Likes Likes:  0
Resultaten 1 tot 10 van de 10
  1. #1
    HSRP en 2x mikrotik firewall
    geregistreerd gebruiker
    282 Berichten
    Ingeschreven
    23/07/13

    Post Thanks / Like
    Mentioned
    11 Post(s)
    Tagged
    0 Thread(s)
    38 Berichten zijn liked


    Naam: -

    HSRP en 2x mikrotik firewall

    Vanuit onze provider hebben we 2 uplinks naar de switches van onze provider. Welke geconfigureerd zijn met HSRP (Hot Standby Router Protocol).

    Onze setup is als volgt:
    We hebben 2x een mikrotik unit hangen. beide hebben exact dezelfde configuratie.
    Ether1: Uplink naar de provider
    Ether2: Connectivity naar onze publieke switch

    We hebben een bridge gemaakt op onze mikrotik's tussen ether1 en ether2, en vervolgens passen we daar een aantal firewall rules op toe. 1 van de routers verwerkt al het verkeer, de ander staat in standby.

    Zover ik begrepen heb kijken de switches van mijn provider naar de link status, is er connectivity dan kan er verkeer stromen
    Nu vraag ik mezelf het volgende af.

    (Mikrotik A verwerkt het verkeer, Mikrotik B staat standby)

    Als de voeding van A weg valt, dan detecteerd de swich van mijn ISP een link down en zal B failoveren
    Als mijn mikrotik vastloopt (hij hangt, is dus niet defect) welke op dit moment het verkeer verwerkt, dan blijft de switch van mijn provider een link zien en zal de setup niet in failover gaan naar de standby router.

    klopt dit en is dit te voorkomen??

  2. #2
    HSRP en 2x mikrotik firewall
    geregistreerd gebruiker
    282 Berichten
    Ingeschreven
    23/07/13

    Post Thanks / Like
    Mentioned
    11 Post(s)
    Tagged
    0 Thread(s)
    38 Berichten zijn liked


    Naam: -

    Ik zit trouwens met een schuin oog te kijken naar het remote spanningsloos maken van de routers. Iemand daar ervaring mee, een betaalbare variant, liefst met UTP aansluiting ipv wifi



  3. #3
    HSRP en 2x mikrotik firewall
    geregistreerd gebruiker
    1.463 Berichten
    Ingeschreven
    20/07/10

    Locatie
    's-Gravenhage

    Post Thanks / Like
    Mentioned
    19 Post(s)
    Tagged
    0 Thread(s)
    308 Berichten zijn liked



    Citaat Oorspronkelijk geplaatst door Boskoop Bekijk Berichten
    Vanuit onze provider hebben we 2 uplinks naar de switches van onze provider. Welke geconfigureerd zijn met HSRP (Hot Standby Router Protocol).

    Onze setup is als volgt:
    We hebben 2x een mikrotik unit hangen. beide hebben exact dezelfde configuratie.
    Ether1: Uplink naar de provider
    Ether2: Connectivity naar onze publieke switch

    We hebben een bridge gemaakt op onze mikrotik's tussen ether1 en ether2, en vervolgens passen we daar een aantal firewall rules op toe. 1 van de routers verwerkt al het verkeer, de ander staat in standby.

    Zover ik begrepen heb kijken de switches van mijn provider naar de link status, is er connectivity dan kan er verkeer stromen
    Nu vraag ik mezelf het volgende af.

    (Mikrotik A verwerkt het verkeer, Mikrotik B staat standby)

    Als de voeding van A weg valt, dan detecteerd de swich van mijn ISP een link down en zal B failoveren
    Als mijn mikrotik vastloopt (hij hangt, is dus niet defect) welke op dit moment het verkeer verwerkt, dan blijft de switch van mijn provider een link zien en zal de setup niet in failover gaan naar de standby router.

    klopt dit en is dit te voorkomen??
    Dat is niet helemaal hoe HSRP (en/of VRRP) werken.

    HSRP geeft je een virtueel gateway adres (met een virtueel mac adres) .
    De actieve gateway "heeft" het virtuele IP en mac adres , en als de actieve gateway uitvalt (detectie op basis van hello tussen de group members) dan claimt de standby gateway "het" IP - en mac adres.

    De hoofdfunctie is dus het leveren van redundantie voor uitval van een gateway router.
    Vaak is de actieve status van HSRP ook nog gekoppeld aan het hebben van een werkende link naar "verder upstream" .

    Wat je verder natuurlijk nodig hebt is een werkend ethernet segment waar de beide HSRP routers op aanwezig zijn, en waar jouw apparatuur die de gateway gebruikt op aanwezig is.
    Dat zal meestal een switch zijn met redudantie (bv stacking ) .
    En soms is het een combinatie - Twee L3 switches die via HSRP/VRRP een redundante gateway leveren.

    Blijkbaar heb je aan jouw kant ook een dubbele gateway setup

    Ik kan uit je omschrijving niet helemaal opmaken hoe de zaak geconfigureerd is, en wiens switches de koppeling tussen provider gateway en jouw devices zijn.

    het down gaan van één van jouw devices zal in elk geval niet leiden tot een HSRP omschakeling.

    Met HSRP levert de ISP een IP+mac adres wat het 'altijd' doet, en verkeer vanaf de ISP naar jou zal gestuurd worden naar IP/mac wat jij bereikbaar maakt. Stopt je ene router, dan moet de andere actief worden en verkeer voor 'jouw' ip /mac accepteren en zich via arp aankondigen als bestemming .

  4. #4
    HSRP en 2x mikrotik firewall
    geregistreerd gebruiker
    282 Berichten
    Ingeschreven
    23/07/13

    Post Thanks / Like
    Mentioned
    11 Post(s)
    Tagged
    0 Thread(s)
    38 Berichten zijn liked


    Naam: -

    Citaat Oorspronkelijk geplaatst door visser Bekijk Berichten
    Dat is niet helemaal hoe HSRP (en/of VRRP) werken.

    HSRP geeft je een virtueel gateway adres (met een virtueel mac adres) .
    De actieve gateway "heeft" het virtuele IP en mac adres , en als de actieve gateway uitvalt (detectie op basis van hello tussen de group members) dan claimt de standby gateway "het" IP - en mac adres.

    De hoofdfunctie is dus het leveren van redundantie voor uitval van een gateway router.
    Vaak is de actieve status van HSRP ook nog gekoppeld aan het hebben van een werkende link naar "verder upstream" .

    Wat je verder natuurlijk nodig hebt is een werkend ethernet segment waar de beide HSRP routers op aanwezig zijn, en waar jouw apparatuur die de gateway gebruikt op aanwezig is.
    Dat zal meestal een switch zijn met redudantie (bv stacking ) .
    En soms is het een combinatie - Twee L3 switches die via HSRP/VRRP een redundante gateway leveren.

    Blijkbaar heb je aan jouw kant ook een dubbele gateway setup

    Ik kan uit je omschrijving niet helemaal opmaken hoe de zaak geconfigureerd is, en wiens switches de koppeling tussen provider gateway en jouw devices zijn.

    het down gaan van één van jouw devices zal in elk geval niet leiden tot een HSRP omschakeling.

    Met HSRP levert de ISP een IP+mac adres wat het 'altijd' doet, en verkeer vanaf de ISP naar jou zal gestuurd worden naar IP/mac wat jij bereikbaar maakt. Stopt je ene router, dan moet de andere actief worden en verkeer voor 'jouw' ip /mac accepteren en zich via arp aankondigen als bestemming .
    net.png

    Hopelijk verklaart dit plaatje een beetje wat ik bedoel

    De zwarte blokjes zijn de switches van mijn provider
    10.11.12.2 & 10.11.12.3 zijn de ip adressen van deze switches, 10.11.12.1 is het virtuele IP adres welke 1 van beide switches heeft.

    Het rode gedeelte is mijn netwerk, hier heb ik controle over, de rest natuurlijk niet.

    In het volgende voorbeeld is 10.11.12.1 is actief via switch 10.11.12.2

    Als ik het goed begrepen heb: als mikrotik A down gaan (volledig down, dus geen netlink meer) dan zal 10.11.12.2 een linkdown zien, en 10.11.12.1 zal actief worden gemaakt op 10.11.12.3, al het verkeer gaat daarna via de onderste switch.

  5. #5
    HSRP en 2x mikrotik firewall
    Dennis.
    3.657 Berichten
    Ingeschreven
    11/07/06

    Locatie
    Oosterhout

    Post Thanks / Like
    Mentioned
    14 Post(s)
    Tagged
    0 Thread(s)
    262 Berichten zijn liked


    Naam: Dennis
    Registrar SIDN: JA
    KvK nummer: 20144338

    Het gateway adres zal om switchen naar router 2 bij een link down.

    Op de Mikrotik firewall je alleen begrijp ik uit de tekening?


    Verzonden vanaf mijn iPhone met behulp van webhostingtalk

  6. #6
    HSRP en 2x mikrotik firewall
    geregistreerd gebruiker
    282 Berichten
    Ingeschreven
    23/07/13

    Post Thanks / Like
    Mentioned
    11 Post(s)
    Tagged
    0 Thread(s)
    38 Berichten zijn liked


    Naam: -

    Citaat Oorspronkelijk geplaatst door dennis0162 Bekijk Berichten
    Het gateway adres zal om switchen naar router 2 bij een link down.

    Op de Mikrotik firewall je alleen begrijp ik uit de tekening?


    Verzonden vanaf mijn iPhone met behulp van webhostingtalk
    Klopt, puur firewalling

  7. #7
    HSRP en 2x mikrotik firewall
    geregistreerd gebruiker
    1.463 Berichten
    Ingeschreven
    20/07/10

    Locatie
    's-Gravenhage

    Post Thanks / Like
    Mentioned
    19 Post(s)
    Tagged
    0 Thread(s)
    308 Berichten zijn liked



    Citaat Oorspronkelijk geplaatst door Boskoop Bekijk Berichten
    net.png

    Hopelijk verklaart dit plaatje een beetje wat ik bedoel

    De zwarte blokjes zijn de switches van mijn provider
    10.11.12.2 & 10.11.12.3 zijn de ip adressen van deze switches, 10.11.12.1 is het virtuele IP adres welke 1 van beide switches heeft.

    Het rode gedeelte is mijn netwerk, hier heb ik controle over, de rest natuurlijk niet.

    In het volgende voorbeeld is 10.11.12.1 is actief via switch 10.11.12.2

    Als ik het goed begrepen heb: als mikrotik A down gaan (volledig down, dus geen netlink meer) dan zal 10.11.12.2 een linkdown zien, en 10.11.12.1 zal actief worden gemaakt op 10.11.12.3, al het verkeer gaat daarna via de onderste switch.
    De tekening kan niet goed zijn, in relatie met HSRP.
    Beide provider switches zien elkaar op een gedeeld ethernet segment . (en wisselen HSRP Hello's uit).
    Je tekent het alsof die provider gateways van elkaar geisoleerd zijn, en elk een eigen link naar je microtik hebben.

    Maar tussen jouw microtiks en de provider routers _moet_ een gezamelijk ethernet broadcast domein zitten.
    Jouw microtik A kan dus ook de onderste provider switch bereiken, als die toevallig de actieve gateway van het stel is.

    En andersom, als een van jouw microtiks niet meer actief is, moet de andere op ethernet bereikbaar zijn voor welke van de twee provider gateways ook actief is.

  8. #8
    HSRP en 2x mikrotik firewall
    geregistreerd gebruiker
    282 Berichten
    Ingeschreven
    23/07/13

    Post Thanks / Like
    Mentioned
    11 Post(s)
    Tagged
    0 Thread(s)
    38 Berichten zijn liked


    Naam: -

    Citaat Oorspronkelijk geplaatst door visser Bekijk Berichten
    De tekening kan niet goed zijn, in relatie met HSRP.
    Beide provider switches zien elkaar op een gedeeld ethernet segment . (en wisselen HSRP Hello's uit).
    Je tekent het alsof die provider gateways van elkaar geisoleerd zijn, en elk een eigen link naar je microtik hebben.

    Maar tussen jouw microtiks en de provider routers _moet_ een gezamelijk ethernet broadcast domein zitten.
    Jouw microtik A kan dus ook de onderste provider switch bereiken, als die toevallig de actieve gateway van het stel is.

    En andersom, als een van jouw microtiks niet meer actief is, moet de andere op ethernet bereikbaar zijn voor welke van de twee provider gateways ook actief is.
    Helder, Om toch een redundante firewall (manual failover) te gebruiken, kan ik dan deze oplossing gebruiken?
    net.png

    Config op de mikrotiks is dan als volgt:
    Mikrotik A:
    Bridge functie aan (al het verkeer loopt dus via deze firewall)
    Ether1: netwerk kabel naar bovenste switch
    Ether2: netwerk kabel naar onderste switch
    Ether3: netwek kabel naar publieke switch

    Mikrotik B:
    Bridge functie uit (er gaat geen verkeer via deze firewall)
    Ether1: netwerk kabel naar bovenste switch
    Ether2: netwerk kabel naar onderste switch
    Ether3: netwek kabel naar publieke switch


    Als Mikrotik A defect raakt is het een kwestie van de bridge functie op B activeren.

    Of denk ik nu te gemakelijk?

  9. #9
    HSRP en 2x mikrotik firewall
    geregistreerd gebruiker
    1.463 Berichten
    Ingeschreven
    20/07/10

    Locatie
    's-Gravenhage

    Post Thanks / Like
    Mentioned
    19 Post(s)
    Tagged
    0 Thread(s)
    308 Berichten zijn liked



    Citaat Oorspronkelijk geplaatst door Boskoop Bekijk Berichten
    Helder, Om toch een redundante firewall (manual failover) te gebruiken, kan ik dan deze oplossing gebruiken?
    net.png

    Config op de mikrotiks is dan als volgt:
    Mikrotik A:
    Bridge functie aan (al het verkeer loopt dus via deze firewall)
    Ether1: netwerk kabel naar bovenste switch
    Ether2: netwerk kabel naar onderste switch
    Ether3: netwek kabel naar publieke switch

    Mikrotik B:
    Bridge functie uit (er gaat geen verkeer via deze firewall)
    Ether1: netwerk kabel naar bovenste switch
    Ether2: netwerk kabel naar onderste switch
    Ether3: netwek kabel naar publieke switch


    Als Mikrotik A defect raakt is het een kwestie van de bridge functie op B activeren.

    Of denk ik nu te gemakelijk?
    Mw, wat ik me afvraag, wat krijg je precies van de provider ?
    Krijg je inderdaad twee geisoleerde HSRP members en is de onderlinge connectiviteit daartussen al jouw domein ?
    Dat lijkt me een beetje vreemd.

    Want het is vrij normaal dat hier de ISP router een L3 switch is, en dan lever je heel makkelijk ook een (redundant) ethernet segment af waar jij je twee routers op kunt inprikken .
    En is het echt HSRP ? Een andere manier voor de provider om een solide gateway te leveren is met een redundante L3 switch (stacking, VSS) .
    Ik lees HSRP hier echt als een specifiek protocol (van Cisco) , met bepaalde mogelijkheden en bepaalde eisen aan hoe het werkt, en daar baseer ik mijn antwoord op.
    Je moet het niet gebruiken als generieke term voor "gateway met iets van redundantie" .

    Je voorgestelde design kan werken; Maar wat je graag wilt, en dat hangt wat af van wat Microtik kan, is dat de failover van je primaire bridge naar secundaire automatisch gebeurt als de primaire stopt met werken.

    Voor wat betreft het segment naar de provider gateway, ik zou zelf een voorkeur hebben voor een model waarbij de twee switches (tussen provider en je microtiks) een stack zijn (dwz : zich presenteren als een enkel control plane) . Het geeft (m.i.) een een simpeler beeld, en prettiger failover gedrag omdat je niet of minder met Spanning Tree te maken hebt.
    Het geeft je, desgewenst, ook de optie om aansluiting naar de twee stack members als enkele link bundel (met LACP) te maken .

  10. #10
    HSRP en 2x mikrotik firewall
    geregistreerd gebruiker
    598 Berichten
    Ingeschreven
    29/01/09

    Locatie
    Meerlo

    Post Thanks / Like
    Mentioned
    1 Post(s)
    Tagged
    0 Thread(s)
    32 Berichten zijn liked


    Naam: T
    Registrar SIDN: nee
    KvK nummer: 14115174
    Ondernemingsnummer: nvt

    Citaat Oorspronkelijk geplaatst door visser Bekijk Berichten
    Mw, wat ik me afvraag, wat krijg je precies van de provider ?
    Krijg je inderdaad twee geisoleerde HSRP members en is de onderlinge connectiviteit daartussen al jouw domein ?
    Dat lijkt me een beetje vreemd.
    Het kan natuurlijk wel, voordeel voor de ISP is dat hij dan geen spanning tree met de klant hierin hoeft te doen, aangezien het ethernet segment dan door de klant geregeld wordt. Als de provider switches nu ook nog onderling verbonden zijn is STP wel een noodzakelijke situatie. Dus het zou best kunnen dat wanneer de klant L2 verzorgt, de ISP de HSRP members voor een bepaald VLAN isoleert en het HSRP verkeer over de klant infrastructuur stuurt.

Labels voor dit Bericht

Webhostingtalk.nl

Contact

  • Rokin 113-115
  • 1012 KP, Amsterdam
  • Nederland
  • Contact
© Copyright 2001-2017 Webhostingtalk.nl.
Web Statistics