VPN IKEv2 Backup Verbindung

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

Antworten
Benutzeravatar
G_StarRAW
Beiträge: 52
Registriert: 12 Feb 2012, 11:26
Wohnort: Köln

VPN IKEv2 Backup Verbindung

Beitrag von G_StarRAW »

Hallo,

wie konfiguriert man einen Backup-Fall bei 2 VPN Verbindungen vom Typ IKEv2?
Die Backup Tabelle habe ich konfiguriert. Die Backup-Verbindung springt aber noch nicht ein, wenn man das WAN-Kabel von der Standard-Verbindung entfernt.

Szenario:
Es geht um 2x 1783VAW Geräte:
1x Zentrale (2 Internetanschlüsse, 1x Telekom Business und 1x Unitymedia Business, jeweils mit festen IP-Adressen)
1x Filiale (1 Internetanschluss, dynamische IP-Adresse)
Die VPN-Verbindungen zwischen Zentrale und Filiale funktionieren beide fehlerfrei und auch ein VPN-Balancer funktioniert.

Ich würde lieber einen Backup-Fall konfigurieren.
Was muss man noch konfigurieren (außer Backup-Tabelle), damit die Backup-Verbindung einspringt, wenn die Standard-Verbindung ausfällt?

Vielen Dank im Voraus.

Lg, Dragos
Benutzeravatar
Jirka
Beiträge: 5225
Registriert: 03 Jan 2005, 13:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Re: VPN IKEv2 Backup Verbindung

Beitrag von Jirka »

Hallo Dragos,

was hast Du in der Backup-Tabelle konfiguriert? Doch das Backup der WAN-Verbindung (und nicht der VPN-Verbindung). Und das wird dann sicherlich funktionieren, oder?
Aber was ändert sich mit der Backup-Verbindung? Genau, die WAN-IP. Je nachdem, was Du da im VPN-Bereich konfiguriert hast, musst Du das natürlich berücksichtigen.
Ich würde hier den klassischen Ansatz gehen und in der Filiale beide WAN-IPs der Zentrale hinterlegen (-> Tabelle: Weitere entfernte Gateways).

Viele Grüße,
Jirka

P.S.: Nachdem ich Backslashs Beitrag lese, merke ich, dass ich ein wenig oberflächlich gelesen habe. Dass da zwei VPN-Verbindungen gleichzeitig existieren von der Filiale zur Zentrale hatte ich so nicht gelesen gehabt, sorry. Von daher etwas daneben. Aber ein Backup über die Tabelle Weitere entfernte Gateways ist natürlich trotzdem möglich und stellt somit auch eine mögliche Lösung dar.
Zuletzt geändert von Jirka am 27 Sep 2017, 15:47, insgesamt 1-mal geändert.
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: VPN IKEv2 Backup Verbindung

Beitrag von backslash »

Hi G_StarRAW,
Was muss man noch konfigurieren (außer Backup-Tabelle), damit die Backup-Verbindung einspringt, wenn die Standard-Verbindung ausfällt?
nichts... Die Frage ist nur, ob das Verhalten des Backups deinen Erwartungen entspricht...
  • Damit die Backupverbindung "sofort" anspringt, müssen Haupt- und Backupverbindung als Keep-Alive-Verbindunge (Haltezeit 9999) konfiguriert sein. Ansonsten wird nur aufgebaut, wenn auch tatsächlich Traffic läuft.
  • "sofort" heißt: nach Ablauf der Backup-Sperrzeit (unter Kommunikation -> Ruf-Verwaltung -> Backup-Verbindung nach ... Sekunden)
Und du mußt natürlich eine 10.12 Verwenden. Mit älteren Firmwaren funktioniert es nicht. Wenn du im CLI ein show vpn eingibst, dann müssen dort zwei fast identische Regelsätze auftauchen, die sich nur im remote Gateway unterscheiden: je einer für die Haupt- und die Backup-Verbindung

Gruß
Backslash
Benutzeravatar
G_StarRAW
Beiträge: 52
Registriert: 12 Feb 2012, 11:26
Wohnort: Köln

Re: VPN IKEv2 Backup Verbindung

Beitrag von G_StarRAW »

Hi backslash,

soll auf der Zentrale nur eine VPN-Verbindung und auf der Filiale 2 gleiche VPN-Verbindungen (nur mit untersciedlichen IP-Adressen Richtung Zentrale) konfiguriert werden?

Die VPN-Verbindungen, die ich bisher konfiguriert habe, sind doch unterschiedlich, dass beide parallel laufen können (nur PSK und lokale und entfernte ID).

In der Filiale sind die beiden VPN-Verbindungen auf "Keep Alive" eingestellt und die Backup-Zeit bei 20 Sekunden.

Die Firmware auf den beiden LANCOM Geräten ist auf dem letzten Stand: 10.12.0082

Lieben Gruß
Dragos
Zuletzt geändert von G_StarRAW am 27 Sep 2017, 18:53, insgesamt 2-mal geändert.
Benutzeravatar
G_StarRAW
Beiträge: 52
Registriert: 12 Feb 2012, 11:26
Wohnort: Köln

Re: VPN IKEv2 Backup Verbindung

Beitrag von G_StarRAW »

Hallo Jirka,

das ist kein Problem ;-)

Soll ich in der Zentrale eine VPN-Verbindung löschen und in der Filiale 2 gleichen VPN-Verbindungen konfigurieren (gleiche PSK & Identitäten, jedoch verschiedene IP-Adressen zur Zentrale)?

