Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Site2Site VPN Failover von Aussenstelle zu HQ

Frage Microsoft Windows Netzwerk

Mitglied: 1x1speed

1x1speed (Level 1) - Jetzt verbinden

06.07.2012, aktualisiert 07.07.2012, 3570 Aufrufe, 4 Kommentare

Hallo,

ich habe folgendes Problem zu dem ich ein paar Gedankenanstöße benötige. In meinem HQ sind zwei Router A und B (Cisco 28er Serie) aktiv, welche jeweils über einen DSL mit fester IP ans Internet angebunden sind.
Die Remote Standorte (Cisco Router 1800er Serie) bauen die Verbindung momentan nur zu dem Router A im HQ per Site2Site VPN auf. Wenn nun der Connect des Routers A zum Internet unterbrochen ist können die Remote Standorte nicht mehr auf das LAN im HQ zugreifen.

Gibt es eine Möglichkeit, die Router an den Remote Standorten so zu konfigurieren, daß diese sobald die VPN zum Router A für länger als z.B. 30 Sec. unterbrochen wird versuchen mit dem Router B über den Backup ISP eine VPN aufzubauen?

THX
Mitglied: 1x1speed
07.07.2012, aktualisiert um 12:03 Uhr
Hallo,

auf dem Remote Router der die VPN ins HQ initiiert habe ich die Config wie folgt angepasst:

01.
crypto isakmp key <MyK3y> address <Peer 1 Router A> 
02.
crypto isakmp key <MyK3y> address <Peer 2 Router B> 
03.
crypto isakmp keepalive 10 periodic 
04.
05.
06.
crypto ipsec transform-set myset esp-aes 256 esp-sha-hmac 
07.
08.
crypto map mymap 10 ipsec-isakmp 
09.
 set peer <Peer 1 Router A> default  
10.
 set peer <Peer 2 Router A> 
11.
 set transform-set myset 
12.
 match address 102
Sobald ich den DSL von Router A deaktiviere ist in der Aussenstelle kurz die VPN weg und danach baut der Router die Verbindung über Peer 2 zu Router B im HQ auf. Soweit so gut...

Beim Zuschalten der DSL Verbindung auf Router A schwenkt der Router in der Aussenstelle jedoch nicht wieder automatisch zurück. Wahrscheinlich erst nach der nächsten Zwangstrennung des ISP in der Aussenstelle.

Leider ist es auf dem Router der Aussenstelle nach der Aktivierung der Verbindung über Peer 2 aber nicht möglich im LAN des HQ eine IP zu erreichen, obwohl die Config des Routers B von den ACLs identisch dem Router A ist.

Beste Grüße
Bitte warten ..
Mitglied: aqui
08.07.2012 um 20:59 Uhr
Ja, das ist klar, da du vermutlich statisch immer über Router A ins HQ routest und dann rennt der Traffic ins Nirvana wenn der Peer tot ist.
OK dein VPN Backup funtioniert ja problemlos.
Was du zusätzlich machen musst ist dynamisch zu routen mit RIPv2 oder OSPF. Damit "lernen" die Aussenstellen Router sofort dynamisch die Route über den Backup Peer.
Sinnvollerweise konfigurierst du an den beiden LAN Ports der Router A und B im HQ noch HSRP oder VRRP um die Gateway Problematik zu lösen !
Damit hättest du dann eine klassische Standardlösung für dieses Szenario !
Bitte warten ..
Mitglied: 1x1speed
10.07.2012 um 13:57 Uhr
Hallo Aqui,

danke für deine Antwort. Den OSPF Fehler hab ich auf dem Router B im HQ gefunden und gefixt. Die HSRP Thematik habe ich auch gefunden. Mir ist jedoch nicht klar wie das genau funktionieren soll. Da die Außenstellen die VPN initialisieren müsste ja die virtuelle IP irgendwie über den ISP propagiert werden. Da es bei mir zwei verschiedene ISPs sind wird das eher problematisch.

Bei der aktuellen Config ist nun jedoch das Problem, daß der Router von der Teststellung zuerst mit dem default Peer (VDSL) verbunden hat, nachts aber nach der Zwangstrennung durch den Provider auf den Backup DSL (ADSL+) verbindet und diesen auch verbunden lässt. wenn nun nachts die Zwangstrennung des Backup DSL immer nach dem VDSL liegt, wird der Standort immer auf der langsamen Leitung arbeiten.

Ich könnte mir noch vorstellen, die Config dahingehend anzupassen, daß auf dem Router der Außenstelle zwei Cryptomaps mit gleicher Bezeichnung jeweils für einen der Peers mit einer Sequenznummer konfiguriert werden und dann ein Tracking der Verbindung erfolgt. Ich hab aber keine Iidee wie die Config des Tackings und Verwendung der jeweiligen Map ausschaut.

Gruß 1x1speed
Bitte warten ..
Mitglied: aqui
10.07.2012 um 22:45 Uhr
HSRP oder VRRP ist nur auf der Seite mit den 2 Routern relevant um das Gateway Problem bei den 2 Routern zu lösen !
Das Problem ist ja das du die HW IPs nicht verwenden kannst denn dann gehts entweder nur einzig über A oder über B. Da du aber parallele Links hast brauchst du hier ja zwingend Redundanz und genau das löst dir VRRP oder HSRP !
Alternativ kannst du auch PBR benutzen (Policy Based Routing) was allerdings einen etwas erhöhten Konfig Aufwand erzwingt.
Beide Lösungen sind machbar.
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Windows Netzwerk
Direct Access mit VPN aufbau (6)

Frage von geocast zum Thema Windows Netzwerk ...

Windows Server
Windows Server 2016 VPN richtig konfigurieren (1)

Frage von junior zum Thema Windows Server ...

Windows Server
gelöst Windows Server 2012 mit Fritzbox per VPN verbinden (13)

Frage von StefanT81 zum Thema Windows Server ...

Windows Netzwerk
Kein RDP über VPN per MS-TSC möglich (9)

Frage von survial555 zum Thema Windows Netzwerk ...

Heiß diskutierte Inhalte
Windows Server
DHCP Server switchen (25)

Frage von M.Marz zum Thema Windows Server ...

SAN, NAS, DAS
gelöst HP-Proliant Microserver Betriebssystem (14)

Frage von Yannosch zum Thema SAN, NAS, DAS ...

Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

Router & Routing
gelöst Empfehlung günstiges ADSL2+ nur Modem (10)

Frage von TimMayer zum Thema Router & Routing ...