Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Site2Site VPN Failover von Aussenstelle zu HQ

Frage Microsoft Windows Netzwerk

Mitglied: 1x1speed

1x1speed (Level 1) - Jetzt verbinden

06.07.2012, aktualisiert 07.07.2012, 3601 Aufrufe, 4 Kommentare

Hallo,

ich habe folgendes Problem zu dem ich ein paar Gedankenanstöße benötige. In meinem HQ sind zwei Router A und B (Cisco 28er Serie) aktiv, welche jeweils über einen DSL mit fester IP ans Internet angebunden sind.
Die Remote Standorte (Cisco Router 1800er Serie) bauen die Verbindung momentan nur zu dem Router A im HQ per Site2Site VPN auf. Wenn nun der Connect des Routers A zum Internet unterbrochen ist können die Remote Standorte nicht mehr auf das LAN im HQ zugreifen.

Gibt es eine Möglichkeit, die Router an den Remote Standorten so zu konfigurieren, daß diese sobald die VPN zum Router A für länger als z.B. 30 Sec. unterbrochen wird versuchen mit dem Router B über den Backup ISP eine VPN aufzubauen?

THX
Mitglied: 1x1speed
07.07.2012, aktualisiert um 12:03 Uhr
Hallo,

auf dem Remote Router der die VPN ins HQ initiiert habe ich die Config wie folgt angepasst:

01.
crypto isakmp key <MyK3y> address <Peer 1 Router A> 
02.
crypto isakmp key <MyK3y> address <Peer 2 Router B> 
03.
crypto isakmp keepalive 10 periodic 
04.
05.
06.
crypto ipsec transform-set myset esp-aes 256 esp-sha-hmac 
07.
08.
crypto map mymap 10 ipsec-isakmp 
09.
 set peer <Peer 1 Router A> default  
10.
 set peer <Peer 2 Router A> 
11.
 set transform-set myset 
12.
 match address 102
Sobald ich den DSL von Router A deaktiviere ist in der Aussenstelle kurz die VPN weg und danach baut der Router die Verbindung über Peer 2 zu Router B im HQ auf. Soweit so gut...

Beim Zuschalten der DSL Verbindung auf Router A schwenkt der Router in der Aussenstelle jedoch nicht wieder automatisch zurück. Wahrscheinlich erst nach der nächsten Zwangstrennung des ISP in der Aussenstelle.

Leider ist es auf dem Router der Aussenstelle nach der Aktivierung der Verbindung über Peer 2 aber nicht möglich im LAN des HQ eine IP zu erreichen, obwohl die Config des Routers B von den ACLs identisch dem Router A ist.

Beste Grüße
Bitte warten ..
Mitglied: aqui
08.07.2012 um 20:59 Uhr
Ja, das ist klar, da du vermutlich statisch immer über Router A ins HQ routest und dann rennt der Traffic ins Nirvana wenn der Peer tot ist.
OK dein VPN Backup funtioniert ja problemlos.
Was du zusätzlich machen musst ist dynamisch zu routen mit RIPv2 oder OSPF. Damit "lernen" die Aussenstellen Router sofort dynamisch die Route über den Backup Peer.
Sinnvollerweise konfigurierst du an den beiden LAN Ports der Router A und B im HQ noch HSRP oder VRRP um die Gateway Problematik zu lösen !
Damit hättest du dann eine klassische Standardlösung für dieses Szenario !
Bitte warten ..
Mitglied: 1x1speed
10.07.2012 um 13:57 Uhr
Hallo Aqui,

danke für deine Antwort. Den OSPF Fehler hab ich auf dem Router B im HQ gefunden und gefixt. Die HSRP Thematik habe ich auch gefunden. Mir ist jedoch nicht klar wie das genau funktionieren soll. Da die Außenstellen die VPN initialisieren müsste ja die virtuelle IP irgendwie über den ISP propagiert werden. Da es bei mir zwei verschiedene ISPs sind wird das eher problematisch.

Bei der aktuellen Config ist nun jedoch das Problem, daß der Router von der Teststellung zuerst mit dem default Peer (VDSL) verbunden hat, nachts aber nach der Zwangstrennung durch den Provider auf den Backup DSL (ADSL+) verbindet und diesen auch verbunden lässt. wenn nun nachts die Zwangstrennung des Backup DSL immer nach dem VDSL liegt, wird der Standort immer auf der langsamen Leitung arbeiten.

Ich könnte mir noch vorstellen, die Config dahingehend anzupassen, daß auf dem Router der Außenstelle zwei Cryptomaps mit gleicher Bezeichnung jeweils für einen der Peers mit einer Sequenznummer konfiguriert werden und dann ein Tracking der Verbindung erfolgt. Ich hab aber keine Iidee wie die Config des Tackings und Verwendung der jeweiligen Map ausschaut.

Gruß 1x1speed
Bitte warten ..
Mitglied: aqui
10.07.2012 um 22:45 Uhr
HSRP oder VRRP ist nur auf der Seite mit den 2 Routern relevant um das Gateway Problem bei den 2 Routern zu lösen !
Das Problem ist ja das du die HW IPs nicht verwenden kannst denn dann gehts entweder nur einzig über A oder über B. Da du aber parallele Links hast brauchst du hier ja zwingend Redundanz und genau das löst dir VRRP oder HSRP !
Alternativ kannst du auch PBR benutzen (Policy Based Routing) was allerdings einen etwas erhöhten Konfig Aufwand erzwingt.
Beide Lösungen sind machbar.
Bitte warten ..
Ähnliche Inhalte
Windows Server
PTR Eintrag hinzufügen über Site2Site VPN (2)

Frage von geocast zum Thema Windows Server ...

Router & Routing
Site2Site VPN - Routing Sonicwall, Zyxel (8)

Frage von KMUlife zum Thema Router & Routing ...

Netzwerkmanagement
IPSEC VPN (Site2Site) bricht Child SA ab - ZyXEL USG - PfSense (2)

Frage von itschloegl zum Thema Netzwerkmanagement ...

Router & Routing
Zyxel DSL-Router - VPN einrichten (8)

Frage von adm999 zum Thema Router & Routing ...

Neue Wissensbeiträge
Windows 10

Windows 8.x oder 10 Lizenz-Key aus dem ROM auslesen mit Linux

(6)

Tipp von Lochkartenstanzer zum Thema Windows 10 ...

Tipps & Tricks

Wie Hackt man sich am besten in ein Computernetzwerk ein

(40)

Erfahrungsbericht von Herbrich19 zum Thema Tipps & Tricks ...

Heiß diskutierte Inhalte
Windows 10
gelöst Windows 10 Home "Netzlaufwerk nicht bereit" (19)

Frage von Oggy01 zum Thema Windows 10 ...

Exchange Server
gelöst RU 17 Exchange 2010 . Erfahrungen? (10)

Frage von keine-ahnung zum Thema Exchange Server ...

Datenbanken
gelöst MySQL Zeiterfassungs-Problematik (wer ist eingecheckt) (9)

Frage von NativeMode zum Thema Datenbanken ...

Windows Server
Festplatten Ruhezustand Windows Server 2016 (8)

Frage von ahaeuser zum Thema Windows Server ...