Lieben Gruß
Dragos
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: VPN IKEv2 Backup Verbindung

Beitrag von backslash »

Hi G_StarRAW,
soll auf der Zentrale nur eine VPN-Verbindung und auf der Filiale 2 gleiche VPN-Verbindungen (nur mit untersciedlichen IP-Adressen Richtung Zentrale) konfiguriert werden?
für ein VPN-Backup brauchst du auch in der Zentrale *zwei* Endbunkte, denn sonst schaffst du es ja nicht die Hauptverbindung wieder aufzubauen, wenn der Weg wieder frei ist. Wenn du in der Zentrale nur ein Gateway hast, dann kannst du kein VPN-Backup nutzen - da bleibt dir nur der Weg über das Backup der Internetverbindung...
Die VPN-Verbindungen, die ich bisher konfiguriert habe, sind doch unterschiedlich, dass beide parallel laufen können (nur PSK und lokale und entfernte ID).
wie jetzt? Doch zwei Endpunklte in der Zentrale? Wie dem auch sei: Uber den Eintrag in der Backup-Tabelle wird beiden Verbindungen der gleiche Phase-2 Regelsatz zugewiesen, d.h. es sind zumindest Netzwerktechnisch *KEINE* unterschiedlichen Verbindungen
In der Filiale sind die beiden VPN-Verbindungen auf "Keep Alive" eingestellt und die Backup-Zeit bei 20 Sekunden.
dann sollte 20 Skeunden nach Ausfall der Hauptverbindung die Backupverbindung aufgebaut werden - zumindest wenn die Hauptverbindung mit einem DPP-Fehler abbaut. Ansonsten kann es noch eine weiteren Aufbauversuch (+ 30 Sekunden) dauern, bis das Backup losgeht.

Das Backup kannst du dir im "Display"-Trace anschauen (auch wenn da nicht allzu viel zu sehen ist)

Gruß
Benutzeravatar
G_StarRAW
Beiträge: 52
Registriert: 12 Feb 2012, 11:26
Wohnort: Köln

Re: VPN IKEv2 Backup Verbindung

Beitrag von G_StarRAW »

Hallo backslash,

Problem gelöst, Fehler gefunden mithilfe von LANCOM Support!!!

Man braucht nur eine einzige VPN-Verbindung zwischen der Zentrale und der Filiale, das war der Fehler.
Dann muss man nur noch in der Filiale (da die Filiale die VPN-Verbindung aufbaut) unter "Weitere entfernte Gateways" die VPN-Verbindung auswählen und als "Gateway 2" soll man die feste WAN-IP-Adresse von dem zweiten WAN-Anschluss der Zentrale eingeben.
Man braucht auch keine Backup-Zeit mehr einzugeben, die Filiale baut sofort und ohne Zeitlimit die VPN-Verbindung über Gateway 2 auf, sobald die benutzte WAN-Verbindung ausfällt.

Und es funktioniert ;-)

Vielen Dank für eure Hilfe!!!

Lieben Gruß
Dragos
firefox_i
Beiträge: 251
Registriert: 28 Jan 2015, 09:07

Re: VPN IKEv2 Backup Verbindung

Beitrag von firefox_i »

Hallo,
ich grabe den alten Beitrag mal aus....

Da es bei mir exakt so ist wie bei Dragos noch folgende Zusatzfrage:
Das Backup springt an...prima.

Aber wie erfolgt der Switchback wenn die Hauptleitung wieder hochkommt?
Für die Filiale ist ja alles prima, denn der Tunnel steht ja auf dem Backup....

Der Action Handler in der Filiale bekommt ja nicht mit, wenn in der Zentrale die Hauptverbindung wieder steht.

Oder ist da der Ansatz im AH der Filiale die Zentrale anzupingen und bei Erfolg auf der Hauptleitung dann die VPN Verbindung neu zu starte hilfreich?
Da würde mir aber nur einfallen, die VPN Vebindung zu deaktivieren und dann wieder zu aktivieren.

Oder geht das auch einfacher ?


Danke
S.
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: VPN IKEv2 Backup Verbindung

Beitrag von backslash »

Hi firefox_i,
Aber wie erfolgt der Switchback wenn die Hauptleitung wieder hochkommt?
Für die Filiale ist ja alles prima, denn der Tunnel steht ja auf dem Backup....

Der Action Handler in der Filiale bekommt ja nicht mit, wenn in der Zentrale die Hauptverbindung wieder steht.
Wenn die Zentrale ihre Hauptverbindung wieder aufgebaut hat, dann trennt sie ihre Backupverbindung... Vorher schickt sie noch eine "delete notification" für die IKE-SA an die Filiale... Wenn diese nicht im Internet verlorengeht, dann trennt die Filiale den VPN-Tunnel und baut ihn wieder neu auf - zur "Hauptverbindung!" der Zentrale. Geht die "delete notification" verloren, so bleibt nur noch DPD oder ICMP-Polling, um den Zusammenbruch der VPN-Verbindung festzustellen (aber das ist ja eh aktiv, denn sonst hätte nicht auf die Backupverbindung umgeschaltet werden können)...

Gruß
Backslash
Antworten