SW oder HW Lösung für foldendes Scenario (inkl selektivem routing) : 2 DSL +1VPN

pumuckel

Urgestein
Thread Starter
Mitglied seit
13.12.2002
Beiträge
8.187
Ort
Bayern
Hallo ihr,

da ich von Folgendem GARNIX verstehe frag ich lieber Leute mit Ahnung:


Scenario:

es stehen 2 DSL Connections zur Verfügung (einmal VDSL einmal Kabel Deutschland jeweils mit Modem/Router)
es steht ein OpenVpn/Proxy Server in den USA zur Verfügung


Ziel:

bestimmte Web Anfragen sollen verteilt werden auf die 2 Provider/den OpenVPN/Proxy

Beispiel:

Request: Webseite (http/https generell) über vdsl
Request: Download (z.B. von shares/ftp/etc) über Kabel Deutschland (nur ftp und webload aka filehoster)
Request: Webseite (http/https mit bestimmten urls z.B. Youtube, netflix) über Proxy (Squid) per vdsl
Request: connection to share über OpenVPN per vdsl


nicht benotigt: DPI, FW, Mail

was wäre die beste Strategie ?
... sophos utm ?

bevor ihr fragt <--- linux noob
hardware ist nicht das problem :)
 
Zuletzt bearbeitet:
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Ob man Ahnung von Linux hat, ist bei fertigen Systemen welche sich über eine GUI konfigurieren lassen doch gar nicht so das Problem. Schau Dir mal IPFire an. HW gibt es fertig, oder als Eigenbau (z.B. PCEngines Boards mit SoC CPU und festem RAM.
 
Ich denke ist ganz gut erstmal zu klären, was mit routing geht und was nicht:
  • (einfaches) Routing betrachtet erstmal nur Ziel IPs.
  • Zwei (oder mehr) aktive "default gateways" funktioniert nicht. Im einfachsten Fall hat dein Rechner nur routen für localhost. lokale direkt angeschlossene Netze und eine default Route für den "Rest". Bei zwei default Routen funktioniert nur die erste
  • policy based routing ist kompliziert und kann nur noch Ports, Prioritäten und QuellI-Ps zusätzlich verwenden.
  • URLs werden werden zerlegt, dann der Servername per DNS zu einer IP aufgelöst. Erst dann wird die Verbindung aufgebaut und Routing kommt ins Spiel. Ein Router weiß also nichts über URLs.
Kurz: Nur dein Browser oder ein HTTP-Proxy kann überhaupt wissen welche URL du aufrufen willst.(Und bei HTTPS sieht der Proxy auch nichts mehr)

Daher Mein Vorschlag: Ein zweiter Rechner/VM mit der zweiten Leitung als default gateway. Den Rechner kannst du entweder direkt benutzen oder über einen darauf installierten HTTP(s)-Proxy die zweite Leitung Ansprechen.
Wenn es z.B. um Downloads geht, dann nimm dafür ein extra Programm bei dem man manuell einen Proxy auswählen kann. Ansonsten kann FoxyProxy (für Firefox) einen Proxy nach URL-Pattern auswählen.


Disclaimer:
Ja ich weiß, dass man mit Deep Packet Inspection+policy routing auf einer Firewall auch sowas hinbekommt, aber das ist nicht gerade einfach und bei HTTPS funktioniert es nur mit einer Man-In-The-Middle Attacke. :fresse2:
 
...ich glaube der TE hat einfach nur ein "routing problem".
Ein Dual-WAN-Router mit VPN-Client und der Möglichkeit selektives Routing einzustellen, würde das doch schon lösen, oder?

..kann man ja schon bei den gehobenen SoHo Routern.
Zum Selbstbau ein IPCop oder IPFire auf einem PCEnegines Board, wie schon erwähnt sollte es tun.
 
