mehrere IPs unter eine Domain [HostEurope]

[beni_fs]

Guten Morgen liebes Forum,

ich hab da mal eine hoffentlich einfache Frage.

Mein Arbeitgeber betreibt vor Ort einen eigenen Mailserver. Es gibt inzwischen mehrere Internetanschlüsse mit festen IPv4-Adressen. Die Domain liegt bei HostEurope, dort sind entsprechend MX-Records angelegt, sodass auch bei Ausfall eines Internetanschlusses der Mailtraffic automatisch über eine der anderen vorhandenen IP-Adressen reinlaufen kann. Das geht.

Ähnlich hätten wir das gerne beim VPN-Zugang ins Firmennetz. Historisch gewachsen ist im VPN-Client als Endpunkt nur die IP des ersten Internetanschlusses hinterlegt. Der Wunsch wäre, dass es ähnlich wie bei den MX-Records läuft. Im VPN-Client wird vpn.beispiel.de hinterlegt und es wird die IP einer im Moment erreichbaren Leitung zurückgegeben. Laut Wikipedia heißt das
Lastverteilung per DNS und wird einfach durch mehrere A-Records die auf unterschiedliche IPs zeigen realisiert. Die FAQ von HostEurope sagen dazu in meinen Augen nichts aus. Bevor ich das ausprobiere, hat das schonmal jemand bei HostEurope umgesetzt?

Kann ich bei HostEurope mehrere A-Records mit gleicher Domain, aber unterschiedlicher IP anlegen oder wäre es sinnvoller auf SRV-Records zu setzen?

• Ja, wir werden von einem Systemhaus betreut, es gibt Gründe wieso ich diese Frage hier nochmal stelle. (die erwartete Qualität der Antworten ist hier höher)
• Mir ist bewusst, dass ich auch mehrere Profile mit unterschiedlichen IP-Adressen im VPN-Client anlegen kann (es wird eine elegante Lösung gesucht)
• Mir ist bewusst, dass auch ein Umweg über DynDNS möglich wäre (blöd wenn der DynDNS Updater abschmieren würde)

 

[DaKill3r185]

Schau Dir mal cloudns.net an. Ggf. gibt es auch weitere Alternativen.

Für Eure Subdomains mail. und vpn. könnte man dort Failoverchecks einrichten. Ist eine IP nicht mehr erreichbar, schwernkt er um.

 

[JumpingCat]

Wenn du willst das der A Eintrag auf einen speziellen Endpunkt zeigt und dynamisch wechselt, dann brauchst du dafür auch Software die den A Eintrag automatisch anpasst.

Wenn ihr eh zwei über 2 Provider angebunden seid, dann lege doch ein zweites VPN Profil an. Entweder switchen die Mitarbeiter selbstständig auf das Backup Profil oder du schickst eine SMS/ Email das gerade nur der Backup funktioniert.

Die erste Lösung ist sicherlich eleganter, muss aber auch stabil funktionieren. Das ist die Lösung für 'Big Business'.

 

[Bob.Dig]

Welches VPN wird denn genutzt.

 

[madmax2010]

einer im Moment erreichbaren Leitung zurückgegeben

bei DNS RoundRobin hast du keine sticky sessions, kein keepalive

Wie Wahrscheinlich ist es denn, dass VPN Gateways nicht erreichbar sind?

Welche VPN tools nutzt ihr und was sagen sie zu HA Betrieb>\?

 

[Malaclypse17]

Wo und wie laufen denn die Leitungen zusammen? Wer macht VPN und welche Art von VPN wird verwendet?
Sowas wird dann eigentlich eher am entsprechenden Endpunkt eingestellt, als über DNS, CARP wäre hier ein Ansatz, aber schwer zu sagen welche Protokolle von eurer Hardware angeboten/unterstützt werden.

 

[beni_fs]

Welches VPN wird denn genutzt.

Eine vom Routerhersteller gebrandete Version vom NCP Secure Entry Client, im Moment (noch?) Bintec.

Wo und wie laufen denn die Leitungen zusammen? Wer macht VPN und welche Art von VPN wird verwendet?

Ein VDSL-(SIP-Trunk)-Router, eine Kabel-Fritz!Box und irgendwann mal Glasfaser und diese sind jeweils "transparent" mit dem VPN-Gateway-Router, welcher als zentraler Router agiert, verbunden, an welchem dann auch alles andere dran hängt.

Wie Wahrscheinlich ist es denn, dass VPN Gateways nicht erreichbar sind?

Bis auf Stromausfälle läuft der VPN-Gateway-Router super. Allerdings ist die Leitungsüberwachung der davor liegenden Internetanschlusse immer noch eher so semi gut eingerichtet und dann hockt man unterwegs und versucht erstmal das Systemhaus zu erreichen -.- weil im VPN Client im Moment nur die IP der primären Leitung hinterlegt ist.​

bei DNS RoundRobin hast du keine sticky sessions, kein keepalive

Ich dachte, dass die DNS-Auflösung nur einmal zum Beginn der Session nötig ist, aber da steck ich nicht so tief drin. Das daraus resultierende Problem ist mir aber vom SIP-Anschluss bekannt. "Telefon sagt Vodafone mag unsere SIP-Zugangsdaten nicht" - "Aber sie telefonieren doch über die Telekom!" - "Eben, wissen sie noch wer das gestern alles 'perfekt' eingerichtet hat?" - ""

Für Eure Subdomains mail. und vpn. könnte man dort Failoverchecks einrichten. Ist eine IP nicht mehr erreichbar, schwernkt er um.

Bei E-Mails erfolgt das ja über die MX-Records automatisch. "Huch, die IP hinter MX-Record Nr. 1 antwortet nicht, dann ruf ich halt bei der IP von MX-Record Nr. 2 an." Wenn das mit den vorhandenen Möglichkeiten für VPN so nicht umsetzbar wäre, dann wäre das eine Möglichkeit.