Redundante VPN-Router an Aussenstellen

[diemoories]

Liebe LANCOM Gemeinde,

ich habe stundenlang im Forum gesucht und einige aus der Lancom-kb ausprobiert, aber mein Problem wird dabei nicht zufriedenstellend gelöst.

Meine Aussenstellen verfügen über mehr oder weniger gute Modilfunkanbinung. An einigen Routern habe ich sogar zwei oder drei Anbieter an einem Router, anderswo InmarSat oder irgendwelche ISDN-Modems, die dann über Funk gehen. Soweit alles gut.

Alle Aussenstellen könne sich so mit dem Internet "irgendwie" verbinden.
Ausserdem habe ich eine Zentrale, die vornehmlich zu Datensicherungszwecken dient und die ich als Überwachungssammelpunkt nutze. Alle Ausenstellenrouter bauen hierzu VPN-Tunnel zur Zentrale auf.

Nun möchte ich an den Aussenstellen mit VRRP redundante Router ausbauen. Ich habe einiges versucht und es geht z.B., das ich einen Zwei-Router mit weitestgehend identischer Konfiguration wie auf dem Hauptrouter hochfahre. Dann passiert folgendes:

Je nachdem, welcher der bei Router an der Aussenstelle es zuerst schafft, einenn VPN-Tunnel abzuarbeiten, wird "gesehen" und arbeitet auch. Der zweite Router kommt praktisch zu spät, da die zentrale die VPN-Regeln ja nicht mehr abarbeitet, wegen identischer Netze.

Dieses Swenario ist aber unzufriedenstellend, weil
1. ich von der Zentrale immer nur den verbundenen Router sehe
2. der zweite Router brach liegt, obwohl er ja auch Bandbreite an der Aussenstelle zur Verfügung stellen könnte.

Kann mir jemand einen Tip geben, wie ich das Ganze ordentlich einrichten kann?
Im Idealfall solle an den Aussenstelle Load-Balancing zumindest mit den Hauptverbindungen funktionieren und im LANmonitor alle Router angezeigt werden.

Viele Grüße und DANK

Ralf

[Bernie137]

was du moechtest ist eine Buendelung der Leitungen,kein Loadbalancing.Man braucht fuer den VPN Tunnelendpunkt eine einzelne IP und der MLPPPoE Anbieter kuemmert sich um die Buendelung zu einer IP ueber mehrere physikalische Leitungen. Anbieter isz z.B: mehrbandbreite.de habe ich selbst im Einsatz. Suche auch in der Lancom KB nach MLPPPoE mit Lancom Routern. Ich kann hier gerade vom Smartphone den Link nicht kopieren.

Gruss Heiko

[diemoories]

Hallo Heiko,
danke für Deine Antwort. Das wäre möglicherweise eine Lösung, die allerdings die Umsetzung auf einen externen (und kostespieligen) Anbieter auslagert.

Ich suche allerdings eine Möglichkeit, die Geräte selbst zu konfigurieren, schließlich können die Lancom-Router das von Haus aus. In der Lancom Knowledge Base gibt es diese beiden Artikel:

Einrichtung eines VRRP-Verbundes:
http://www2.lancom.de/kb.nsf/1275/4926E ... enDocument

RIP zwischen zwei virtuellen Routern im VRRP-Verbund:
http://www2.lancom.de/kb.nsf/1275/36799 ... enDocument

Ich habe die beide Anleitungen sinngemäß auf meine Umgebung umgesetzt, wo

-die Aussenstellen redundant (VRRP: 1 ID, eigene IP) sind
-die Aussenstellen den VPN zur Zentrale aufbauen
-die Slave-Router im LANmonitor LANconfig erscheinen sollen

Der letzte Punkt gelingt mir allerdings nicht.

Da im LANmonitor ab und zu mal beide "aufblitzen", vermute ich das Problem bei den Routen, also RIP-Einstellungen.
Übrigens, via telnet komme ich über den jeweiligen VRRP-Master auf den entfernten VRRP-Slave.