Zuletzt bearbeitet:
was ich suche ist "eigentlich" sogar teils im Browser realisierbar über Proxylisten und zugehörige ip/url Muster (ohne das VPN)

es geht in der Haupsache um das Verteilen der Anfragen an die 4 verschiedenen Gegenstellen

leider stößt die Browser Lösung an 3 Grenzen:
wenn man integrierte Gerate anschließt (z.B. nen Smart-TV)
bei Gastgeräten im Wlan
beim VPN

(außerdem würde ich gern in dem Bereich mal meine Wissenslücken stopfen :) )

Die IPFire werd ich mir angucken, vielen Dank dafür (kommt entweder in ne VM oder hab hier noch paar ITX Boards rumliegen und Dual Intel Nics)
 
Nimm gleich pfSense, wäre die professionelle Variante. IPFire ist nett, aber kein Mensch nutzt das wirklich in großen Umgebungen, nur im SOHO-Bereich. pfSense hingegen wird in riesigen Firmen und Netzwerken genutzt. Sophos UTM ist auch ganz nett, ist aber keine freie Software so wie Ipfire und pfSense. Außerdem braucht kein Mensch eine UTM für zu Hause, sind meist die Leute die eh keinen blassen Schimmer von IT-Sicherheit haben die so etwas sich zu Hause hinstellen, Sophos UTM zieht solche Leute magisch an. Potato Software. pfSense kann auch als "UTM" genutzt werden und ist völlig frei und kostenlos. Nutzt im Endeffekt auch die selben Open-Source Projekte die sich Sophos auch bedient, ist also technisch nicht mal nen große Unterschied.

Optimal dafür sind z.B. die neuen PC Engines Boards der APU-Serie, siehe:
PC Engines apu system boards
PC Engines APU1C Bundle - varia-store.com
PC Engines APU1C4 Bundle (Board, Netzteil, Speicher, Gehäuse) - varia-store.com
 
Zuletzt bearbeitet:
Mir stellt sich hier eher die Frage, wie willst du den Download vom normalen surf Traffic unterscheiden?
In deinen Fällen ist es simples http/https. FTP kann man da raustrennen. Bei Rest wird's schwer... denn man müsste in dem Fall den Spaß wohl auf ziel IP Ebene unterscheiden. Nur halte ich das für schlicht unmöglich für alle Downloads im Netz IP Listen zu pflegen. Selbst auf URLs zusammengefasst ist das schon nahezu unmöglich... da eben externe Lösungen und niemand wird bei dir vorsprechen um dir mögliche Änderungen an den Downloadservern mitzuteilen.

Was aber geht, du kannst via regular expressions bestimmte URLs zu nem anderen Gateway schicken. Dazu brauch es halt nem Proxy oder besser, nem transparenten Proxy, der dann auch dein default Gateway für deine Clients sein sollte. Der kann dir das dann auseinander klamüsern. Die Downloads bekommst du damit aber nicht aufgetrennt, bzw. gesplittet.

Geht's hier imho um Firmeneinsatz oder privat?
privat only wäre die Home Lizenz der Sophos UTM nämlich kostenfrei ;)
 
Mir stellt sich hier eher die Frage, wie willst du den Download vom normalen surf Traffic unterscheiden?

Geht's hier imho um Firmeneinsatz oder privat?

rein privat und erstmal zum Wissenslücken füllen

der zu routende download hat als Gegenstelle entweder ftp:// oder https://bestimte_domain+
ist also recht leicht als regel zu definieren

ebenso bei VPN und Proxy (beides nur auf bestimmten ip´s oder URL´s), wobei das vpn erstmal nachrangig ist


ich guck mir beide mal an, IPFire und pfSence

firewalls, virenchecker oder ähnliches brauch ich nicht ... das passiert alles auf anderen Ebenen
geht hier hauptsächlich drum, erstmal eine Einheit zu schaffen die jeglichem Client ohne preconfig die 4 Gegenstellen zur Verfügung stellt


danke für eure Tipps !


Optimal dafür sind z.B. die neuen PC Engines Boards

ich nehm erstmal ne vm hier auf dem proxmox und später wohl ein übriges
MSI C847MS-E33 + HP NC360T + 2 alte smc 10/100 (kost nix, liegt hier nur rum)
 
Zuletzt bearbeitet:
Wie gesagt, FTP bekommst du da schön rausgetrennt, da anderes Protokoll, aber der Download von her HTTP(S) Seite unterscheidet sich imho nicht von nem eigentlichen Webseiten Aufruf.
Denn auch dort sieht die URL nach https://bestimmte_domain aus.

Aber nur zum Verständnis, willst du global alle Downloads über die andere Leitung schicken? Oder nur bestimmte?
Da nämlich noch andere Probleme auftauchen könnten , nämlich weil sich deine Source IP ja ändert. Gerade Seiten mit Anmeldung reagieren da ggf. empfindlich auf ne andere Source IP. Sprich anmelden mit der VDSL IP und Download mit der Kabel IP könnte in die Hose gehen.

