Der von vielen Kunden als Ping zur Leitungsüberwachung genutzte DNS-Server 194.25.0.60 der Telekom antwortet heute (11.08.2017) nicht auf Ping (Anm.: seit dem Abend geht es wieder).
Problematik: Multi-WAN bei WatchGuard benötigt eine Ziel-IP für einen Ping-Check (Network > Configuration > Multi-WAN). Hier wird häufig ein gängiger DNS-Server des zuständigen Internet-Providers eingetragen, weil dieser in der Regel hoch performant und hochverfügbar ausgelegt ist. Wenn die an dieser Stelle eingetragene IP-Adresse jedoch nicht mehr auf Ping reagiert, “denkt” die WatchGuard, dass die Leitung nicht mehr verfügbar ist und schaltet das Interface in den Status “External:Failed” und damit logisch auf DOWN. Das bedeutet, dass das Interface für ausgehenden Verkehr nicht mehr verfügbar ist – obwohl die Leitung selbst technisch völlig in Ordnung ist.
Best Practice:
Wir können hier keine allgemein glücklich machende Antwort geben. Wir schlagen vor, beim zuständigen Leitungsprovider (es können ja auch mal mehrere Leitungen von verschiedenen Providern an einer WatchGuard angeschlossen sein…) eine oder mehrere IP-Adresse(n) aus dessen Backbone zu erfragen und zu verwenden, die
- auf Ping reagieren
- hochverfügbar ausgelegt sind
- sich nicht ändern
Verwenden Sie NICHT IP-Adressen eines anderen Providers (Sie wollen ja die Anbindung an den eigenen Provider testen und nicht das weitere Routing/Peering zu einem anderen Provider. Daher sind auch die allseits bekannten öffentlichen DNS-Server von Google (8.8.8.8 und 8.8.4.4) keine besonders guten Ideen.
Verwenden Sie NICHT die gleiche Test-IP-Adresse für mehrere External Interfaces. Sollte genau diese IP-Adresse tatsächlich einmal nicht erreichbar sein, wie jetzt im Falle des Telekom DNS-Servers 194.25.0.60 geschehen, gehen im Extremfall gleichzeitig ALLE Leitungen auf DOWN und Sie bewirken damit das genaue Gegenteil des eigentlichen Redundanz-Gedankens.
Nutzen Sie in der Multi-WAN Konfiguration auf jeden Fall die Möglichkeit, explizite Test-IP-Adressen einzutragen. Wenn Sie nämlich den System Default belassen = KEINE explizite Test-IP eintragen, dann wird standardmäßig das Default Gateway der jeweiligen Leitung überwacht/angepingt. Bei Static IP, also einer Standleitung mit einem vom Provider bereitgestellten Router mit einem öffentlichen IP-Subnetz ist das Default Gateway aber eben genau dieser Router. Weil sich dieser Router aber (i.d.R.) in Ihrem eigenen Hause befindet und immer antworten wird, liefert er also keine sinnvolle Aussage, ob die Internet-Leitung funktioniert oder nicht.
Bei DSL-Anschlüssen der Deutschen Telekom kommt sogar noch eine weitere Problematik dazu. Das Default Gateway einer DSL-Leitung wird erst nach erfolgreicher Einwahl dynamisch zugewiesen. Leider haben bei der Telekom aber genau diese Systeme die unangenehme Eigenschaft, dass sie überhaupt nicht auf Ping antworten! Wenn also keine explizite Test-IP eingetragen ist, wird eine solche Leitung im Multi-WAN-Betrieb immer als External:Failed angezeigt werden und steht daher auch nicht für WAN Failover Szenarios zur Verfügung…
Jedem selbst überlassen bleibt auch die Einschätzung, ob es statt Ping (oder zusätzlich zu Ping) sinnvoll ist, die Alternative zu nutzen, nämlich per TCP Connect z.B. den Port 80 eines hochverfügbaren Webservers zu prüfen. Bedenken Sie dabei aber bitte auch, wenn Sie hier mit einem Hostnamen arbeiten z.B. www.google.de, dass in diesem Fall die WatchGuard diesen Namen vorher auch noch per DNS auflösen können muss. Besser wäre allemal, auch hier mit einer IP-Adresse statt eines Hostnamens zu arbeiten…