Gruß Ralf

[Bernie137]

Hallo Ralf,

ich bin der Meinung, das geht so nicht. Du kannst es nur verteilen über 2 Router, aber nicht bündeln.
http://www2.lancom.de/kb.nsf/1275/4926E ... enDocument
Da steht: "In diesem Dokument wird die Einrichtung eines VRRP-Szenarios (Virtual Router Redundancy Protocol) mit zwei LANCOM Router erläutert. VRRP wird dazu genutzt, die Verfügbarkeit von wichtigen Gateways zu sichern. Es handelt sich hierbei also um eine Art Backup / Redundanz.
" => Nicht Bündelung!

"Die Priorität:
Das Gerät mit der höheren Priorität ist in einem VRRP-Verbund der Master, er übernimmt somit die alleinigen Router-Aufgaben. Sollte der Master-Router oder auch nur die Internetverbindung des Masters infolge eines Defekts o.ä. ausfallen, übernimmt nun das Gerät mit der niedrigeren Priorität die anstehenden Aufgaben." => Kein gleichzeitiges Arbeiten, somit keine Bündelung.

http://www2.lancom.de/kb.nsf/1275/36799 ... enDocument
Da steht: "Mehrere Außenstellen (z.B. LANCOM 1711 VPN) sollen auf 2 VPN-Gateways (z.B. LANCOM 8011) redundant verteilt werden.
z.B. insgesamt 10 VPN-Tunnel verteilt auf 2 LANCOM 8011 (jeweils 5 Tunnel). Desweiteren soll ein Ausfall der Hardware- bzw. der
Internetverbindung abgefangen werden." => So wie Du dass willst, wären es 10 VPN Tunnel auf jedem Router. Davon ist nicht die Rede.

Gruß Heiko

[diemoories]

Hallo Heiko,

ich stimme Dir zu!
Im LANCOM VRRP-Verbund gibt es in der Tat keine Bündelungsmöglichkeit auf der WAN-Seite.
Es steht von Haus aus lediglich eine Möglichkeit zur Verfügung, die Clients via DHCP auf die verschiedenen physischen Router zu verteilen. Diese wird in meinem Szenazio mit wenigen Clients und häufigen Internetausfällen kaum zufriedenstellend arbeiten.

Ich bin gerade dabei, in meiner Testumgebung (2x1780, 1xVLAN-Switch)folgendes zu versuchen:

1. VRRP/RIP2 mit zwei 1780, beide haben SIM Cards verschiedener Mobilfunkanbieter (geht schon)
2. Aufbau eines VPN zu meiner Zentrale (geht schon)
2. auf beiden 1780 als zusätzliches Internetgateway den jeweils anderen 1780 nutzen (geht schon fast...)
3. Loadbalancing mit den beiden Gegenstellen aktivieren und testen
4. Backupverhalten konfigurieren und testen

Das wäre am Ende eine elegante Lösung, wobei ich sicherlich die Prioritätenmechanik des VRRP im Auge behalten muss, damit das Ganze stabil ist.

Viele Grüße
Ralf

[Bernie137]

Hallo Ralf,

2. auf beiden 1780 als zusätzliches Internetgateway den jeweils anderen 1780 nutzen (geht schon fast...)

Du meinst unter VPN -> Allgemein -> Weitere entfernte Gateways?
Ich habe das schon mal versucht, aber bisher ist es mir nicht gelungen. Würde mich interessieren, wie Du es gelöst hast.

Gruß Heiko

[diemoories]

Ich halte Euch auf dem Laufenden!

Im Moment habe ich mit dem letzten LANmonitor-Update Probleme: er klemmt und hakt

Ralf

[diemoories]

Liebe Lancom Gemeinde!

Ich habe eine Konfigurationsfrage:
Zwei redundante VPN-Router an Aussenstellen arbeiten über VRRP und gleichen sich mit RIP2 untereinander ab. Alles schön und gut. Jetzt habe ich folgendes Problem:
Beide (Master und Slave) wollen sich immer mit der Hauptstelle verbinden. Das führt natürlich zu ziemicher Instabilität, weile der gerade verbundene Router von dem anderen früher oder später rausgeschmissen wird.