Aus meiner Sicht ist das ganze Internet für so ne Spielerei nicht ausgelegt ;)
 
Beispiel:

Anfrage für

Google -> VDSL
https://uploaded.to/cxxxxxxxx -> Kabel (statt/zusätzlich zu uploaded halt noch die ganzen komischen filehoster)
https://netflix.com/yyyyyyy -> proxy uber VDSL (kann auch nach ips aufgelost werden da netflix nur 3 ip´s nutzt)
ftp:// -> Kabel
Webdav etc -> vpn über vdsl


alle gerouteten Gegenstellen werden feste IP´s (ip ranges) haben oder zumindest feste url prefixes


es geht v.a. um 3 Dinge:

vdsl sauber von gast und kiddi downloads zu halten
netflix und youtube über den usa proxy laufen zu lassen
sichere private verbindungen auf das vpn zu bekommen

klar gingen auch subnets ... aber muss doch so auch gehen ^^
 
Zuletzt bearbeitet:
HTTP-Kram zu filtern ist komplex und nervig zu verwalten, ich würde dir raten es einfach zu lassen, der Aufwand lohnt sich nicht. Richte für Downloads einfach eine spezifische VM ein die du dann einer bestimmten Leitung zu weißt oder stell in den Anwendungen einen Proxy ein, so mache ich das zu Hause auch, macht keinen Stress, ist in wenigen Minuten eingerichtet, funktioniert problemfrei.

Filtern von bestimmten Protokollen geht auch, perfekt aber leider nur in der Theorie. Okay, FTP sehr simpel. Aber bei so Sachen wie Skype, bestimmten Spielen und Anwendungen ändert sich alle paar Monate mal wieder etwas. Das ist ein riesiger Aufwand da hinterher zu sein, alles sehr nervig und einfach nicht praktikabel. Habe ich alles schon gemacht und Aufgrund der Nerverei und des Aufwands für ein perfektes Setup wieder verworfen.
Außerdem war das noch zu DSL6.000 Zeiten wo das schon noch etwas Sinn gemacht hat. Heute habe ich zwei mal VDSL50.000. Da braucht es kein QoS oder irgendwelchen Filtern mehr. Weiterhin wie früher eine Leitung für Downloads, die andere für HTTP und Gaming. Selbst wenn ich mit mehreren Clients HTTP-Downloads anschmeiße und die Leitung voll ausnutze habe ich immer noch einen guten Ping im Game. ;)

Beispiel Netflix: Du kannst nicht einfach sagen route Netflix.com über WAN2. Es gibt kein Netflix.com. Das sind Tausende von verschiedenen IPs, ich weiß nicht woher du das mit den nur 3 her hast, Netflix hat Zehntausende Server. Woher bekommst du diese IPs? Die ändern sich stetig, neue kommen dazu, anderen fallen weg etc. Ist nicht mal eben so machbar. Ist ja nicht so als ob es da irgendwo einen RSS-Feed gäbe von dem man sich das ständig herunterladen kann.

Selbes gilt für Youtube, sind auch Zehntausende von IPs, ist quasi unmöglich, also bräuchte man grundsätzlich einen Proxy, reine Aufteilung per IPs funktioniert nicht. Nur wenn dann mal irgendwo was komisch läuft muss man sich erst auf das System einloggen, umkonfigurieren, herum basteln, nervig.
Okay in einer großen Netzwerkumgebung wo es sich wirklich lohnt, aber nicht für zu Hause mit eventuellen Dau-Nutzern die gar nicht wissen was da gerade schief läuft. Also macht man es besser auf Clientseite wo der Nutzer den Proxy mit einem Button AN/AUS schalten kann pro Seite, z.B. für Firefox gibt es FoxyProxy für den du für bestimmte Domains bestimmte Proxys eintragen kannst, Buttons für die speziellen Profile in die Leisten ziehen kannst und noch vieles mehr.

Dann das nächste Problem das fdsonne bereits angesprochen hat mit den unterschiedlichen Source-IPs, noch ein Grund mehr alles auf Clientseite z.B. mit FoxyProxy zu machen.

Klar machen kann man das wie schon gesagt alles, die Frage ist nur ob du dir die Zeit und die Nerverei antun willst die da in den nächsten Jahren immer mal wieder auf dich zu kommen wird.
Wenn du es einfach mal ausprobieren willst, schmeiß pfSense einfach in eine VM, Anleitungen dafür gibt es zu Hauf, z.B: https://forum.pfsense.org/index.php?topic=72528.0 .
 
