Redundante IPSEC IKEv1 Site2Site VPN Verbindung mit je Site 2x xDSL 2x Router Lancom/Bintec

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

Antworten
ajmind
Beiträge: 33
Registriert: 13 Okt 2017, 12:21

Redundante IPSEC IKEv1 Site2Site VPN Verbindung mit je Site 2x xDSL 2x Router Lancom/Bintec

Beitrag von ajmind »

Hallo allerseits und ein frohes neues Jahr! :D

Bisherige Konfiguration:
Werk1:
192.168.1.0
255.255.255.0
GW: 192.168.1.254

DT SDSL Business Anschluß
Feste IP
Bintec VPNAccess 25 Router
interne IP 192.168.1.254
IPSEC IKEv1 Tunnel nach WERK2

Werk2:
192.168.2.0
255.255.255.0
GW192.168.2.254

DT SDSL Business Anschluß
Feste IP
Bintec VPNAccess 25 Router
interne IP 192.168.2.254
IPSEC IKEv1 Tunnel nach WERK1

Routing zwischen beiden Standorten wird bisher mittels statischer Route gelöst!

Neue zusätzliche Konfiguration:

Werk1:
DT VDSL Anschluß
dynamische IP mit DYNDNS PRO
LANCOM R884VA Router (LCOS V9.24)
interne IP 192.168.1.73
IPSEC IKEv1 Tunnel nach WERK2
(Haltezeit 0)

Werk2:
DT VDSL Anschluß
dynamische IP mit DYNDNS PRO
LANCOM R883VAw Router (LCOS V10.00)
interne IP 192.168.2.73
IPSEC IKEv1 Tunnel nach WERK1
Haltezeit (9999)

Jetzt haben wir also zwei aktive VPN Tunnel die aktuell nichts voneinander wissen und sämtlicher Traffic geht über den "Bintec Tunnel".

Den "Lancom Tunnel" kann ich nutzen wenn ich manuell bei jedem Netzwerkknoten die statische Route anpasse, ist möglich aber nicht praktikabel.

Frage:
Gibt es eine Möglichkeit bei Ausfall der primären (Bintec)-Verbindung automatisch auf die sekundäre (Lancom)-Verbindung zu schalten?

Optional:
Den Weg zurück könnte ich manuell durchführen. Es wäre aber komfortabler wenn das auch automatisiert funktionieren würde.

Über Tipps und jegliche Hilfestellung bin ich dankbar! :D

Gruß
Ajmind
Zuletzt geändert von ajmind am 10 Jan 2019, 06:57, insgesamt 2-mal geändert.
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: Redundante IPSECv1 Site2Site VPN Verbindung mit je Site 2x xDSL 2x Router Lancom/Bintec

Beitrag von GrandDixence »

Das Betriebssystem auf den LANCOM-Geräten (LCOS) sollte aktualisiert werden:
https://www.lancom-systems.de/produkte/ ... ebersicht/

LANCOM-Geräte, die als VPN-Endpunkt arbeiten, sollten auf LCOS 10.20 Rel (oder höher) aktualisiert werden. Gemäss den LCOS-Release Notes wurden einige Mängel und Programmierfehler im VPN-Softwaremodul bis zur Version 10.20 Rel behoben. Gemäss myLANCOM:
https://www.lancom-systems.de/mylancom/
ist für die beiden LANCOM-Geräte LCOS 10.12 erhältlich. Um Kompatibilitätsprobleme oder Kinderkrankheiten zu vermeiden, sollten auf beiden LANCOM-Geräte die gleiche LCOS-Version installiert sein.

Weiter ist mit "IPSECv1" wohl "IKEv1" gemeint. IKEv1/IPSec-VPN-Tunneln sollte aus Sicherheitsgründen durch IKEv2/IPSec-VPN-Tunneln ersetzt werden. Siehe dazu auch mein Kommentar vom "27 Dez 2018, 16:41":
viewtopic.php?f=14&t=17233&p=97903#p97903

IKEv2/IPSec-Anleitungen findet man unter:
viewtopic.php?f=14&t=17229&p=97795#p97795
Zuletzt geändert von GrandDixence am 07 Jan 2019, 21:24, insgesamt 1-mal geändert.
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: Redundante IPSECv1 Site2Site VPN Verbindung mit je Site 2x xDSL 2x Router Lancom/Bintec

