Hallo,
wie konfiguriert man einen Backup-Fall bei 2 VPN Verbindungen vom Typ IKEv2?
Die Backup Tabelle habe ich konfiguriert. Die Backup-Verbindung springt aber noch nicht ein, wenn man das WAN-Kabel von der Standard-Verbindung entfernt.
Szenario:
Es geht um 2x 1783VAW Geräte:
1x Zentrale (2 Internetanschlüsse, 1x Telekom Business und 1x Unitymedia Business, jeweils mit festen IP-Adressen)
1x Filiale (1 Internetanschluss, dynamische IP-Adresse)
Die VPN-Verbindungen zwischen Zentrale und Filiale funktionieren beide fehlerfrei und auch ein VPN-Balancer funktioniert.
Ich würde lieber einen Backup-Fall konfigurieren.
Was muss man noch konfigurieren (außer Backup-Tabelle), damit die Backup-Verbindung einspringt, wenn die Standard-Verbindung ausfällt?
Vielen Dank im Voraus.
Lg, Dragos
VPN IKEv2 Backup Verbindung
Moderator: Lancom-Systems Moderatoren
Re: VPN IKEv2 Backup Verbindung
Hallo Dragos,
was hast Du in der Backup-Tabelle konfiguriert? Doch das Backup der WAN-Verbindung (und nicht der VPN-Verbindung). Und das wird dann sicherlich funktionieren, oder?
Aber was ändert sich mit der Backup-Verbindung? Genau, die WAN-IP. Je nachdem, was Du da im VPN-Bereich konfiguriert hast, musst Du das natürlich berücksichtigen.
Ich würde hier den klassischen Ansatz gehen und in der Filiale beide WAN-IPs der Zentrale hinterlegen (-> Tabelle: Weitere entfernte Gateways).
Viele Grüße,
Jirka
P.S.: Nachdem ich Backslashs Beitrag lese, merke ich, dass ich ein wenig oberflächlich gelesen habe. Dass da zwei VPN-Verbindungen gleichzeitig existieren von der Filiale zur Zentrale hatte ich so nicht gelesen gehabt, sorry. Von daher etwas daneben. Aber ein Backup über die Tabelle Weitere entfernte Gateways ist natürlich trotzdem möglich und stellt somit auch eine mögliche Lösung dar.
was hast Du in der Backup-Tabelle konfiguriert? Doch das Backup der WAN-Verbindung (und nicht der VPN-Verbindung). Und das wird dann sicherlich funktionieren, oder?
Aber was ändert sich mit der Backup-Verbindung? Genau, die WAN-IP. Je nachdem, was Du da im VPN-Bereich konfiguriert hast, musst Du das natürlich berücksichtigen.
Ich würde hier den klassischen Ansatz gehen und in der Filiale beide WAN-IPs der Zentrale hinterlegen (-> Tabelle: Weitere entfernte Gateways).
Viele Grüße,
Jirka
P.S.: Nachdem ich Backslashs Beitrag lese, merke ich, dass ich ein wenig oberflächlich gelesen habe. Dass da zwei VPN-Verbindungen gleichzeitig existieren von der Filiale zur Zentrale hatte ich so nicht gelesen gehabt, sorry. Von daher etwas daneben. Aber ein Backup über die Tabelle Weitere entfernte Gateways ist natürlich trotzdem möglich und stellt somit auch eine mögliche Lösung dar.
Zuletzt geändert von Jirka am 27 Sep 2017, 15:47, insgesamt 1-mal geändert.
Re: VPN IKEv2 Backup Verbindung
Hi G_StarRAW,
Gruß
Backslash
nichts... Die Frage ist nur, ob das Verhalten des Backups deinen Erwartungen entspricht...Was muss man noch konfigurieren (außer Backup-Tabelle), damit die Backup-Verbindung einspringt, wenn die Standard-Verbindung ausfällt?
- Damit die Backupverbindung "sofort" anspringt, müssen Haupt- und Backupverbindung als Keep-Alive-Verbindunge (Haltezeit 9999) konfiguriert sein. Ansonsten wird nur aufgebaut, wenn auch tatsächlich Traffic läuft.
- "sofort" heißt: nach Ablauf der Backup-Sperrzeit (unter Kommunikation -> Ruf-Verwaltung -> Backup-Verbindung nach ... Sekunden)
Gruß
Backslash
Re: VPN IKEv2 Backup Verbindung
Hi backslash,
soll auf der Zentrale nur eine VPN-Verbindung und auf der Filiale 2 gleiche VPN-Verbindungen (nur mit untersciedlichen IP-Adressen Richtung Zentrale) konfiguriert werden?
