleitet wird?

Bsp:

Client 1 (10.11.12.13) stellt Anfrage an Client 2 (10.11.12.14), der VPN Server ist jedoch von der Bandbreite so ausgelastet, dass er die Anfrage an einen anderen VPN Server schickt. Der zweite VPN Server wird nun zur Kommunikation zwischen Client 1 und 2 eingesetzt.

Stell ich mir das zu einfach vor, oder wäre das irgendwie möglich?