Beitrag von GrandDixence »

Zur eigentlichen Frage:

Beim Einsatz von LANCOM-Routern im Werk1 und Werk2 könnte ein "Load-Balancing" in der Ausprägung "Indirekte Bündelung für LAN-LAN-Kopplungen" gemäss Kapitel 6.9 "Load-Balancing" des LCOS-Referenzhandbuch eine sinnvolle Lösung sein.
https://www.lancom-systems.de/produkte/ ... lcos-1012/

Wenn der Ersatz der Bintec-Geräte durch LANCOM-Geräte eine Option ist, könnte die Backuplösung gemäss Kapitel "10.12 Backup über alternative VPN-Verbindung" des LCOS-Referenzhandbuch realisiert werden. Für die Detailkonfiguration bitte auch die LCOS Menüreferenz beachten.

Eventuell könnte die "RIP-Lösung" auch mit den Bintec-Geräten realisiert werden.

Sinnvoll wäre aus Verfügbarkeitsgründen die Verdoppelung der VPN-Tunnels:

VPN-Tunnel Nr. 1: Bintec Werk 1 => Bintec Werk 2
VPN-Tunnel Nr. 2: Bintec Werk 1 => LANCOM Werk 2

VPN-Tunnel Nr. 3: Lancom Werk 1 => Bintec Werk 2
VPN-Tunnel Nr. 4: Lancom Werk 1 => LANCOM Werk 2

Mit der Verdoppelung der VPN-Tunnels könnte in jedem Werk gleichzeitig je ein x-beliebiger VPN-Endpunkt ausfallen, und die Verbindung zwischen den beiden Werken wäre immer noch nicht beeinträchtigt!

=> Sicher können die "KMU-Profis" im Forum zum Thema "VPN-Tunnel-Redundanz" und "Load-Balancing" aus ihrer eigenen Erfahrung besser weiterhelfen...
ajmind hat geschrieben: 07 Jan 2019, 17:02Gibt es eine Möglichkeit bei Ausfall der primären (Bintec)-Verbindung automatisch auf die sekundäre (Lancom)-Verbindung zu schalten?
Eine Umschaltung der statischen Routen kann in einem LANCOM-Router leicht über die Aktionstabelle mit ICMP-Polling realisiert werden. Siehe dazu:
lancom-systems-router-aeltere-modelle-z ... tml#p75861

und das LCOS-Referenzhandbuch.
5624
Beiträge: 865
Registriert: 14 Mär 2012, 12:36

Re: Redundante IPSECv1 Site2Site VPN Verbindung mit je Site 2x xDSL 2x Router Lancom/Bintec

Beitrag von 5624 »

Der Ersatz des bintec-Geräts sollte nicht nur eine Option sein. Die Kiste dürfte schon geschätze sechs bis acht Jahre End of Life sein. Also ein massives Sicherheitsrisiko.

Auf den bintecs wird es vermutlich über eine floating static Route realisiert worden sein. Es gibt jetzt zwei Möglichkeiten, es mit LANCOM zu realisieren. Eine Variante ist VRRP. Sprich fällt der eine Router oder die überwachte Schnittstelle aus, übernimmt der zweite Router und baut den Tunnel auf. Die andere Variante wäre RIP.

Wenn die neuen VDSL-Anschlüsse Geschäftskundenanschlüsse sind, kannst du mit hoher Wahrscheinlichkeit im Kundencenter eine feste IP aktivieren.
LCS NC/WLAN
ajmind
Beiträge: 33
Registriert: 13 Okt 2017, 12:21

Re: Redundante IPSECv1 Site2Site VPN Verbindung mit je Site 2x xDSL 2x Router Lancom/Bintec

Beitrag von ajmind »

