10
Zywall 300 - Loadbalancing macht Probleme mit Loginseiten wegen IP Wechsel
Hallo zusammen,
ich habe eine Zywall 300 von Zyxel bei der LoadBalancing aktiviert ist.
Es ist aktuell ein absolutes Loadbalancing. Die IP wechselt ständig für den Client.
Das macht Login Seiten Problem: man fliegt wegen neuer IP einfach raus.
Wisst ihr ob man das über ein zusätzliches Protokoll? evtl. verhindern kann
Die aktuellen Einstellungen sind auch so, dass bei einem Verbindungsverlust aber auch Recovery sofort der Switch stattfindet.
Wenn ihr mehr infos benötigt kann ich morgen auf der FW einmal die genauen aktuellen Einstellungen hier posten.
Vielen Dank und Grüße
staybb
ich habe eine Zywall 300 von Zyxel bei der LoadBalancing aktiviert ist.
Es ist aktuell ein absolutes Loadbalancing. Die IP wechselt ständig für den Client.
Das macht Login Seiten Problem: man fliegt wegen neuer IP einfach raus.
Wisst ihr ob man das über ein zusätzliches Protokoll? evtl. verhindern kann
Die aktuellen Einstellungen sind auch so, dass bei einem Verbindungsverlust aber auch Recovery sofort der Switch stattfindet.
Wenn ihr mehr infos benötigt kann ich morgen auf der FW einmal die genauen aktuellen Einstellungen hier posten.
Vielen Dank und Grüße
staybb
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 331983
Url: https://administrator.de/contentid/331983
Printed on: April 24, 2024 at 10:04 o'clock
10 Comments
Latest comment
Moin,
da du nichts von deiner Konfiguration schreibst, gehe ich davon aus dass du beide Leitungen als Trunk konfiguriert hast. Somit müsste in der Konfiguration eine Option "Sticky" oder so ähnlich geben. Somit sollte die Session in Zeitraum X immer über die selbe IP gehen.
Gruß,
Dani
da du nichts von deiner Konfiguration schreibst, gehe ich davon aus dass du beide Leitungen als Trunk konfiguriert hast. Somit müsste in der Konfiguration eine Option "Sticky" oder so ähnlich geben. Somit sollte die Session in Zeitraum X immer über die selbe IP gehen.
Gruß,
Dani
Die Frage ist was der TO mit absolutem Loadbalancing genau meint. Diese laienhafte Syntax gibt es so im Networking gar nicht und ist deshalb verwirrend.
Vermutlich meint er einen Round Robin Algorythmus bei dem Die Sessionverteilung mal auf dem einen mal auf dem anderen Pprt gemacht word mit einer 50:50 Verteilung.
Das ist natürlich technischer Blödsinn das die IP ständig wechselt für den Client. Die Cliet IP als solches bleibt fest. Das einzige was sich ändert ist das pro Session die Absender IP durch das NAT auf den beiden WAN Ports sich ändert.
Das ist aber kein Problem, denn pro Session bleibt diese Kombination ja immer fest bestehen und ändert sich innerhalb der Session niemals.
Das dürfte also wenn dann nur auf HTTPS Server die sehr empfindlich sind und mit multiplen Sessions arbeiten ggf. mal Probleme bereiten.
Wie Kollege Dani aber schon richtig bemerkt hat löst man das mit der Option "Sticky" in der Algorythmus Konfig am Balancer. Das ist in 2 Minuten erledigt und fixt das Problem sofort.
Vermutlich meint er einen Round Robin Algorythmus bei dem Die Sessionverteilung mal auf dem einen mal auf dem anderen Pprt gemacht word mit einer 50:50 Verteilung.
Das ist natürlich technischer Blödsinn das die IP ständig wechselt für den Client. Die Cliet IP als solches bleibt fest. Das einzige was sich ändert ist das pro Session die Absender IP durch das NAT auf den beiden WAN Ports sich ändert.
Das ist aber kein Problem, denn pro Session bleibt diese Kombination ja immer fest bestehen und ändert sich innerhalb der Session niemals.
Das dürfte also wenn dann nur auf HTTPS Server die sehr empfindlich sind und mit multiplen Sessions arbeiten ggf. mal Probleme bereiten.
Wie Kollege Dani aber schon richtig bemerkt hat löst man das mit der Option "Sticky" in der Algorythmus Konfig am Balancer. Das ist in 2 Minuten erledigt und fixt das Problem sofort.
