4
Site2Site VPN Failover von Aussenstelle zu HQ
Hallo,
ich habe folgendes Problem zu dem ich ein paar Gedankenanstöße benötige. In meinem HQ sind zwei Router A und B (Cisco 28er Serie) aktiv, welche jeweils über einen DSL mit fester IP ans Internet angebunden sind.
Die Remote Standorte (Cisco Router 1800er Serie) bauen die Verbindung momentan nur zu dem Router A im HQ per Site2Site VPN auf. Wenn nun der Connect des Routers A zum Internet unterbrochen ist können die Remote Standorte nicht mehr auf das LAN im HQ zugreifen.
Gibt es eine Möglichkeit, die Router an den Remote Standorten so zu konfigurieren, daß diese sobald die VPN zum Router A für länger als z.B. 30 Sec. unterbrochen wird versuchen mit dem Router B über den Backup ISP eine VPN aufzubauen?
THX
ich habe folgendes Problem zu dem ich ein paar Gedankenanstöße benötige. In meinem HQ sind zwei Router A und B (Cisco 28er Serie) aktiv, welche jeweils über einen DSL mit fester IP ans Internet angebunden sind.
Die Remote Standorte (Cisco Router 1800er Serie) bauen die Verbindung momentan nur zu dem Router A im HQ per Site2Site VPN auf. Wenn nun der Connect des Routers A zum Internet unterbrochen ist können die Remote Standorte nicht mehr auf das LAN im HQ zugreifen.
Gibt es eine Möglichkeit, die Router an den Remote Standorten so zu konfigurieren, daß diese sobald die VPN zum Router A für länger als z.B. 30 Sec. unterbrochen wird versuchen mit dem Router B über den Backup ISP eine VPN aufzubauen?
THX
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 187598
Url: https://administrator.de/contentid/187598
Printed on: April 25, 2024 at 08:04 o'clock
4 Comments
Latest comment
Hallo,
auf dem Remote Router der die VPN ins HQ initiiert habe ich die Config wie folgt angepasst:
Sobald ich den DSL von Router A deaktiviere ist in der Aussenstelle kurz die VPN weg und danach baut der Router die Verbindung über Peer 2 zu Router B im HQ auf. Soweit so gut...
Beim Zuschalten der DSL Verbindung auf Router A schwenkt der Router in der Aussenstelle jedoch nicht wieder automatisch zurück. Wahrscheinlich erst nach der nächsten Zwangstrennung des ISP in der Aussenstelle.
Leider ist es auf dem Router der Aussenstelle nach der Aktivierung der Verbindung über Peer 2 aber nicht möglich im LAN des HQ eine IP zu erreichen, obwohl die Config des Routers B von den ACLs identisch dem Router A ist.
Beste Grüße
auf dem Remote Router der die VPN ins HQ initiiert habe ich die Config wie folgt angepasst:
crypto isakmp key <MyK3y> address <Peer 1 Router A>
crypto isakmp key <MyK3y> address <Peer 2 Router B>
crypto isakmp keepalive 10 periodic
!
!
crypto ipsec transform-set myset esp-aes 256 esp-sha-hmac
!
crypto map mymap 10 ipsec-isakmp
set peer <Peer 1 Router A> default
set peer <Peer 2 Router A>
set transform-set myset
match address 102Sobald ich den DSL von Router A deaktiviere ist in der Aussenstelle kurz die VPN weg und danach baut der Router die Verbindung über Peer 2 zu Router B im HQ auf. Soweit so gut...
Beim Zuschalten der DSL Verbindung auf Router A schwenkt der Router in der Aussenstelle jedoch nicht wieder automatisch zurück. Wahrscheinlich erst nach der nächsten Zwangstrennung des ISP in der Aussenstelle.
Leider ist es auf dem Router der Aussenstelle nach der Aktivierung der Verbindung über Peer 2 aber nicht möglich im LAN des HQ eine IP zu erreichen, obwohl die Config des Routers B von den ACLs identisch dem Router A ist.
Beste Grüße
Ja, das ist klar, da du vermutlich statisch immer über Router A ins HQ routest und dann rennt der Traffic ins Nirvana wenn der Peer tot ist.
OK dein VPN Backup funtioniert ja problemlos.
Was du zusätzlich machen musst ist dynamisch zu routen mit RIPv2 oder OSPF. Damit "lernen" die Aussenstellen Router sofort dynamisch die Route über den Backup Peer.