GrandDixence hat geschrieben: 07 Jan 2019, 20:35 Das Betriebssystem auf den LANCOM-Geräten (LCOS) sollte aktualisiert werden:
https://www.lancom-systems.de/produkte/ ... ebersicht/
Die beiden LANCOM Router sind ja die DT Varianten, mit LanConfig Firmware Suche wird mir kein Update angeboten. Soll / kann ich diese trotzdem auf eine höhere LCOS Version bringen? Geht das gefahrlos? (Ich bin mit LANCOM noch nicht wirklich vertraut.)
Weiter ist mit "IPSECv1" wohl "IKEv1" gemeint. IKEv1/IPSec-VPN-Tunneln sollte aus Sicherheitsgründen durch IKEv2/IPSec-VPN-Tunneln ersetzt werden. Siehe dazu auch mein Kommentar vom "27 Dez 2018, 16:41":
viewtopic.php?f=14&t=17233&p=97903#p97903
Ja du hast natürlich recht, es sollte IKEv1 heißen. Ich hatte zuerst die Verbindung mittels IKEv2 eingerichtet. Jedoch hat das DPD bzw. keep alive bei einem Wechsel der IP Adresse nicht wirklich funktioniert. Der Tunnel war auf der initiierenden Seite noch als bestehend gekennzeichnet, obwohl auf der Gegenseite kein Tunnel mehr aktiv war. Deshalb bin ich erst einmal wieder auf eine mir bekannte und funktionierende Konfiguration gewechselt. (Die im übrigen auch tadellos jeden IP Wechsel mitmacht!)

Auf jeden Fall schon mal vielen Dank für dein Input und die Mühe die die Du dir hier machst.
Gruß
ajmind
ajmind
Beiträge: 33
Registriert: 13 Okt 2017, 12:21

Re: Redundante IPSECv1 Site2Site VPN Verbindung mit je Site 2x xDSL 2x Router Lancom/Bintec

Beitrag von ajmind »

GrandDixence hat geschrieben: 07 Jan 2019, 20:55 Zur eigentlichen Frage:

Beim Einsatz von LANCOM-Routern im Werk1 und Werk2 könnte ein "Load-Balancing" in der Ausprägung "Indirekte Bündelung für LAN-LAN-Kopplungen" gemäss Kapitel 6.9 "Load-Balancing" des LCOS-Referenzhandbuch eine sinnvolle Lösung sein.
https://www.lancom-systems.de/produkte/ ... lcos-1012/

Wenn der Ersatz der Bintec-Geräte durch LANCOM-Geräte eine Option ist, könnte die Backuplösung gemäss Kapitel "10.12 Backup über alternative VPN-Verbindung" des LCOS-Referenzhandbuch realisiert werden. Für die Detailkonfiguration bitte auch die LCOS Menüreferenz beachten.
Unsere "BIntec-Verbindung" wird bald durch die TD gekappt und durch das Nachfolgeprodukt ersetzt. Dann bekommen wir wohl an beide Anschlüsse einen Zugang mit "CISCO-Geräten" hingestellt. Genaues weiß ich aber noch nicht. Wir haben dann 8 IP Adressen udn benötigen dann ja auch kein xDSL Modem mehr.

Welche LANCOM Router kämen dafür dann in Betracht?

Gruß
Ajmind
ajmind
Beiträge: 33
Registriert: 13 Okt 2017, 12:21

Re: Redundante IPSECv1 Site2Site VPN Verbindung mit je Site 2x xDSL 2x Router Lancom/Bintec

Beitrag von ajmind »

5624 hat geschrieben: 08 Jan 2019, 00:47 Der Ersatz des bintec-Geräts sollte nicht nur eine Option sein. Die Kiste dürfte schon geschätze sechs bis acht Jahre End of Life sein. Also ein massives Sicherheitsrisiko.
Die Geräte sind in der Tat schon sehr alt! Ob der Einsatz von neueren bzw. aktuellen Geräten und darauf installierte Software eine höhere Sicherheit bieten als die alten Kisten? Darüber könnte man trefflich diskutieren, gehört aber jetzt nicht zum Thema. :D
Auf den bintecs wird es vermutlich über eine floating static Route realisiert worden sein. Es gibt jetzt zwei Möglichkeiten, es mit LANCOM zu realisieren. Eine Variante ist VRRP. Sprich fällt der eine Router oder die überwachte Schnittstelle aus, übernimmt der zweite Router und baut den Tunnel auf. Die andere Variante wäre RIP.
Das schaue ich mir mal im Detail an, danke für den Hinweis.
Wenn die neuen VDSL-Anschlüsse Geschäftskundenanschlüsse sind, kannst du mit hoher Wahrscheinlichkeit im Kundencenter eine feste IP aktivieren.
Das habe ich auch gelesen, muss aber noch klären, wer bei uns diesen Zugang zum Kundencenter hat.
5624
Beiträge: 865
Registriert: 14 Mär 2012, 12:36

