7100+ VRRP und HA Clustering XL Config-Sync

[vitaminc]

Hello,

wir haben uns vor ein paar Tagen einen weiteren 7100+ angeschafft, dieser soll Ausfallsicherheit und eigentlich auch Load-Balancing schaffen.
Wir stehen bereits in direktem Kontakt mit LANCOM, die uns bei der Konfiguration geholfen haben, aber da es nicht so funktioniert wie es soll, will man mir jetzt den Config-Service verkaufen. Bevor ich das tue möchte ich mein Glück erst hier probieren.

Zur Topologie:
Die beiden 7100+ stehen hinter zwei Cisco-Routern (Classic Premium Anschluss) und zwei Firewalls. D.h. die Lancom-Gateways werden auch nur als VPN-Gateways genutzt, d.h. keine zusätzliche/eigene Internet-Einwahl. Für beide 7100+ habe ich in unsere Firewall eine NAT-Umsetzung, d.h. Public-IP auf Privat-IP. Demnach ist jeder 7100er auch als Gateway von Public ansprechbar.

Außenstellen:
Wir nutzen auf den Außenstellen 1781VA-4G für die Standortvernetzung.

Ansonsten kommen noch Lancom Advanced Clients auf MAC/WIN zum Einsatz, zudem auch iPhones/iPads die sich per VPN einwählen.
Bei allen Geräten, bis auf iPhones/iPads, kann man "weitere Gateways" eintragen, z.B. beim Advanced Client:
https://www2.lancom.de/kb.nsf/1275/EE87 ... enDocument

Da wir die Konfiguration nicht immer auf zwei Geräten manuell durchführen wollen, habe wir noch die HA Cluster XL Option gekauft. Damit sollte der Config-Sync funktionieren.

Für VRRP habe ich folgende KB umgesetzt:
https://www2.lancom.de/kb.nsf/1275/3679 ... enDocument

Das sieht dann wie folgt aus, zusätzlich natürlich die RIP Konfiguration, die ich hier nicht aufführe, wurde aber gemäß KB umgesetzt:

VPN-Gateway 1

VRRP
Router-ID 1 x.x.x.3 Haupt-Prio 20
Router-ID 2 x.x.x.4 Haupt-Prio 10

Synchronisierung
Cluster-Geräte
x.x.x.1
x.x.x.2

Menüknoten
Einschließen /Setup/Config/Sync/New-Cluster
Einschließen /Setup
Ausschließen /Setup/TCP-IP/Network-list
Ausschließen /Setup/Name
Ausschließen /Setup/IP-Router/VRRP


VPN-Gateway 2

VRRP
Router-ID 1 x.x.x.3 Haupt-Prio 10
Router-ID 2 x.x.x.4 Haupt-Prio 20

Synchronisierung
Cluster-Geräte
x.x.x.1
x.x.x.2

Menüknoten
Einschließen /Setup/Config/Sync/New-Cluster
Einschließen /Setup
Ausschließen /Setup/TCP-IP/Network-list
Ausschließen /Setup/Name
Ausschließen /Setup/IP-Router/VRRP

Ergebnisse:
Die Standortvernetzung scheint mit dieser Konfiguration zu funktionieren, d.h. ich habe aktuell probeweise bei einer Außenstelle auf dem Lancom 1781VA-4G unter VPN/Allgemein/Weitere entfernte Gateways die Public-IP des zweiten 7100er eingetragen.
Das scheint auch soweit zu funktionieren.

Da man bei den iPhones/iPads sowieso kein zweites Gateway eintragen kann, erübrigt sich der Test bei diesen Geräten. Die funktionieren weiterhin so, dass sich diese nur auf dem VPN-Gateway 1 einwählen.

Problem1:
VPN Einwahl der Mac/Win Clients. Unter Routing/IPv4 habe ich Einträge mit statischer IP, damit ich via Firewall entsprechend regeln kann wer was darf.
Beispiel: IP-Adresse: 10.x.x.5 / 255.255.255.255 / Route ist aktiviert und wird immer via RIP propagiert (sticky) / Router=MEINVPN / IP-Maskierung abgeschalten.
Als Client nutze ich Lancom Advanced VPN. INI eingespielt. VPN Einwahl erfolgt erstmal nur auf VPN Gateway 1. Der Tunnel steht, aber keine Daten auf RX (also kein eingehender Traffic). Im LAN-Monitor sieht es wie folgt aus: VPN-Client ist VERBUNDEN auf VPN Gateway 1. Zusätzlich existiert auch ein Eintrag auf VPN Gateway 2 mit "Nicht Verbunden" und "Gegenstelle nicht definiert" (Aktiver Verbindungsaufbau). Das passiert nicht immer, aber ziemlich häufig. Sobald ich den zweiten 7100er vom Netz nehme, funktioniert wieder alles.

