WAN & Internet

Wenn eine Leitung ausfällt, läuft es weiter.

Internetanbindung über zwei oder mehr Provider und Medien. Wir planen, was bei Ausfall einer Leitung automatisch weiterläuft, welche Verbindungen neu aufgebaut werden müssen und wann DNS, BGP oder LINOXA IP Access Flex fachlich die bessere Lösung ist.

Anbindung prüfen Lösungsansätze ansehen
Dual-WAN-Infografik: ein Standort ist ueber eine Firewall oder einen Router mit einem primaeren WAN-Pfad und einem Backup-WAN-Pfad mit dem Internet verbunden

Zweiter Weg ins Internet

  • Zwei Router, Firewall-Cluster oder ein Dual-WAN-Gateway
  • Glasfaser, VDSL, LTE/5G, Starlink oder Kabel kombinierbar

Betrieb bleibt erreichbar

  • Ausgehende Verbindungen können automatisch umschalten
  • Kasse, ERP, Lagerverwaltung oder Telefonie können über Ersatzpfad weiterarbeiten

Getestet statt gehofft

  • Umschaltung wird provoziert und dokumentiert
  • Grenzen bei eingehenden Diensten werden offen benannt

Selbst-Check

Wann wird redundante Anbindung kritisch?

Hängt der ganze Betrieb an einer einzigen Leitung? Diese Punkte zeigen, wann ein zweiter Weg Pflicht wird.

  • Ein Leitungsausfall legt heute den ganzen Standort lahm.
  • Zeitkritische Anwendungen wie Kasse, Bestellsystem oder Telefonie dürfen nicht stehen.
  • Der Standort hängt an einer einzigen Leitung oder einem einzigen Provider, auch eine Glasfaser ist dann ein Single Point of Failure.
  • Ein zweiter Anschluss ist vorhanden, wird aber nicht sauber genutzt.
  • Ein HQ terminiert VPNs oder Dienste für andere Standorte und darf nicht einfach offline sein.
  • Es gibt einen Failover, aber niemand weiß, ob er im Ernstfall funktioniert.

Lösungsansätze

Fünf Wege zu mehr Ausfallsicherheit.

Welcher Weg passt, hängt von Anforderung, Budget und Standort ab. Wir wählen ihn gemeinsam mit Ihnen aus.

Variante A

Primär / Backup

Ein Hauptanschluss, ein Ersatzpfad. Typisch: DTAG-Glasfaser oder VDSL primär, Vodafone-VDSL, LTE/5G oder Starlink als Backup.

Variante B

Aktiv-Aktiv ausgehend

Ausgehender Verkehr wird per Policy-Based Routing, Metriken oder Routing-Regeln auf zwei Leitungen verteilt. Eingehende Verbindungen bleiben dabei weiter an die jeweilige öffentliche IP gebunden.

Variante C

DNS-gestützter Ersatzpfad

Wenn beide Leitungen feste öffentliche IPs haben, können externe Clients im Fehlerfall über DNS oder zweite Zieladresse auf den Ersatzpfad wechseln. Bewährte Technik, aber nicht unterbrechungsfrei.

Variante D

Feste IP über alle Pfade

Wenn eingehende Dienste auch über LTE/5G, Starlink oder wechselnde Anschlüsse stabil erreichbar bleiben müssen, ist LINOXA IP Access Flex der passende Baustein.

Variante E

MPLS-Overlay: Multipath & Fast Reroute

Als eigenes Overlay über mehrere Internet-Anschlüsse trägt MPLS den Verkehr aktiv über mehrere Pfade und berechnet Ersatzpfade vor, um bei einem Ausfall schnell umschalten zu können. MPLS-TE Fast Reroute mit sub-50-ms-Konvergenz ist eine Eigenschaft klassischer Carrier-MPLS- und IGP-Umgebungen; über normale Internet-Leitungen hängt die erreichbare Umschaltzeit von Jitter, BFD-Konfiguration und Pfadverfügbarkeit ab. Traffic Engineering und QoS sorgen dafür, dass kritischer Verkehr auch im Fehlerfall den besten verbleibenden Weg bekommt. Providerunabhängig und ohne Carrier-MPLS-Vertrag betreibbar.

Einordnung

Redundanz, BGP und IP Access Flex sind verwandt, aber nicht dasselbe.

Der entscheidende Unterschied ist, ob nur der Internetzugang ausfallsicherer werden soll oder ob öffentliche IPs, geroutete Netze und eingehende Dienste über mehrere Pfade stabil bleiben müssen.

Klassische Redundanz

Zwei Anschlüsse, definierte Routerlogik, NAT, PBR und Failover-Tests. Das verbessert vor allem ausgehenden Internetzugang und Standortbetrieb.