Re: Redundante IPSEC IKEv1 Site2Site VPN Verbindung mit je Site 2x xDSL 2x Router Lancom/Bintec

Beitrag von 5624 »

Den Kundencenterzugang kannst du dir einfach besorgen, wenn du Zugang zur Konfiguration der LANCOMs hast. Schau dir mal den Aufbau der T-Online-PPPoE-Benutzernamen an. Für die Anmeldung im Kundencenter benötigst du aus dem Benutzernamen die Zugangs- bzw. früher T-Online-Nummer, also den mittleren Teil. Dazu das PPPoE-Passwort und dann solltest du damit einfach ins Kundencenter reinkommen.
Die Geräte sind in der Tat schon sehr alt! Ob der Einsatz von neueren bzw. aktuellen Geräten und darauf installierte Software eine höhere Sicherheit bieten als die alten Kisten?
Du musst davon ausgehen, dass auf den Kisten durch Fehler in der Software irgendwelche Sicherheitslücken sein könnten, die weder behoben noch irgendwie bekannt geworden sind, da der Hersteller sich einfach nicht mehr um die Geräte kümmert.

Noch eine kleine Anmerkung am Rande: Mein Arbeitgeber gehörte früher zu einem Konzern, der seit bereits seit Ewigkeiten mit zu den größten bintec-Nutzern gehört. Bis heute sind wir mit denen befreundet und nutzen auch Dienste von denen. Letzte Woche kam die Anfrage, dass die den Tunnel zwischen uns überarbeiten und auf ein neues Gateway legen wollen. Der Hintergrund: die bintec VPN-Konzentratoren, die die vor etwa fünf Jahren angeschafft haben und heute noch von bintec, mangels Alternativen, vertrieben werden, sind kryptologisch Lichtjahre hinter dem Stand der Technik. Die RXL-Reihe, also die Nachfolger deines VPN-Access, kann bis heute nur die Diffie-Hellman-Gruppe 5. LANCOM hatte vor fünf Jahren bereits DH14 im Angebot, heute geht es bei IKEv2 hoch bis DH30, andere Anbieter können noch mehr. Klar bedeutet eine niedrigere DH-Gruppe nicht automatisch, dass die Geräte unsicher sind, aber je geringer die DH-Gruppe, um so eher besteht die Möglichkeit, dass die Kommunikation von Dritten entschlüsselt werden kann. Wenn nicht heute, dann vielleicht morgen.

Sprich wenn bintec es nicht schafft, die aktuellen Geräte an den Stand der Technik anzupassen, wie sieht es dann mit den alten Geräten aus?
Zuletzt geändert von 5624 am 10 Jan 2019, 20:45, insgesamt 1-mal geändert.
LCS NC/WLAN
Benutzeravatar
hyperjojo
Beiträge: 801
Registriert: 26 Jul 2009, 02:26

Re: Redundante IPSECv1 Site2Site VPN Verbindung mit je Site 2x xDSL 2x Router Lancom/Bintec

Beitrag von hyperjojo »

hallo,
ajmind hat geschrieben: 10 Jan 2019, 06:23Die beiden LANCOM Router sind ja die DT Varianten, mit LanConfig Firmware Suche wird mir kein Update angeboten. Soll / kann ich diese trotzdem auf eine höhere LCOS Version bringen? Geht das gefahrlos? (Ich bin mit LANCOM noch nicht wirklich vertraut.)
ja, lade dir die Firmware einfach über https://www.lancom-systems.de/downloads ... &dllang=DE bzw. https://www.lancom-systems.de/downloads ... &dllang=DE herunter und installiere diese über LANconfig (rechte Maustaste, Firmware-Verwaltung).

Die aktuelle LCOS 10.20 ist noch nicht von der Telekom freigegeben, dies wird aber in Kürze erfolgen. Also einfach bald nochmal auf die o.g. Seiten schauen.

