Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Site2Site VPN Failover von Aussenstelle zu HQ

Frage Microsoft Windows Netzwerk

Mitglied: 1x1speed

1x1speed (Level 1) - Jetzt verbinden

06.07.2012, aktualisiert 07.07.2012, 3648 Aufrufe, 4 Kommentare

Hallo,

ich habe folgendes Problem zu dem ich ein paar Gedankenanstöße benötige. In meinem HQ sind zwei Router A und B (Cisco 28er Serie) aktiv, welche jeweils über einen DSL mit fester IP ans Internet angebunden sind.
Die Remote Standorte (Cisco Router 1800er Serie) bauen die Verbindung momentan nur zu dem Router A im HQ per Site2Site VPN auf. Wenn nun der Connect des Routers A zum Internet unterbrochen ist können die Remote Standorte nicht mehr auf das LAN im HQ zugreifen.

Gibt es eine Möglichkeit, die Router an den Remote Standorten so zu konfigurieren, daß diese sobald die VPN zum Router A für länger als z.B. 30 Sec. unterbrochen wird versuchen mit dem Router B über den Backup ISP eine VPN aufzubauen?

THX
Mitglied: 1x1speed
07.07.2012, aktualisiert um 12:03 Uhr
Hallo,

auf dem Remote Router der die VPN ins HQ initiiert habe ich die Config wie folgt angepasst:

01.
crypto isakmp key <MyK3y> address <Peer 1 Router A> 
02.
crypto isakmp key <MyK3y> address <Peer 2 Router B> 
03.
crypto isakmp keepalive 10 periodic 
04.
05.
06.
crypto ipsec transform-set myset esp-aes 256 esp-sha-hmac 
07.
08.
crypto map mymap 10 ipsec-isakmp 
09.
 set peer <Peer 1 Router A> default  
10.
 set peer <Peer 2 Router A> 
11.
 set transform-set myset 
12.
 match address 102
Sobald ich den DSL von Router A deaktiviere ist in der Aussenstelle kurz die VPN weg und danach baut der Router die Verbindung über Peer 2 zu Router B im HQ auf. Soweit so gut...

Beim Zuschalten der DSL Verbindung auf Router A schwenkt der Router in der Aussenstelle jedoch nicht wieder automatisch zurück. Wahrscheinlich erst nach der nächsten Zwangstrennung des ISP in der Aussenstelle.

Leider ist es auf dem Router der Aussenstelle nach der Aktivierung der Verbindung über Peer 2 aber nicht möglich im LAN des HQ eine IP zu erreichen, obwohl die Config des Routers B von den ACLs identisch dem Router A ist.

Beste Grüße
Bitte warten ..
Mitglied: aqui
08.07.2012 um 20:59 Uhr
Ja, das ist klar, da du vermutlich statisch immer über Router A ins HQ routest und dann rennt der Traffic ins Nirvana wenn der Peer tot ist.
OK dein VPN Backup funtioniert ja problemlos.
Was du zusätzlich machen musst ist dynamisch zu routen mit RIPv2 oder OSPF. Damit "lernen" die Aussenstellen Router sofort dynamisch die Route über den Backup Peer.
Sinnvollerweise konfigurierst du an den beiden LAN Ports der Router A und B im HQ noch HSRP oder VRRP um die Gateway Problematik zu lösen !
Damit hättest du dann eine klassische Standardlösung für dieses Szenario !
Bitte warten ..
Mitglied: 1x1speed
10.07.2012 um 13:57 Uhr
Hallo Aqui,

danke für deine Antwort. Den OSPF Fehler hab ich auf dem Router B im HQ gefunden und gefixt. Die HSRP Thematik habe ich auch gefunden. Mir ist jedoch nicht klar wie das genau funktionieren soll. Da die Außenstellen die VPN initialisieren müsste ja die virtuelle IP irgendwie über den ISP propagiert werden. Da es bei mir zwei verschiedene ISPs sind wird das eher problematisch.

Bei der aktuellen Config ist nun jedoch das Problem, daß der Router von der Teststellung zuerst mit dem default Peer (VDSL) verbunden hat, nachts aber nach der Zwangstrennung durch den Provider auf den Backup DSL (ADSL+) verbindet und diesen auch verbunden lässt. wenn nun nachts die Zwangstrennung des Backup DSL immer nach dem VDSL liegt, wird der Standort immer auf der langsamen Leitung arbeiten.

Ich könnte mir noch vorstellen, die Config dahingehend anzupassen, daß auf dem Router der Außenstelle zwei Cryptomaps mit gleicher Bezeichnung jeweils für einen der Peers mit einer Sequenznummer konfiguriert werden und dann ein Tracking der Verbindung erfolgt. Ich hab aber keine Iidee wie die Config des Tackings und Verwendung der jeweiligen Map ausschaut.