Genau danke für die Tipps.
Momentan ist auf der Zywall unter Trunk folgendes eingestellt:
Load Balancing Algorithm : Least Load First
Load Balancing Index Items: Outbound
Bei Load Balancing Algorithm hab ich noch die Möglichkeit zwischen:
- Least Load First
- Weighted Round Robin
und
- Spillover
auszuwählen.
Was genau sind dort die Unterschiede, sollte ich ein anderes aktivieren?
Momentan ist auf der Zywall unter Trunk folgendes eingestellt:
Load Balancing Algorithm : Least Load First
Load Balancing Index Items: Outbound
Bei Load Balancing Algorithm hab ich noch die Möglichkeit zwischen:
- Least Load First
- Weighted Round Robin
und
- Spillover
auszuwählen.
Was genau sind dort die Unterschiede, sollte ich ein anderes aktivieren?
Moin,
laut diesem [ftp://ftp.zyxel.com/ZyWALL_USG_300/user_guide/ZyWALL%20USG%20300_2.20.pdf Handbuch], Seite 125 gibt es eine Option dafür.
Gruß,
Dani
laut diesem [ftp://ftp.zyxel.com/ZyWALL_USG_300/user_guide/ZyWALL%20USG%20300_2.20.pdf Handbuch], Seite 125 gibt es eine Option dafür.
Gruß,
Dani
Das kommt bei mir die WLAN konfiguration auf Seite 125. Was meintest du da genau?
Danke und Gruss
Danke und Gruss
Moin,
du bist aber kleinlich...
Ich meinte Seite 123 das Bild am Seitenanfang.
Gruß,
Dani
du bist aber kleinlich...
Ich meinte Seite 123 das Bild am Seitenanfang.Gruß,
Dani
Moin,
sorry hab leider ab Seite 125 nur auf die Schnelle runtergescrollt :P
Habe gerade in meinem Webinterface der FW die Einstellung gesucht. Leider gibt es in meiner Version der Zywall 310 diese Hakenoption bei Enable Link Sticking nicht
Habe auch direkt in der Onlinehilfe meiner Zywall danach gesucht. Aber wird leider nichts gefunden.
Heisst das Protokoll mittlerweile irgendwie anderst?
Gruss und Danke
sorry hab leider ab Seite 125 nur auf die Schnelle runtergescrollt :P
Habe gerade in meinem Webinterface der FW die Einstellung gesucht. Leider gibt es in meiner Version der Zywall 310 diese Hakenoption bei Enable Link Sticking nicht
Habe auch direkt in der Onlinehilfe meiner Zywall danach gesucht. Aber wird leider nichts gefunden.
Heisst das Protokoll mittlerweile irgendwie anderst?
Gruss und Danke
Moin,
Welche Versionsnummer hat die aktuelle Firmware für 310?
Gruß,
Dani
Heisst das Protokoll mittlerweile irgendwie anderst?
da der Stelle bin ich raus. Ich kenn die Geräte nicht. Auf jeden Fall würde ich Bereich/Kaptitel Trunk/WAN suchen.Welche Versionsnummer hat die aktuelle Firmware für 310?
Gruß,
Dani
@staybb:
1) Es wäre hilfreich gewesen, von vornherein die richtige Modellbezeichnung wiederzugeben. Das hätte uns hier das "Falschabbiegen" erspart. Die 310 ist das Nachfolgemodell der 300er und hat nicht nur eine potentere Hardware, sondern auch eine tiefgehend redesignte Firmware. Die Firmwareentwicklung der 300er endete bei ZLD3.30 - die USG310 begann bei ZLD 4.xx
2) In der Tat gibt es diese Option bei der 310er nicht mehr. Hatte mich auch gewundert und ich nahm an, dass man lediglich den Menüpunkt aus der GUI entfernt (oder diesen vergessen) hat. Es gibt ja jede Menge selten genutzte Optionen, die nicht per WebGUI, sondern nur per CLI erreichbar sind. Manche sicherlich auch aus dem Grunde, damit nicht jeder Möchtegern-Admin wie wild auf alles klickt, was nicht bei Drei auf den Bäumen ist, ohne zu wissen, wofür das gut ist.