Gruß hyperjojo
ajmind
Beiträge: 33
Registriert: 13 Okt 2017, 12:21

Re: Redundante IPSECv1 Site2Site VPN Verbindung mit je Site 2x xDSL 2x Router Lancom/Bintec

Beitrag von ajmind »

GrandDixence hat geschrieben: 07 Jan 2019, 20:55 ...
Sinnvoll wäre aus Verfügbarkeitsgründen die Verdoppelung der VPN-Tunnels:

VPN-Tunnel Nr. 1: Bintec Werk 1 => Bintec Werk 2
VPN-Tunnel Nr. 2: Bintec Werk 1 => LANCOM Werk 2

VPN-Tunnel Nr. 3: Lancom Werk 1 => Bintec Werk 2
VPN-Tunnel Nr. 4: Lancom Werk 1 => LANCOM Werk 2

Mit der Verdoppelung der VPN-Tunnels könnte in jedem Werk gleichzeitig je ein x-beliebiger VPN-Endpunkt ausfallen, und die Verbindung zwischen den beiden Werken wäre immer noch nicht beeinträchtigt!

=> Sicher können die "KMU-Profis" im Forum zum Thema "VPN-Tunnel-Redundanz" und "Load-Balancing" aus ihrer eigenen Erfahrung besser weiterhelfen...
Mit dem Wechsel der Standortverbindung hin zu DeutschlandlAN Connect IP zwischen den beiden Werken werden wir auch die beiden Bintec Router durch LANCOM Router ersetzen. (5624 hat mich mit seinen Argumenten überzeugt!)

Das TD Produkt beinhaltet den Netzzugang, ein Modem wird dann ja nicht benötigt.

Was empfehlen denn hier die LANCOM Profis für einen KMU Betrieb? R883 und R884 habe wir ja schon. Was würde dazu passen?

Eine Verdopplung der VPN Tunnel wäre natürlich toll. Vielleicht hat hier jemand noch entsprechende Empfehlungen, auch zur benötigten Hardware?

Gruß ajmind
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: Redundante IPSEC IKEv1 Site2Site VPN Verbindung mit je Site 2x xDSL 2x Router Lancom/Bintec

Beitrag von GrandDixence »

ajmind hat geschrieben: 11 Jan 2019, 14:46Vielleicht hat hier jemand noch entsprechende Empfehlungen, auch zur benötigten Hardware?
Für eine zukunftstaugliche Installation empfehle ich ein Router-Produkt, dass auch mit einem "1 GBit/s-Glasfaser-Internetanschluss" nicht überfordert ist. Am besten mit einem WAN-tauglichen SFP- oder SFP+-Port.

Für den Einstieg ins Thema "LANCOM-Router an 1 GBit/s-Glasfaseranschluss" siehe:
aktuelle-lancom-router-serie-f41/bandbr ... 17271.html

- LANCOM Techpaper "Routing-Performance"
https://www.lancom-systems.de/download/ ... 020_DE.pdf

Irgendwann in naher oder ferner Zukunft wird hoffentlich auch der letzte xDSL-Internetanschluss durch eine anständige Glasfaserleitung bis ins Haus (FTTH) ersetzt.
ajmind
Beiträge: 33
Registriert: 13 Okt 2017, 12:21

Re: Redundante IPSEC IKEv1 Site2Site VPN Verbindung mit je Site 2x xDSL 2x Router Lancom/Bintec

Beitrag von ajmind »

Aktueller Zwischenstand:

Nach den hier geposteten Empfehlungen und Hinweisen, habe ich die Firmware beider Router auf LCOS 10.12 aktualisiert.
Dank 5624 haben wir jetzt auch an beiden Anschlüssen eine feste IP-Adresse und der VPN Tunnel wurde auf IKEv2 umgestellt. Mal schauen, ob die Verbindung auch stabil und ohne Fehler bestehen bleibt.

Die alten Bintec Router sollen durch zwei LANCOM 1900EF ersetzt werden, sobald die TD die neuen Anschlüsse schaltet. (Ev. auch schon vorher, wie ich zeit habe.)

Das Thema Load-Balancing bzw. Backup-Verbindung lege ich bis dahin erst einmal auf Eis, der Aufwand lohnt nicht für die kurze Zeit mit der bisherigen Konfiguration.

Jetzt nochmals ein großes DANKESCHÖN an alle Poster! Ich melde mich hier erneut wenn das Thema akut wird.

Gruß Ajmind
Antworten