Prüfpunkte ansehen

BGP & Multi-Provider

Für eigene AS-Nummer, eigene Prefixe, IP-Transit, mehrere Upstreams und selbst kontrollierte Routing-Policies.

BGP einordnen

LINOXA IP Access Flex

Für feste öffentliche IPs, geroutete Netze oder stabile Inbound-Erreichbarkeit über wechselnde Access-Medien, CGNAT oder LTE/5G.

IP Access Flex ansehen

Richtfunk

Wenn der zweite Weg per Funkstrecke laufen soll, etwa wo keine zweite Glasfaser verfügbar ist oder der Tiefbau zu teuer wäre.

Richtfunk ansehen

Prüfpunkte

Woran sich Redundanz messen lassen muss.

Provider & Trassen

Zwei Anschlüsse sind nur dann echte Redundanz, wenn Provider, Hauszuführung und Trassenrisiko verstanden sind.

Access-Medien

Festnetz, Mobilfunk und Satellit unterscheiden sich bei Bandbreite, Empfang, Latenz, Volumen und öffentlicher Erreichbarkeit.

Inbound-Grenzen

Klassisches Dual-WAN verbessert vor allem ausgehende Erreichbarkeit. Eingehende Dienste bleiben oft an die statische IP des aktiven Providers gebunden.

Failover-Test

Umschaltzeiten, Paketverlust und Rückschaltverhalten werden getestet und dokumentiert, nicht nur angenommen.

Vorgehen

So machen wir Ihre Anbindung ausfallsicher.

01

Bestandsaufnahme

Vorhandene Leitungen, Provider, Verträge und kritische Anwendungen erfassen.

02

Redundanz-Konzept

Primär/Backup, Aktiv-Aktiv, PBR, DNS-Fallback, MPLS-Overlay, BGP oder IP Access Flex sauber voneinander trennen.

03

Umsetzung

Router, Firewalls, Modems, LTE/5G-Gateways, PBR, NAT und Monitoring einrichten.

04

Failover-Test

Ausfälle gezielt provozieren, Umschaltzeiten messen und dokumentieren.

Technische Bausteine

Typische Bausteine im Redundanzkonzept.

Die Kacheln zeigen keine abschließende Produktliste, sondern die Bausteine, die wir je nach Bestand, Provider und Zielbild bewerten und kombinieren.

Anschlussmedien

Glasfaser VDSL Kabel LTE/5G Satellit

Router & Gateways

Cisco Arista HPE FlexNetwork Huawei H3C OPNsense pfSense

Failover

Dual-WAN Track / IP SLA VRRP Gateway-Monitoring Health Checks

Ausgehende Steuerung

Policy-Based Routing NAT je Leitung Default-Route-Failover Load Sharing

MPLS & Traffic Engineering

MPLS L3VPN MPLS-TE Fast Reroute (<50 ms) DiffServ-QoS VRF Segment Routing

Inbound-Optionen & Grenzen

zweite Zieladresse DNS-Failover kurze TTL Client-Reconnect statische IP je Leitung CGNAT-Prüfung

Betrieb

Offline-Erkennung Paketverlust Failover-Test Rückschaltverhalten Dokumentation

Aus der Praxis

Typische Szenarien aus der Praxis.

Das sind häufige Ausgangslagen, keine Einschränkung auf genau diese Standorttypen. Entscheidend ist, welche Dienste bei Leitungsausfall weiterlaufen müssen.

Hauptniederlassung

HQ mit zentraler Firewall, Client-VPN, Telefonie oder Anwendungen, an denen andere Standorte hängen.

Filiale mit Kasse

Bestell- und Kassensysteme, die nicht ausfallen dürfen.

Schlechte Glasfaser-Lage

5G oder Starlink als zusätzlicher Pfad, wenn Festnetz langsam, spät verfügbar oder störanfällig ist.

OT-Standort

Mobilfunk als Notpfad für Monitoring, Fernwartung oder definierte Produktionsdienste.

Temporäre Standorte

Baustelle oder Veranstaltung, schnell und mehrwegig angebunden.

Sie haben Fragen?

FAQ

Antworten auf typische Fragen zu zweitem Anschluss, Failover, eingehenden Diensten, BGP, IP Access Flex und realistisch testbarer Redundanz.

Anbindung prüfen

Nur bedingt. Echte Redundanz braucht Vielfalt: unterschiedliche Provider und möglichst unterschiedliche Übertragungsmedien. Sonst trifft eine Störung im Provider-Netz oder an der Leitungstrasse beide Anschlüsse gleichzeitig.