Zuletzt bearbeitet:
Dann das nächste Problem das fdsonne bereits angesprochen hat mit den unterschiedlichen Source-IPs, noch ein Grund mehr alles auf Clientseite z.B. mit FoxyProxy zu machen.

Man könnte theoretisch ja auch nen transparenten Proxy hinstellen. Ohne das die Clients davon primär was mitbekommen, der den Spaß für einen dann außeinander klamüsert und entsprechend der URLs verteilt.

Beispiel:

Anfrage für

Google -> VDSL
https://uploaded.to/cxxxxxxxx -> Kabel (statt/zusätzlich zu uploaded halt noch die ganzen komischen filehoster)
https://netflix.com/yyyyyyy -> proxy uber VDSL (kann auch nach ips aufgelost werden da netflix nur 3 ip´s nutzt)
ftp:// -> Kabel
Webdav etc -> vpn über vdsl


alle gerouteten Gegenstellen werden feste IP´s (ip ranges) haben oder zumindest feste url prefixes

Das hab ich schon verstanden, aber ist halt nur die halbe Miete ;)
Was machst du bspw. bei microsoft.com?
Dort kannst du TB weise Daten runterladen... Problem ist nur, die Downloadserver tragen oftmals nicht .microsoft.com in der URL sondern liegen irgendwo bei Akamai oder wie die Bude heist, wo MS die Daten hochgeschoben hat...
Heist also, microsoft.com als Domain dort über ne andere Leitung zu schieben wäre wenig Zielführend. Und genau hier setzt das Problem an, es kommt schlicht niemand, der dir sagt, was sich nun genau hinter den URLs verbrigt und wie das ganze auseinander zu nehmen ist.
Selbst wenn man es auf die Domainnamen festbrennt besteht immernoch die Gefahr, dass eben gewisse Seiten externe Dienstleister für ihr Datenangebot nutzen, die schimpfen sich dann nach anderen Domains und würden von dir gar nicht beleuchtet bzw. abgefangen werden.
Das ganze Konstrukt ist extremst undurchsichtig.
 
Könnte das denn über Dateiendungen in der URL funktionieren? Also .iso .exe .rar .part .zip und wie sie alle heißen werden auf Leitung 1 gelegt und Rest auf Leitung 2?
 
Mit Squid könntest du so etwas machen, tcp_outgoing_address und urlpath_regex mit z.B. \.DATEIENDUNG(\?.*)?$ sind dein Freund. Nur im modernen Internet ist es aufgrund von Filehostern, CDNs... nicht mehr ganz so einfach, die URL endet eventuell gar nicht auf *.exe. Für ganz simple "Oldschool"-Downloads geht das natürlich.
 
Zuletzt bearbeitet:
das ganze ist nicht so aufwendig wie ihr eventuell denkt, da es ja nicht um 10000000 verschiedene Seiten geht

zu 90% kann alles ganz normal über VDSL

das VPN wird nur für eine ganz bestimmte IP verwendet
die "Downloads" welche über Kabel gehen sollen kommen auch nur von einem einzigen Filehoster (alle anderen sperr ich eh)

aber wie gesagt ich werde mich mal in IPFire und PFSense einlesen und notfalls einfach 2 VLans/Subnets machen

würd ich mich da auskennen wäre es auch über Geolocation möglich :)
 
Zuletzt bearbeitet:
Neja, "vdsl sauber von gast und kiddi downloads zu halten" ist aber was anderes als du jetzt sagst.

Bei nur ner Hand voll Zielen geht das sicher, aber damit verfehlst du eben die Aussage von oben vollständig.
Ich denke es macht imho mehr Sinn, wenn du mal explizit und genau sagst, was du wirklich willst ;)
 
Einfach zu beschreiben:

Ich hab hier 2 Anschlüsse mit 2 Routern

1 VDSL 50
1 Kabel Deutschland 100

Es stehen außerdem noch (unabhängig von Anschluß)

1 Squid Proxy in Jacksonville Florida (kleiner KVM VServer für 4 Dollar/Monat)
1 OpenVPN in Bremen


Der Squid wird bisher per Foxproxy genutzt, wenn ich auf Youtube was gucke und Netflix benutze (leider geht das so am/an den TV(s) nicht)
Das VPN ist nur für den Firmeneinsatz und bisher nur auf einem Notebook (kann auch so bleiben)