Gruß 1x1speed
Bitte warten ..
Mitglied: aqui
10.07.2012 um 22:45 Uhr
HSRP oder VRRP ist nur auf der Seite mit den 2 Routern relevant um das Gateway Problem bei den 2 Routern zu lösen !
Das Problem ist ja das du die HW IPs nicht verwenden kannst denn dann gehts entweder nur einzig über A oder über B. Da du aber parallele Links hast brauchst du hier ja zwingend Redundanz und genau das löst dir VRRP oder HSRP !
Alternativ kannst du auch PBR benutzen (Policy Based Routing) was allerdings einen etwas erhöhten Konfig Aufwand erzwingt.
Beide Lösungen sind machbar.
Bitte warten ..
Ähnliche Inhalte
Router & Routing
Site2Site VPN - Routing Sonicwall, Zyxel
Frage von KMUlifeRouter & Routing8 Kommentare

Hallo zusammen Ich steh momentan auf dem Schlauch und wäre froh um eure Hilfe! Über die Produkte könnt ihr ...

Windows Server
PTR Eintrag hinzufügen über Site2Site VPN
Frage von geocastWindows Server2 Kommentare

Hallo Zusammen Ich habe folgendes Szenario. Ich habe zwei Standorte. In Standort A mit Subnetz A steht ein Domain ...

Windows Netzwerk
NTP in AD-Domäne mit VPN-Aussenstellen
gelöst Frage von lcer00Windows Netzwerk5 Kommentare

Hallo zusammen, Wir haben 3 Nebenstellen über VDSL / VPN angebunden. Dort steht jeweils ein Domänencontroller (insgesamt eine AD-Domäne). ...

Exchange Server
Exchange 2013 Zertifikatsproblem - Site2Site VPN aber Clients nicht in der Domäne
gelöst Frage von jojo0411Exchange Server2 Kommentare

Hallo Leute, Ich habe einen Kunden mit Exchange 2013 als Mailserver. Durchgängig Outlook 2013 als Client. Ich habe eine ...

Neue Wissensbeiträge
MikroTik RouterOS

Mikrotik - Lets Encrypt Zertifikate mit MetaROUTER Instanz auf dem Router erzeugen

Anleitung von colinardo vor 3 StundenMikroTik RouterOS4 Kommentare

Einleitung Folgende Anleitung ist aus der Lage heraus entstanden das ein Kunde auf seinem Mikrotik sein Hotspot Captive Portal ...

Sicherheit

Sicherheitslücke in HP-Druckern - Firmware-Updates stehen bereit

Information von BassFishFox vor 4 StundenSicherheit

Ein weiterer Grund, dass Drucker keinerlei Verbindung nach "auswaerts" haben sollen. Unter Verwendung spezieller Malware können Angreifer aus der ...

Administrator.de Feedback

Entwicklertagebuch: Die Startseite wurde überarbeitet

Information von admtech vor 6 StundenAdministrator.de Feedback5 Kommentare

Hallo Administrator User, mit dem Release 5.7 haben wir unsere Startseite überarbeitet und die Beiträge und Fragen voneinander getrennt. ...

Vmware

VMware Desktopprodukte sind verwundbar

Information von Penny.Cilin vor 11 StundenVmware

Die VMware-Anwendungen zum Umgang mit virtuellen Maschinen Fusion, Horizon Client und Workstation sowie die Plattform NSX sind verwundbar. Davon ...

Heiß diskutierte Inhalte
Visual Studio
Vb.net-Tool zum Erzeugen einer Outlook-E-Mail
Frage von ahstaxVisual Studio24 Kommentare

Hallo, ich möchte gerne ein vb.net-Tool schreiben, das am Ende eine Outlook-E-Mail erzeugt. Grundsätzlich ist mir klar, wie das ...

Windows Netzwerk
Netzwerk Neustrukturierung
Frage von IT-DreamerWindows Netzwerk16 Kommentare

Hallo verehrte Community und Admins, bei uns im Haus steht eine Neustrukturierung an. Dafür benötige ich von euch ein ...

Windows Server
RDP macht Server schneller???
Frage von JaniDJWindows Server16 Kommentare

Hallo Community, wir betrieben seit geraumer Zeit diverse virtuelle Maschinen und Server mit Windows Server 2012. Leider haben wir ...

Windows 10
Windows 10 dunkler Bildschirm nach Umfallen
Frage von AkcentWindows 1015 Kommentare

Hallo, habe hier einen Windows 10 Rechner der von einem User umgefallen wurde (Beine übers Knie, an den PC ...