March 5, 2026

Troubleshooting Dual ISP: Failover läuft, aber Apps bleiben fehlerhaft – warum

In Dual-ISP-Umgebungen wird oft ein Failover zwischen zwei Internetverbindungen eingerichtet, um hohe Verfügbarkeit zu gewährleisten. Häufig stellt man jedoch fest, dass obwohl die Routing-Failover-Mechanismen korrekt arbeiten, bestimmte Applikationen weiterhin Fehler melden oder Verbindungen abbrechen. Dieses Verhalten ist meist nicht auf das Routing selbst zurückzuführen, sondern auf begleitende Faktoren wie NAT, Firewall-Policies, TCP-Sessions, DNS oder asymmetrische Pfade.

Failover-Mechanismen im Überblick

Dual-ISP-Setups nutzen unterschiedliche Techniken, um Redundanz zu gewährleisten:

  • Static Routes mit unterschiedlichen Administrative Distances
  • Floating Static Routes für gezieltes Failover
  • Dynamic Routing via BGP (iBGP/eBGP) mit mehreren Upstream-Providern
  • IP SLA + Tracking für automatische Pfadumschaltung

Das Routing selbst kann korrekt konvergieren, ohne dass Anwendungen sofort wieder fehlerfrei funktionieren.

Typische Ursachen für fehlerhafte Applikationen trotz funktionierendem Failover

1. NAT / Source Translation

Viele Anwendungen hängen von konsistenten Quell-IP-Adressen ab. Wenn beim Failover ein anderer ISP verwendet wird, kann die NAT-Übersetzung eine neue IP erzeugen, die vom Remote-Endpunkt blockiert wird.

ip nat inside source list 10 interface Gig0/1 overload
ip nat inside source list 10 interface Gig0/2 overload

Hier muss sichergestellt werden, dass Sessions korrekt für beide Links übersetzt werden.

2. Firewall-State und Sessions

Stateful Firewalls speichern bestehende Verbindungen. Ein Linkwechsel kann dazu führen, dass bestehende TCP-Sessions invalid werden.

  • TCP-Handshakes brechen ab
  • UDP-basierte Anwendungen verlieren die Zuordnung

Das Zurücksetzen von Sessions oder der Einsatz von Stateful-Failover-Mechanismen kann hier helfen.

3. Asymmetrisches Routing

Nach Failover kann der Rückweg über den primären Link gehen, während der Forward-Traffic über den sekundären Link läuft. Firewalls und Load Balancer erkennen dies oft als ungültig und blockieren den Verkehr.

show ip route
traceroute 8.8.8.8 source 192.168.1.10

Traceroute hilft, asymmetrische Pfade zu erkennen.

4. DNS / Application Affinity

Manche Applikationen binden sich an IP-Adressen oder DNS-Einträge, die sich nach einem ISP-Wechsel ändern. Dies kann zu Session-Fehlern oder Verbindungsabbrüchen führen.

  • DNS-Caching auf Client-Seite beachten
  • DNS-Load-Balancing prüfen

Checkliste zur Analyse

  • Failover korrekt konvergiert? (show ip route, show track)
  • Quelle-NAT nach Linkwechsel prüfen (show ip nat translations)
  • Firewall-State prüfen (show conn, show session)
  • Asymmetrische Pfade erkennen (traceroute, ping source)
  • DNS-Auflösung und Cache prüfen (nslookup, dig)
  • TCP/UDP-Port und Application-Logs analysieren

Best Practices für stabile Dual-ISP-Setups

  • Source NAT auf beiden Links konsistent konfigurieren
  • Stateful Firewall mit Session-Persistenz oder Session-Synchronisation einsetzen
  • IP SLA + Tracking korrekt auf Default Route anwenden
  • Asymmetrische Routing-Pfade vermeiden oder gezielt mit Policy Routing steuern
  • DNS-Affinität und TTL für Client-Anwendungen berücksichtigen
  • Failover in Testumgebungen prüfen, bevor es produktiv genutzt wird

CLI-Beispiele zur Analyse

! Prüfen der aktuellen Default-Routen
show ip route 0.0.0.0

! IP SLA Status

show ip sla summary


! NAT Übersetzungen

show ip nat translations


! Firewall Sessions

show conn

show session


! Pfadprüfung

traceroute 8.8.8.8 source 192.168.1.10

ping 8.8.8.8 source 192.168.1.10

Fazit zur Troubleshooting-Strategie

Auch wenn das Routing im Failover korrekt arbeitet, bleiben Applikationen fehleranfällig, wenn NAT, Firewall oder DNS nicht berücksichtigt werden. Ein systematischer Ansatz, der alle beteiligten Elemente untersucht, ist notwendig, um Dual-ISP-Umgebungen stabil zu betreiben und Ausfallzeiten minimal zu halten.

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)

Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.

Was ich (je nach Paket) umsetze

  • Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)

  • Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)

  • Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation

  • Optional Security: Basic ACLs und SSH-Hardening

  • Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)

Sie erhalten

  • Packet Tracer .pkt Datei

  • ✅ Saubere Konfigurations-Notizen pro Gerät

  • ✅ Verifikations-Checkliste + erwartete Outputs

  • ✅ Kurze Dokumentation (wie die Topologie funktioniert)

Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.

Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.

Related Articles

Hardening für Dual-ISP-Edge: Failover-Risiken in Policies verhindern

Hardening für VPN IPsec: Crypto Baseline, DPD, Rekey und Stabilität

Hardening DMVPN: Control-Plane-Security, NHRP Hygiene und Segmentierung

Hardening für Remote-Access-VPN: User-Segmentierung, Split Tunnel und Logging

Hardening für Multi-Tenant/Partner Links: VRF & sichere Policy Boundaries

Hardening für Remote Branches: OOB-Herausforderungen und operative Guardrails

Case Study: Management Exposure am Edge-Router schließen (Before/After Evidence)

Case Study: Audit findet Route-Leak-Risiko am Cisco-Router (strukturierte Remediation)

Case Study: SNMPv3 + Syslog-SIEM-Migration für Auditability

Cisco Router Security Hardening Service: Scope, Deliverables und Enterprise-Timeline

Exposure Management: „Open Management Ports“ aus dem Internet auditieren

Cisco-Router-Forensik Basics: Evidenzen, die bei Incidents Pflicht sind