Die VPN-Verbindungen, die ich bisher konfiguriert habe, sind doch unterschiedlich, dass beide parallel laufen können (nur PSK und lokale und entfernte ID).
In der Filiale sind die beiden VPN-Verbindungen auf "Keep Alive" eingestellt und die Backup-Zeit bei 20 Sekunden.
Die Firmware auf den beiden LANCOM Geräten ist auf dem letzten Stand: 10.12.0082
Lieben Gruß
Dragos
soll auf der Zentrale nur eine VPN-Verbindung und auf der Filiale 2 gleiche VPN-Verbindungen (nur mit untersciedlichen IP-Adressen Richtung Zentrale) konfiguriert werden?
Die VPN-Verbindungen, die ich bisher konfiguriert habe, sind doch unterschiedlich, dass beide parallel laufen können (nur PSK und lokale und entfernte ID).
In der Filiale sind die beiden VPN-Verbindungen auf "Keep Alive" eingestellt und die Backup-Zeit bei 20 Sekunden.
Die Firmware auf den beiden LANCOM Geräten ist auf dem letzten Stand: 10.12.0082
Lieben Gruß
Dragos
Zuletzt geändert von G_StarRAW am 27 Sep 2017, 18:53, insgesamt 2-mal geändert.
Re: VPN IKEv2 Backup Verbindung
Hallo Jirka,
das ist kein Problem
Soll ich in der Zentrale eine VPN-Verbindung löschen und in der Filiale 2 gleichen VPN-Verbindungen konfigurieren (gleiche PSK & Identitäten, jedoch verschiedene IP-Adressen zur Zentrale)?
Lieben Gruß
Dragos
das ist kein Problem
Soll ich in der Zentrale eine VPN-Verbindung löschen und in der Filiale 2 gleichen VPN-Verbindungen konfigurieren (gleiche PSK & Identitäten, jedoch verschiedene IP-Adressen zur Zentrale)?
Lieben Gruß
Dragos
Re: VPN IKEv2 Backup Verbindung
Hi G_StarRAW,
Das Backup kannst du dir im "Display"-Trace anschauen (auch wenn da nicht allzu viel zu sehen ist)
Gruß
für ein VPN-Backup brauchst du auch in der Zentrale *zwei* Endbunkte, denn sonst schaffst du es ja nicht die Hauptverbindung wieder aufzubauen, wenn der Weg wieder frei ist. Wenn du in der Zentrale nur ein Gateway hast, dann kannst du kein VPN-Backup nutzen - da bleibt dir nur der Weg über das Backup der Internetverbindung...soll auf der Zentrale nur eine VPN-Verbindung und auf der Filiale 2 gleiche VPN-Verbindungen (nur mit untersciedlichen IP-Adressen Richtung Zentrale) konfiguriert werden?
wie jetzt? Doch zwei Endpunklte in der Zentrale? Wie dem auch sei: Uber den Eintrag in der Backup-Tabelle wird beiden Verbindungen der gleiche Phase-2 Regelsatz zugewiesen, d.h. es sind zumindest Netzwerktechnisch *KEINE* unterschiedlichen VerbindungenDie VPN-Verbindungen, die ich bisher konfiguriert habe, sind doch unterschiedlich, dass beide parallel laufen können (nur PSK und lokale und entfernte ID).
dann sollte 20 Skeunden nach Ausfall der Hauptverbindung die Backupverbindung aufgebaut werden - zumindest wenn die Hauptverbindung mit einem DPP-Fehler abbaut. Ansonsten kann es noch eine weiteren Aufbauversuch (+ 30 Sekunden) dauern, bis das Backup losgeht.In der Filiale sind die beiden VPN-Verbindungen auf "Keep Alive" eingestellt und die Backup-Zeit bei 20 Sekunden.
Das Backup kannst du dir im "Display"-Trace anschauen (auch wenn da nicht allzu viel zu sehen ist)
Gruß
Re: VPN IKEv2 Backup Verbindung
Hallo backslash,
Problem gelöst, Fehler gefunden mithilfe von LANCOM Support!!!
Man braucht nur eine einzige VPN-Verbindung zwischen der Zentrale und der Filiale, das war der Fehler.