Sinnvollerweise konfigurierst du an den beiden LAN Ports der Router A und B im HQ noch HSRP oder VRRP um die Gateway Problematik zu lösen !
Damit hättest du dann eine klassische Standardlösung für dieses Szenario !
OK dein VPN Backup funtioniert ja problemlos.
Was du zusätzlich machen musst ist dynamisch zu routen mit RIPv2 oder OSPF. Damit "lernen" die Aussenstellen Router sofort dynamisch die Route über den Backup Peer.
Sinnvollerweise konfigurierst du an den beiden LAN Ports der Router A und B im HQ noch HSRP oder VRRP um die Gateway Problematik zu lösen !
Damit hättest du dann eine klassische Standardlösung für dieses Szenario !
Hallo Aqui,
danke für deine Antwort. Den OSPF Fehler hab ich auf dem Router B im HQ gefunden und gefixt. Die HSRP Thematik habe ich auch gefunden. Mir ist jedoch nicht klar wie das genau funktionieren soll. Da die Außenstellen die VPN initialisieren müsste ja die virtuelle IP irgendwie über den ISP propagiert werden. Da es bei mir zwei verschiedene ISPs sind wird das eher problematisch.
Bei der aktuellen Config ist nun jedoch das Problem, daß der Router von der Teststellung zuerst mit dem default Peer (VDSL) verbunden hat, nachts aber nach der Zwangstrennung durch den Provider auf den Backup DSL (ADSL+) verbindet und diesen auch verbunden lässt. wenn nun nachts die Zwangstrennung des Backup DSL immer nach dem VDSL liegt, wird der Standort immer auf der langsamen Leitung arbeiten.
Ich könnte mir noch vorstellen, die Config dahingehend anzupassen, daß auf dem Router der Außenstelle zwei Cryptomaps mit gleicher Bezeichnung jeweils für einen der Peers mit einer Sequenznummer konfiguriert werden und dann ein Tracking der Verbindung erfolgt. Ich hab aber keine Iidee wie die Config des Tackings und Verwendung der jeweiligen Map ausschaut.
Gruß 1x1speed
danke für deine Antwort. Den OSPF Fehler hab ich auf dem Router B im HQ gefunden und gefixt. Die HSRP Thematik habe ich auch gefunden. Mir ist jedoch nicht klar wie das genau funktionieren soll. Da die Außenstellen die VPN initialisieren müsste ja die virtuelle IP irgendwie über den ISP propagiert werden. Da es bei mir zwei verschiedene ISPs sind wird das eher problematisch.
Bei der aktuellen Config ist nun jedoch das Problem, daß der Router von der Teststellung zuerst mit dem default Peer (VDSL) verbunden hat, nachts aber nach der Zwangstrennung durch den Provider auf den Backup DSL (ADSL+) verbindet und diesen auch verbunden lässt. wenn nun nachts die Zwangstrennung des Backup DSL immer nach dem VDSL liegt, wird der Standort immer auf der langsamen Leitung arbeiten.
Ich könnte mir noch vorstellen, die Config dahingehend anzupassen, daß auf dem Router der Außenstelle zwei Cryptomaps mit gleicher Bezeichnung jeweils für einen der Peers mit einer Sequenznummer konfiguriert werden und dann ein Tracking der Verbindung erfolgt. Ich hab aber keine Iidee wie die Config des Tackings und Verwendung der jeweiligen Map ausschaut.
Gruß 1x1speed
HSRP oder VRRP ist nur auf der Seite mit den 2 Routern relevant um das Gateway Problem bei den 2 Routern zu lösen !
Das Problem ist ja das du die HW IPs nicht verwenden kannst denn dann gehts entweder nur einzig über A oder über B. Da du aber parallele Links hast brauchst du hier ja zwingend Redundanz und genau das löst dir VRRP oder HSRP !
Alternativ kannst du auch PBR benutzen (Policy Based Routing) was allerdings einen etwas erhöhten Konfig Aufwand erzwingt.
Beide Lösungen sind machbar.
Das Problem ist ja das du die HW IPs nicht verwenden kannst denn dann gehts entweder nur einzig über A oder über B. Da du aber parallele Links hast brauchst du hier ja zwingend Redundanz und genau das löst dir VRRP oder HSRP !
Alternativ kannst du auch PBR benutzen (Policy Based Routing) was allerdings einen etwas erhöhten Konfig Aufwand erzwingt.
Beide Lösungen sind machbar.