über VDSL sind bisher 1 Rechner und ein Notebook angebunden (im Heim Büro)
über Kabel Deutschland läuft das WLan im Haus (inkl Gast Wlan aka Hotspot) und die restlichen PC´s / Notebooks (was auch rechtlich recht praktisch ist, da KD die Haftung übernimmt)


Da Kabel komischerweise hier aber ab und an mal zickt mußte ich bisher öfters mal das VDSL freigeben (was mir ohne Filter nicht soooo gefällt grad wegen den Kiddis und deren Downloads ... Gastlan ist dann aber deaktiviert)


Nun versuche ich die 2 Anschlüsse und Netzwerke zu "fusionieren" inkl etwas Überwachung/Einschränkung (hier ist z.B. beim Kabelnetzwerk der Zugriff auf bestimmte Seiten geblockt)
Das Ganze sollte möglichst OHNE JEDE Clientconfiguration ablaufen



An Hardware hab ich mehr als genug rumliegen (oder es geht auf meinen Proxmox der eh immer läuft), vorerst würd ich es aber gern seperat hinstellen
später wird es dann wohl mit einem http://geizhals.de/supermicro-a1srm-2558f-retail-mbd-a1srm-2558f-o-a1057354.html realisiert (wird zusätzlich zum kleinen Junk-Fileserver (für sowas wie Treiber/linux Isos) und DVB-S Free2Air Server fürs Haus+Gastlan)


p.s. was ich noch vergessen hab, es müßte auch der WLAN Accesspoint werden (alle anderen WLans werden dann abgeschaltet)

dann evtl bessere HW (halt ohne IMPI aber wurst da eh im Haus und wenn das Routing in Hyper-V läuft evtl sogar als Media Client am TV im Büro neben mir *g*)
http://geizhals.de/supermicro-x10sba-retail-mbd-x10sba-o-a1095757.html
+
http://geizhals.de/intel-wireless-ac-7260-bluetooth-7260-hmwwb-a967731.html (+ 2 starke Antennen)
+
http://geizhals.de/intel-ssd-530-series-80gb-ssdmceaw080a4-a1038023.html
+
4* http://geizhals.de/hgst-travelstar-5k1000-1tb-hts541010a9e680-0j22413-a738327.html (2TB Dupli Pool)


oder 4* http://geizhals.de/hgst-deskstar-nas-4tb-7200rpm-h3iknas40003272se-0s03665-a1060887.html (als 12TB Parity Pool) - nur wenn DVB-S2 dazu kommt (da dann atx Netzteil erforderlich)
+
nen alten gebrauchten http://geizhals.de/tbs-dvb-s2-twintuner-tv-card-6982-a1026891.html (oder ähnliche)



hab noch 2 freie Lizenzen für WS 2012R2 hier (Standard incl Hyper-V) oder was immer ihr vorschlagt


p.s.s. wenn euch das hier hilft, hier macht es jemand über ein DD-WRT http://www.dd-wrt.com/phpBB2/viewtopic.php?p=710325 (müsste ich den VServer auf VPN einrichten, sollte aber kein Ding sein) . Traffic hat er genug (3TB@1GBit)
 
Zuletzt bearbeitet:
für dein problem gibt es eine einfach, preiswerte und schnelle lösung
besorge dir einen gebrauchten lancom 1711vpn router (oder ähnlich, lancom hat mehrere im programm die das können) ca 100,00 in der bucht
einschalten konfigurieren vergessen
habe eine ähnlich konfig im firmen bereich, top
und sollte etwas nicht klappen lancom anrufen und die machen dir mal eben die konfig per fernwartung für lau
was will man mehr
 
kurzes update: VM lösung lief "ok" ... muss nun leider doch auf ne Standalone Lösung da mein Proxmox ersetzt wird

hat jemand von euch Erfahrungen mit VyOS/Vyatta

... denn das hier ist preislich recht attraktiv: http://www.amazon.de/Ubiquiti-Networks-ERLite-3-EdgeRouter-EdgeMAXTM/dp/B00CSML06Q/ (basiert auf VyOS/Vyatta)

hier ein kleines review : http://www.smallnetbuilder.com/lanwan/lanwan-reviews/32012-first-look-ubiquiti-edgerouter-lite (>1,5 Jahre alt)

dazu nen alten router als Accesspoint und gut müßte sein (vorteil, ich könnte den Accesspoint besser positionieren als bei nem AIO)
 
Zuletzt bearbeitet:
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh