Zywall 300 - Loadbalancing macht Probleme mit Loginseiten wegen IP Wechsel
Hallo zusammen,
ich habe eine Zywall 300 von Zyxel bei der LoadBalancing aktiviert ist.
Es ist aktuell ein absolutes Loadbalancing. Die IP wechselt ständig für den Client.
Das macht Login Seiten Problem: man fliegt wegen neuer IP einfach raus.
Wisst ihr ob man das über ein zusätzliches Protokoll? evtl. verhindern kann
Die aktuellen Einstellungen sind auch so, dass bei einem Verbindungsverlust aber auch Recovery sofort der Switch stattfindet.
Wenn ihr mehr infos benötigt kann ich morgen auf der FW einmal die genauen aktuellen Einstellungen hier posten.
Vielen Dank und Grüße
staybb
ich habe eine Zywall 300 von Zyxel bei der LoadBalancing aktiviert ist.
Es ist aktuell ein absolutes Loadbalancing. Die IP wechselt ständig für den Client.
Das macht Login Seiten Problem: man fliegt wegen neuer IP einfach raus.
Wisst ihr ob man das über ein zusätzliches Protokoll? evtl. verhindern kann
Die aktuellen Einstellungen sind auch so, dass bei einem Verbindungsverlust aber auch Recovery sofort der Switch stattfindet.
Wenn ihr mehr infos benötigt kann ich morgen auf der FW einmal die genauen aktuellen Einstellungen hier posten.
Vielen Dank und Grüße
staybb
Please also mark the comments that contributed to the solution of the article
Content-Key: 331983
Url: https://administrator.de/contentid/331983
Printed on: April 24, 2024 at 10:04 o'clock
10 Comments
Latest comment
Die Frage ist was der TO mit absolutem Loadbalancing genau meint. Diese laienhafte Syntax gibt es so im Networking gar nicht und ist deshalb verwirrend.
Vermutlich meint er einen Round Robin Algorythmus bei dem Die Sessionverteilung mal auf dem einen mal auf dem anderen Pprt gemacht word mit einer 50:50 Verteilung.
Das ist natürlich technischer Blödsinn das die IP ständig wechselt für den Client. Die Cliet IP als solches bleibt fest. Das einzige was sich ändert ist das pro Session die Absender IP durch das NAT auf den beiden WAN Ports sich ändert.
Das ist aber kein Problem, denn pro Session bleibt diese Kombination ja immer fest bestehen und ändert sich innerhalb der Session niemals.
Das dürfte also wenn dann nur auf HTTPS Server die sehr empfindlich sind und mit multiplen Sessions arbeiten ggf. mal Probleme bereiten.
Wie Kollege Dani aber schon richtig bemerkt hat löst man das mit der Option "Sticky" in der Algorythmus Konfig am Balancer. Das ist in 2 Minuten erledigt und fixt das Problem sofort.
Vermutlich meint er einen Round Robin Algorythmus bei dem Die Sessionverteilung mal auf dem einen mal auf dem anderen Pprt gemacht word mit einer 50:50 Verteilung.
Das ist natürlich technischer Blödsinn das die IP ständig wechselt für den Client. Die Cliet IP als solches bleibt fest. Das einzige was sich ändert ist das pro Session die Absender IP durch das NAT auf den beiden WAN Ports sich ändert.
Das ist aber kein Problem, denn pro Session bleibt diese Kombination ja immer fest bestehen und ändert sich innerhalb der Session niemals.
Das dürfte also wenn dann nur auf HTTPS Server die sehr empfindlich sind und mit multiplen Sessions arbeiten ggf. mal Probleme bereiten.
Wie Kollege Dani aber schon richtig bemerkt hat löst man das mit der Option "Sticky" in der Algorythmus Konfig am Balancer. Das ist in 2 Minuten erledigt und fixt das Problem sofort.
@staybb:
1) Es wäre hilfreich gewesen, von vornherein die richtige Modellbezeichnung wiederzugeben. Das hätte uns hier das "Falschabbiegen" erspart. Die 310 ist das Nachfolgemodell der 300er und hat nicht nur eine potentere Hardware, sondern auch eine tiefgehend redesignte Firmware. Die Firmwareentwicklung der 300er endete bei ZLD3.30 - die USG310 begann bei ZLD 4.xx
2) In der Tat gibt es diese Option bei der 310er nicht mehr. Hatte mich auch gewundert und ich nahm an, dass man lediglich den Menüpunkt aus der GUI entfernt (oder diesen vergessen) hat. Es gibt ja jede Menge selten genutzte Optionen, die nicht per WebGUI, sondern nur per CLI erreichbar sind. Manche sicherlich auch aus dem Grunde, damit nicht jeder Möchtegern-Admin wie wild auf alles klickt, was nicht bei Drei auf den Bäumen ist, ohne zu wissen, wofür das gut ist.