Bei klassischer Dual-WAN-Redundanz sind eingehende Verbindungen an die öffentliche IP der jeweiligen Leitung gebunden. Fällt der Anschluss mit der statischen IP aus, sind Dienste auf dieser Adresse zunächst nicht erreichbar. Hat der zweite Festnetzanschluss ebenfalls eine feste öffentliche IP, kann man mit DNS-Failover oder einer zweiten Zieladresse arbeiten. Das ist bewährte Technik, aber es gibt Reconnect- und Umschaltzeiten. Ist der Zweitweg LTE/5G oder ein Anschluss hinter CGNAT, sind eingehende Verbindungen in einem klassischen Setup in der Regel nicht mehr erreichbar.

Für ausgehende Verbindungen kann die Umschaltung je nach Router, Erkennung und Verfahren schnell erfolgen, klassisches Dual-WAN liegt dabei aber eher im Sekundenbereich. Bestehende Sessions brechen häufig trotzdem ab, weil NAT, Quell-IP oder Providerpfad wechseln. In gerouteten Umgebungen mit IGP (OSPF oder IS-IS) lässt sich die lokale Reparatur über Fast Reroute und (TI-)LFA mit vorab berechneten Ersatzwegen in den Zielbereich von unter 50 Millisekunden bringen. Welche Umschaltzeiten realistisch sind, hängt vom Aufbau ab; die genauen Zeiten und Auswirkungen messen wir im Failover-Test.

Für eine einfache Backup-Leitung meistens nicht. Ein 5G- oder VDSL-Ersatzpfad wird in klassischen Setups über Dual-WAN, NAT, Policy-Based Routing und Failover-Tests genutzt, vor allem für ausgehenden Verkehr. BGP ist ein anderes Thema: Es lohnt sich, wenn eigene Prefixe über geeignete Provider- oder Transit-Anbindungen geroutet werden sollen. Bei LTE/5G mit CGNAT löst BGP die eingehende Erreichbarkeit nicht. Dafür braucht es ein anderes Konzept, zum Beispiel IP Access Flex.

MPLS wird klassisch als gemanagtes Provider-VPN (L3VPN) bezogen und ergibt ein sehr steuerbares WAN: Traffic Engineering legt Pfade gezielt fest, DiffServ-QoS priorisiert kritischen Verkehr, und MPLS-TE Fast Reroute schaltet im Fehlerfall auf vorab berechnete Ersatzpfade, im Carrier-Netz mit deterministischer Latenz und SLA. Dieselben Steuerungsprinzipien, also Traffic Engineering, Segmentierung und QoS, lassen sich auch als eigenes Overlay über normale Internet-Anschlüsse umsetzen, ohne Carrier-MPLS-Vertrag. Die Qualitätseigenschaften eines Carrier-Netzes, insbesondere deterministischer Jitter und SLA-gesicherte Latenz, erreicht ein Internet-Overlay dabei nicht. Ob sich das im Vergleich zum Carrier-VPN wirtschaftlich rechnet, hängt von vorhandenen Anschlüssen, Standortzahl und Anforderungen ab. Für einen einzelnen Standort mit einfachem Dual-WAN ist das meist überdimensioniert; interessant wird es bei mehreren Standorten, klaren internen Traffic-Anforderungen und kritischen Anwendungen.

Ja. Wir provozieren Leitungsausfälle gezielt und prüfen, ob die Umschaltung sauber und in der erwarteten Zeit funktioniert. Ein ungetesteter Failover ist nur eine Annahme.

Ja. Wenn Mobilfunk oder Satellit am Standort die bessere Bandbreite liefern, können sie als aktiver oder sogar primärer Pfad genutzt werden. Für ausgehenden Verkehr funktioniert das oft gut. Eingehende Dienste wie Client-VPN, Portfreigaben oder externe Zugriffe sind bei LTE/5G und vielen Starlink-Setups in klassischen Redundanzkonzepten jedoch meist nicht erreichbar, weil CGNAT, dynamische Adressen oder Providergrenzen im Weg stehen.

Wenn nicht nur ausgehender Internetzugang redundant sein soll, sondern auch feste öffentliche IPs, VPN-Ziele, Partnerzugänge oder geroutete Netze über verschiedene Access-Medien stabil erreichbar bleiben müssen. Besonders relevant ist das bei LTE/5G, Starlink, CGNAT oder dynamischen Provider-IPs.

Standortvernetzung beschreibt die Verbindung mehrerer Standorte und Netze. Redundante Anbindung fokussiert auf die Verfügbarkeit eines Standortes: Welche Access-Pfade existieren, was passiert bei Ausfall, welche IPs bleiben stabil und wie wird das getestet?

Der nächste Schritt

Lassen Sie Ihre Anbindung ausfallsicher machen.

Wir nehmen Leitungen, Router, eingehende Dienste und kritische Anwendungen auf und zeigen klar, was mit klassischer Redundanz möglich ist und wo BGP oder IP Access Flex sinnvoller sind.

Anbindung prüfen oder Formular ausfüllen