Also habe ich gerade mal eine 60W unter ZLD4.20 mit dem v3.30er CLI-Befehl "ip load-balancing link-sticking activate" gefüttert. Die Box meldet jedoch zurück, dass der Befehl "obsolet" ist. Es scheint also so, dass der Befehl in ZLD4.xx ganz bewusst nicht mehr unterstützt wird! Warum entzieht sich meiner Kenntnis. Erklärlich wäre es für mich nur, wenn man annimmt, dass die Entwickler glaubten, diese Option nicht mehr zu benötigen, weil z.B. das Defaultverhalten der Firmware diesbezüglich geändert oder verbessert wurde.
Im CLI-Reference-Guide zu ZLD4.xx ist der o.g. Befehl auch nicht mehr dokumentiert. Dafür habe ich dort zwar den neuen Befehl "link-sticking outgoing <Interface>" gefunden, der ist jedoch nur im Kontext "ip upnp" gültig und scheint mir daher nicht funktionsgleich zu sein.
Im Ergebnis empfehle ich daher, einfach mal bei Zyxel einen Call aufzumachen. Im Zweifel muss die Entwicklungsabteilung in Taiwan sagen, warum sie das rausgenommen hat und wie das Problem statt dessen zu lösen ist. Mir fiele im Moment nur ein Workaround ein: nämlich das Übersteuern der globalen Loadbalancing-Konfiguration für die problematischen Seiten per Policyroute. Dies setzt allerdings voraus, dass Dir die IP-Adressen der problematischen Seiten bekannt sind (weil statisch) und es nicht um viele Seiten geht (Administrationsauswand). Oder man fährt global halt nur eine reine Failoverkonfiguration, aber das scheint ja bei Euch nicht gewünscht zu sein.
Gruß
sk
1) Es wäre hilfreich gewesen, von vornherein die richtige Modellbezeichnung wiederzugeben. Das hätte uns hier das "Falschabbiegen" erspart. Die 310 ist das Nachfolgemodell der 300er und hat nicht nur eine potentere Hardware, sondern auch eine tiefgehend redesignte Firmware. Die Firmwareentwicklung der 300er endete bei ZLD3.30 - die USG310 begann bei ZLD 4.xx
2) In der Tat gibt es diese Option bei der 310er nicht mehr. Hatte mich auch gewundert und ich nahm an, dass man lediglich den Menüpunkt aus der GUI entfernt (oder diesen vergessen) hat. Es gibt ja jede Menge selten genutzte Optionen, die nicht per WebGUI, sondern nur per CLI erreichbar sind. Manche sicherlich auch aus dem Grunde, damit nicht jeder Möchtegern-Admin wie wild auf alles klickt, was nicht bei Drei auf den Bäumen ist, ohne zu wissen, wofür das gut ist.
Also habe ich gerade mal eine 60W unter ZLD4.20 mit dem v3.30er CLI-Befehl "ip load-balancing link-sticking activate" gefüttert. Die Box meldet jedoch zurück, dass der Befehl "obsolet" ist. Es scheint also so, dass der Befehl in ZLD4.xx ganz bewusst nicht mehr unterstützt wird! Warum entzieht sich meiner Kenntnis. Erklärlich wäre es für mich nur, wenn man annimmt, dass die Entwickler glaubten, diese Option nicht mehr zu benötigen, weil z.B. das Defaultverhalten der Firmware diesbezüglich geändert oder verbessert wurde.
Im CLI-Reference-Guide zu ZLD4.xx ist der o.g. Befehl auch nicht mehr dokumentiert. Dafür habe ich dort zwar den neuen Befehl "link-sticking outgoing <Interface>" gefunden, der ist jedoch nur im Kontext "ip upnp" gültig und scheint mir daher nicht funktionsgleich zu sein.
Im Ergebnis empfehle ich daher, einfach mal bei Zyxel einen Call aufzumachen. Im Zweifel muss die Entwicklungsabteilung in Taiwan sagen, warum sie das rausgenommen hat und wie das Problem statt dessen zu lösen ist. Mir fiele im Moment nur ein Workaround ein: nämlich das Übersteuern der globalen Loadbalancing-Konfiguration für die problematischen Seiten per Policyroute. Dies setzt allerdings voraus, dass Dir die IP-Adressen der problematischen Seiten bekannt sind (weil statisch) und es nicht um viele Seiten geht (Administrationsauswand). Oder man fährt global halt nur eine reine Failoverkonfiguration, aber das scheint ja bei Euch nicht gewünscht zu sein.
Gruß
sk