Problem2:
"Einstellungen Konfigurations-Synchronisierung aktivieren" funktioniert nicht, da "Zertifikat fehlt". Wie man ein CA Zertifikat via OpenSSL oder XCA erstellt weiss ich, aber wie und an welche Position muss ich das hochladen, oder was habe ich sonst nicht beachtet? - leider ist das in der Doku nicht richtig beschrieben.

Viele Grüße
Sascha

[Dr.Einstein]

Hey Sascha,

leier habe ich selbst diese Option noch nicht in den Händen gehalten. Hätte die früher öfters gebrauchen können bei gespiegelten WLCs, aber naja, anderes Thema.

Problem 1) Stell mal die Routing Einträge um auf "Route ist aktiviert und wird via RIP propagiert, wenn das Zielnetzwerk erreichbar ist (konditional). Solltest du vielleicht eh bei allen VPN Routen machen, da du ja mit RIP arbeitest.

Problem 2) Bei WLCs solls ja mit drag an drop klappen, die haben aber defaultmäßig EAP/TLS Zertifikate, vermutlich brauchst du die dafür? Schau mal im LanConfig unter Rechtsklick -> Konfigurationsverwaltung -> Datei/Zertifikat hochladen. Da hast du dann die ganzen Unterpunkte für CA etc. Den erfolgreichen Import kannst du dir über die CLI zB mit show eap anzeigen lassen.

Gruß Dr.Einstein

[vitaminc]

Hi,

Problem 1)
Hatte bei den Standorte bereits RIP (konditional) eingestellt gehabt, habe es nun auch mal dem VPN-Zugang so eingestellt. Leider ohne Erfolg, gleiches Problem.

Folgendes habe ich mal aus dem LOG des Advanced Clients rausgefischt:
10.02.2016 11:44:11 - Ike: NOTIFY : YESSS-VPN-SD000_WIN : SENT : NOTIFY_MSG_R_U_HERE : 36136
10.02.2016 11:44:11 - Ike: NOTIFY : YESSS-VPN-SD000_WIN : RECEIVED : NOTIFY_MSG_R_U_HERE_ACK : 36137
10.02.2016 11:44:30 - Ike: NOTIFY : YESSS-VPN-SD000_WIN : SENT : NOTIFY_MSG_R_U_HERE : 36136
10.02.2016 11:44:31 - Ike: NOTIFY : YESSS-VPN-SD000_WIN : RECEIVED : NOTIFY_MSG_R_U_HERE_ACK : 36137
10.02.2016 11:44:50 - Ike: NOTIFY : YESSS-VPN-SD000_WIN : SENT : NOTIFY_MSG_R_U_HERE : 36136
10.02.2016 11:44:51 - Ike: NOTIFY : YESSS-VPN-SD000_WIN : RECEIVED : NOTIFY_MSG_R_U_HERE_ACK : 36137
10.02.2016 11:45:11 - Ike: NOTIFY : YESSS-VPN-SD000_WIN : SENT : NOTIFY_MSG_R_U_HERE : 36136
10.02.2016 11:45:11 - Ike: NOTIFY : YESSS-VPN-SD000_WIN : RECEIVED : NOTIFY_MSG_R_U_HERE_ACK : 36137
10.02.2016 11:45:31 - Ike: NOTIFY : YESSS-VPN-SD000_WIN : SENT : NOTIFY_MSG_R_U_HERE : 36136
10.02.2016 11:45:32 - Ike: NOTIFY : YESSS-VPN-SD000_WIN : RECEIVED : NOTIFY_MSG_R_U_HERE_ACK : 36137

Der Witz ist, ich kann die VPN-Router und die virtuelle IPs des VRRP anpingen. Alles andere dahinter nicht.

Weiterhin:
Verwende ich einen VPN-Zugang ohne Routing (kein Eintrag in Routing/IPv4), d.h. so dass ich eine dynamische IP erhalte, dann funktioniert alles problemlos.
D.h. das Problem existiert nur bei VPN-Zugängen auf Win/MAC die eine statische IP via IKE Config Mode erhalten.
Wenn ich danach das Kabel des zweiten 7100er entferne, und ich danach erneut probiere mich per VPN einzuwählen, dann funktioniert es ebenfalls nicht.
Erst wenn ich scheinbar von kond. auf sticky umstelle, funktioniert es wieder.

