Site to Site VPN Redundanz aufbauen mit Netzwerkzeichnung

[server-admin]

Hallo,

folgendes Szenario:

Standort 1 ist mit Standort 2 über Site to Site VPN verbunden, jetzt bekommt Standort 1 eine neue Internetleitung mit
einem 2 Router.

Ziel: Standort 2 soll auch über den neuen Router mit Site to Site VPN angebunden, so dass bei einem Ausfall der Internetleitung 1 im Standort 1
der Datenverkehr über den neuen Router 2 läuft.

Kann man dies so realisieren wie auf der Netzwerkzeichnung? können beide Router im selben Subnet bleiben? oder gibt es routingprobleme?

Danke und Gruß
server-admin

http://www.bilder-upload.eu/show.php?fi ... 767356.jpg

[backslash]

Hi server-admin,

es gibt viele Lösungen, jenachdem, ob die zweite Internetverbindung ständig online ist oder ob sie nur als Backup dienen soll.

Wenn sie nur als Backup dienen soll, löst du das Ganze einfach indem du beide Router zunächst exakt gleich konfigurierst und danach auf beiden VRRP aktiviest, wobei
a) der virtuelle Router auf beiden Router mit der Internet-Verbindung gekoppelt wird:

Code: Alles auswählen

Router-ID  virt.-Address    Prio    B-Prio  Peer              
-----------------------------------------------------------
1          192.168.1.1       100     0       INTERNET

und b) Router 1 eine höhere Priorität bekommt als Router 2, z.B. 100 für Router 1 und 50 für Router 2

Wenn der VPN-Tunnel von Standort 1 zu Standort 2 aufgebaut wird, dann war es das...

Wenn der VPN-Tunnel von Standort 2 zu Standort 1 aufgebaut wird, dann mußt du an Standort 2 für die VPN-Strecke noch die öffentliche IP des zweiten Routers als "weiteres entferntes Gateway" eintragen... Dabei solltest du den Schalter "Anfangen mit" auf "Erstem" stellen, damit es beim Rückfall zur "Hauptverbindung" nicht erst zu einem Timeout kommen muß.

Wenn du mit Preshared-Keys arbeitest und keine DNS-Auflösung für öffentlichen Adressen der Router eingerichtet hast, dann mußt du für die VPN-Verbindung ggf. noch dynamic VPN (über UDP) aktivieren.


Gruß
Backslash

[server-admin]

Edit:

Ich will die Site to Site VPN Verbindung auf dem alten Router löschen und primär auf dem neuen erstellen,
dort würde ich weiteres entferntes Gateway was auf den alten Router verweist.

Wie sollte das Setup aussehen?

1. Bestehende VPN Konfig auf Router1 Standort1 und Standort2 löschen.
2. Neue Site to Site VPN Konfig erstellen auf neuem Router 2 und Standort 2 Router und im Standort2 Router entferntes Gateway eintragen welches auf den alten Router Standort 1 verweist.
3. Wie bekomme ich die VPN Konfig jetzt vom neuen Router 2 auf den alten Router1 ?

[backslash]

Hi server-admin,

permanent wirst du das nicht hinbekommen, weil die Netzbeziehungen im IPSec eindeutig sein müssen. Hier hättest du aber in Standort 2 zwei VPN-Verbindungen mit den selben Netzbeziehungen... Am Standort 2 darf es immer nur eine aktive VPN-Verbindung zum Standort 1 geben und du mußt mit einer Unterbrechung leben.

Die einzige Chance wäre ein Loadbalancer aus PPTP-Verbindungen, die du über zwei (verschiedene!) Extranet-VPNs aufbaust - aber auch da hattest du beim Zusammenbruch einer Leitung eine Unterbrechung auf allen Sessions, die diese Leitung nutzen. Zudem weisst du dann nicht, ob der Datenverkehr über die schnelle oder die langsame Verbindung läuft. Als letztes hast du in Standort 1 das Problem, daß die beiden Loadbalancer-PPTP-Verbindungen auf verschiedenen Routern enden, während die Rechner in Standort 1 alle nur ein Default-Gateway kennen... Um das zu lösen müßte die PPTP-Verbindung, die über das VPN im Router 2 reinkommt, auch auf dem Router 1 terminiert werden.

Du siehst: man kann das Ganze beliebig kompliziert machen...

Gruß
Backslash