Dann muss man nur noch in der Filiale (da die Filiale die VPN-Verbindung aufbaut) unter "Weitere entfernte Gateways" die VPN-Verbindung auswählen und als "Gateway 2" soll man die feste WAN-IP-Adresse von dem zweiten WAN-Anschluss der Zentrale eingeben.
Man braucht auch keine Backup-Zeit mehr einzugeben, die Filiale baut sofort und ohne Zeitlimit die VPN-Verbindung über Gateway 2 auf, sobald die benutzte WAN-Verbindung ausfällt.
Und es funktioniert
Vielen Dank für eure Hilfe!!!
Lieben Gruß
Dragos
Problem gelöst, Fehler gefunden mithilfe von LANCOM Support!!!
Man braucht nur eine einzige VPN-Verbindung zwischen der Zentrale und der Filiale, das war der Fehler.
Dann muss man nur noch in der Filiale (da die Filiale die VPN-Verbindung aufbaut) unter "Weitere entfernte Gateways" die VPN-Verbindung auswählen und als "Gateway 2" soll man die feste WAN-IP-Adresse von dem zweiten WAN-Anschluss der Zentrale eingeben.
Man braucht auch keine Backup-Zeit mehr einzugeben, die Filiale baut sofort und ohne Zeitlimit die VPN-Verbindung über Gateway 2 auf, sobald die benutzte WAN-Verbindung ausfällt.
Und es funktioniert
Vielen Dank für eure Hilfe!!!
Lieben Gruß
Dragos
Re: VPN IKEv2 Backup Verbindung
Hallo,
ich grabe den alten Beitrag mal aus....
Da es bei mir exakt so ist wie bei Dragos noch folgende Zusatzfrage:
Das Backup springt an...prima.
Aber wie erfolgt der Switchback wenn die Hauptleitung wieder hochkommt?
Für die Filiale ist ja alles prima, denn der Tunnel steht ja auf dem Backup....
Der Action Handler in der Filiale bekommt ja nicht mit, wenn in der Zentrale die Hauptverbindung wieder steht.
Oder ist da der Ansatz im AH der Filiale die Zentrale anzupingen und bei Erfolg auf der Hauptleitung dann die VPN Verbindung neu zu starte hilfreich?
Da würde mir aber nur einfallen, die VPN Vebindung zu deaktivieren und dann wieder zu aktivieren.
Oder geht das auch einfacher ?
Danke
S.
ich grabe den alten Beitrag mal aus....
Da es bei mir exakt so ist wie bei Dragos noch folgende Zusatzfrage:
Das Backup springt an...prima.
Aber wie erfolgt der Switchback wenn die Hauptleitung wieder hochkommt?
Für die Filiale ist ja alles prima, denn der Tunnel steht ja auf dem Backup....
Der Action Handler in der Filiale bekommt ja nicht mit, wenn in der Zentrale die Hauptverbindung wieder steht.
Oder ist da der Ansatz im AH der Filiale die Zentrale anzupingen und bei Erfolg auf der Hauptleitung dann die VPN Verbindung neu zu starte hilfreich?
Da würde mir aber nur einfallen, die VPN Vebindung zu deaktivieren und dann wieder zu aktivieren.
Oder geht das auch einfacher ?
Danke
S.
Re: VPN IKEv2 Backup Verbindung
Hi firefox_i,
Gruß
Backslash
Wenn die Zentrale ihre Hauptverbindung wieder aufgebaut hat, dann trennt sie ihre Backupverbindung... Vorher schickt sie noch eine "delete notification" für die IKE-SA an die Filiale... Wenn diese nicht im Internet verlorengeht, dann trennt die Filiale den VPN-Tunnel und baut ihn wieder neu auf - zur "Hauptverbindung!" der Zentrale. Geht die "delete notification" verloren, so bleibt nur noch DPD oder ICMP-Polling, um den Zusammenbruch der VPN-Verbindung festzustellen (aber das ist ja eh aktiv, denn sonst hätte nicht auf die Backupverbindung umgeschaltet werden können)...Aber wie erfolgt der Switchback wenn die Hauptleitung wieder hochkommt?
Für die Filiale ist ja alles prima, denn der Tunnel steht ja auf dem Backup....
Der Action Handler in der Filiale bekommt ja nicht mit, wenn in der Zentrale die Hauptverbindung wieder steht.
Gruß
Backslash