Ich möchte, dass der Vrrp-Slave keine VPN-Verbindungen aufbaut. Eigentlich dachte ich, dass er es sowieso unterlässt, wenn er über RIP die VPN-Gegenstellen-Router auf seinen Master erhalten hat.
Aber komischerweise bekomme ich ihn nur zu seinem gewünschten Verhalten, wenn ich bei ihn VPN testweise deaktiviere. Wie / Wo kann ich das gewünschte Verhalten korrekt einstellen.


Viele Grüße
Ralf

[diemoories]

...ich antworte mir man selbst:
2 redundante VRRP-Router an einer Aussenstelle unterhalten sich über RIP2. Immer nur einer soll sich über VPN mit der Zentrale verbinden (Aggr. Mode). Im Normalfall der VRRP-Master.
Der Standby-Router soll die VPN-Verbindung nur übernehmen, wenn es der Master nicht schafft. (Ansonsten gibt es nämlich oben beschriebene Effekte des gegenseitigen Herauskickens)

Ich habe alles Mögliche probiert, leider nicht mit dem gewünschten Erfolg. Das Hauptproblem ist, dass der Standby-Router einfach nicht "begreift", wann der richtige Zeitpunkt ist.
Zu erkennen ist das eigentlich eindeutig nur daran, das die über RIP propagierte VPN-Route des Masters nicht mehr erreichbar ist. (Das könnte zwar auch eintreten, wenn die Zentrale nicht erreichbar ist, aber die Problematik stelle ich mal zurück)
Ich sehe z.Zt. nur die Möglichkeit, über die Action-Tabelle etwas zu schmieden, was auf dem Slave den RIP-Eintrag überwacht und entsprechend seine eigenes VPN-Modul abschaltet.

Oder habe ich etas übersehen in den Einstellungen?

Vielen Dank
Ralf

[backslash]

Hi diemoories,

hast du denn die VPN-Gegenstelle auch unter Gegenstelle in der VRRP-Liste eingetragen? Denn nur dann wird die Verbindung nicht aufgebaut solange der virtuelle Router Slave ist.

Gruß
Backslash

[diemoories]

Hallo backslash!
Danke für Tip.
Ich hatte in der Tat die Gegenstelle aus den Liste entfernt, da ich auch nicht möchte, dass bei Ausfall der VPN Gegenstelle der Backup-Fall eintritt. Mir war nicht bewusst, dass der Slave-Router darüber seine VPN-Aktivität steuert. Aber unter normalen Umständen ist das natürlich völlig klar.

In meinem Fall (bewegliches Fahrzeug) fällt die VPN-Verbindung schon mal häufiger weg und das führt dazu, dass die Router dauernd mit der Master-Slave Umschalterei beschäftigt sind und das System zu unstabil wird. Wenn ich die Gegenstellen aus der VRRP-Liste entferne, zeigt das System das gewünschte Verhalten, was sich auch bei längeren Traces von VPN, VRRP und RIP bestätigt. Letztenendes sind auch die aktuellen Routing-Tabellen auf beiden Geräten so, wie es sein sollte. Einziges Problem ist nur das Verhalten des VPN-Moduls des Slave-Routers, welches sich offensichtlich nicht die vorhandenen Routen ansieht, sondern, wie ich nun weis, seine Aktivität nach dem VRRP-Status richtet.

Zwischenzeitlich habe ich getestet, was passiert, wenn ich dem Slave-Router in den VPN-Einstellungen statt der 9999 (sofortige Einwahl) etwas anderes (z.B. 60) eingebe. Aber das Ergebnis ist, das er auch dann nach einer gewissen Zeit versucht, einen VPN aufzubauen. Was mit der VRRP-Abhängigkeit aber auch logisch ist.

Derzeit teste ich, nur bei dem Router, der vorzugsweise Slave Router sein soll, die VPN Gegenstelle in die VRRP-Liste einzutragen. Auf jeden Fall sieht man schon, dass der Slave-Router keine VPN-Verbindungsversuche unternimmt. Damit ist der Zusammenhang zwischen VRRP und VPN bestätigt. Das ist schon mal gut, jetzt folgen die Tests der verschiedenen Betriebszustände, das dauert eine Weile.

Ich berichte...
Viele Grüße und vielen Dank für die Insider-Tipps!!
Ralf