Also habe ich gerade mal eine 60W unter ZLD4.20 mit dem v3.30er CLI-Befehl "ip load-balancing link-sticking activate" gefüttert. Die Box meldet jedoch zurück, dass der Befehl "obsolet" ist. Es scheint also so, dass der Befehl in ZLD4.xx ganz bewusst nicht mehr unterstützt wird! Warum entzieht sich meiner Kenntnis. Erklärlich wäre es für mich nur, wenn man annimmt, dass die Entwickler glaubten, diese Option nicht mehr zu benötigen, weil z.B. das Defaultverhalten der Firmware diesbezüglich geändert oder verbessert wurde.
Im CLI-Reference-Guide zu ZLD4.xx ist der o.g. Befehl auch nicht mehr dokumentiert. Dafür habe ich dort zwar den neuen Befehl "link-sticking outgoing <Interface>" gefunden, der ist jedoch nur im Kontext "ip upnp" gültig und scheint mir daher nicht funktionsgleich zu sein.
Im Ergebnis empfehle ich daher, einfach mal bei Zyxel einen Call aufzumachen. Im Zweifel muss die Entwicklungsabteilung in Taiwan sagen, warum sie das rausgenommen hat und wie das Problem statt dessen zu lösen ist. Mir fiele im Moment nur ein Workaround ein: nämlich das Übersteuern der globalen Loadbalancing-Konfiguration für die problematischen Seiten per Policyroute. Dies setzt allerdings voraus, dass Dir die IP-Adressen der problematischen Seiten bekannt sind (weil statisch) und es nicht um viele Seiten geht (Administrationsauswand). Oder man fährt global halt nur eine reine Failoverkonfiguration, aber das scheint ja bei Euch nicht gewünscht zu sein.
Gruß
sk
1) Es wäre hilfreich gewesen, von vornherein die richtige Modellbezeichnung wiederzugeben. Das hätte uns hier das "Falschabbiegen" erspart. Die 310 ist das Nachfolgemodell der 300er und hat nicht nur eine potentere Hardware, sondern auch eine tiefgehend redesignte Firmware. Die Firmwareentwicklung der 300er endete bei ZLD3.30 - die USG310 begann bei ZLD 4.xx
2) In der Tat gibt es diese Option bei der 310er nicht mehr. Hatte mich auch gewundert und ich nahm an, dass man lediglich den Menüpunkt aus der GUI entfernt (oder diesen vergessen) hat. Es gibt ja jede Menge selten genutzte Optionen, die nicht per WebGUI, sondern nur per CLI erreichbar sind. Manche sicherlich auch aus dem Grunde, damit nicht jeder Möchtegern-Admin wie wild auf alles klickt, was nicht bei Drei auf den Bäumen ist, ohne zu wissen, wofür das gut ist.
Also habe ich gerade mal eine 60W unter ZLD4.20 mit dem v3.30er CLI-Befehl "ip load-balancing link-sticking activate" gefüttert. Die Box meldet jedoch zurück, dass der Befehl "obsolet" ist. Es scheint also so, dass der Befehl in ZLD4.xx ganz bewusst nicht mehr unterstützt wird! Warum entzieht sich meiner Kenntnis. Erklärlich wäre es für mich nur, wenn man annimmt, dass die Entwickler glaubten, diese Option nicht mehr zu benötigen, weil z.B. das Defaultverhalten der Firmware diesbezüglich geändert oder verbessert wurde.
Im CLI-Reference-Guide zu ZLD4.xx ist der o.g. Befehl auch nicht mehr dokumentiert. Dafür habe ich dort zwar den neuen Befehl "link-sticking outgoing <Interface>" gefunden, der ist jedoch nur im Kontext "ip upnp" gültig und scheint mir daher nicht funktionsgleich zu sein.
Im Ergebnis empfehle ich daher, einfach mal bei Zyxel einen Call aufzumachen. Im Zweifel muss die Entwicklungsabteilung in Taiwan sagen, warum sie das rausgenommen hat und wie das Problem statt dessen zu lösen ist. Mir fiele im Moment nur ein Workaround ein: nämlich das Übersteuern der globalen Loadbalancing-Konfiguration für die problematischen Seiten per Policyroute. Dies setzt allerdings voraus, dass Dir die IP-Adressen der problematischen Seiten bekannt sind (weil statisch) und es nicht um viele Seiten geht (Administrationsauswand). Oder man fährt global halt nur eine reine Failoverkonfiguration, aber das scheint ja bei Euch nicht gewünscht zu sein.
Gruß
sk