Irgendwo muss also noch ein Konfigproblem vorhanden sein oder dieser Modus wird unter VRRP nicht sauber unterstützt.

Problem 2)
Damit bist Du soweit wie ich. Ich weiß leider nicht welches Zertifikat benötigt wird, ist seltsamerweise weder in der Doku erklärt noch in der KB zu finden. Finde das äußerst ärgerlich. Bei WLC geht es per Drag & Drop, bei den Gateways gibt es das LEIDER nicht. Solange ich nicht weiß welches Zertifikat ich WO hinladen muss, bringt das alles nix.

[vitaminc]

Vielleicht existiert ja auch ein Workaround, wie ich VPN-Clients anderweitig seine "statische" IP vergeben kann. Evtl. via DHCP ?

[Dr.Einstein]

ProxyARP in beiden Routern aktiviert?

[vitaminc]

Japp, ist aktiv.

[vitaminc]

Noch kurze Verständnisfrage.
Die IP-Adresse die ich statisch über die Routing-Einträge vergeben dürfen nicht im Bereich des WAN-Pool liegen, richtig?
z.B. WAN-Pool 192.168.2.1 - 192.168.2.254
Statische IP für VPN Zugang (Routing/IPv4): 192.168.80.10

[Dr.Einstein]

Kannst du reinpacken, wo du willst.

Ich würde als nächsten Schritt mal schauen, was im IP-Router Trace passiert. Kannst ja schän filtern auf

Code: Alles auswählen

trace # ip-r @ IP-VPN-Client

Da müsste dann eigentlich das Routing Ziel liegen, wenn du z.B. eine LAN IP versuchst anzupingen (hinterm Lancom).

[vitaminc]

Bei deinem Trace-Befehl tut sich nichts.
Habe dann mal auf ip-r und die IP gefiltert.
Leider vergessen den Trace zu speichern
Werde ich morgen nochmal nachholen..

Ich habe mal diverse Optionen mit Sticky und Konditional probiert, d.h. mal so und so auf je oder beiden VPN-Gateways eingeschalten, mal ging der Traffic durch mal nicht, je nachdem auf welchem Gateway ich mich eingewählt habe. War aber nie so dass es auf beiden Gateways geklappt hat. Wenn kein Traffic durch ging, dann haben beide Gateways Daten empfangen und versucht darauf zu antworten, das ist natürlich Quatsch, ganz klarer Fall für falsches Routing, vermutlich RIP. Als es funktioniert hat sah man den Unterschied sofort, nur ein VPN Gateway hat den Traffic geroutet, der andere hat nichts davon mitbekommen.

Ich werde das ganze jetzt nochmal an LANCOM eskalieren, da ich mir vorstellen kann dass dieses VRRP mit RIP Konzept nur bei Außenstellen funktioniert, aber nicht mit Windows/Mac Clients insofern ein Eintrag in Routing/IPv4 vorhanden ist. Sobald ich den Eintrag lösche, funktioniert alles problemlos, egal auf welchem VPN Gateway ich mich mit dem Client verbinde.

Heute gleich noch was dazu gelernt: ShrewVPN kann man unter Windows 10 in der Pfeife rauchen, kann keine DNS-Priorität bzw. DNS-Abfragen werden immer auf dem lokalen DNS ausgeführt, lässt sich leider nicht durch den Tunnel jagen. Ist dem Alter der letzten Version von ShrewSoft geschuldet bzw. eher Windows 10, denn auf Windows 8 hat das noch problemlos funktioniert. Gibt wohl leider keinen aktuellen Developer mehr für ShrewSoft, damit ist ShrewSoft gestorben, denn ich werde sicher nicht vor und nach jeder VPN-Einwahl die DNS-Settings des Adapters manuell abändern. NCP/Lancom wirds freuen..

Heute auch nochmal Lancom gefragt zwecks dem Zertifikat für Clustering XL. Antwort war: Wäre im Referenzhandbuch beschrieben. Ich muss echt blind sein, denn alles was ich finde ist nur die allgemeine Thematik der Zertifikate, aber nicht die Beschreibung bzgl. des richtigen Zertifikats für Clustering XL (Konfig-Sync).

[Cytor]

Hi,

das Zertifikat bzw. der Zertifikatscontainer für den Config Sync (bzw. Clustering XL) hat einen eigenen Dateislot.

Hochladen geht z.B. über die WebConfig, siehe Screenshot.

[vitaminc]

Super Tip!! - Danke.
Ich habe bislang immer nur über LanConfig den Konfig-Upload geprüft, da fehlt die Möglichkeit das Config-Sync Zertifikat hochzuladen

Jetzt muss ich nur noch herausfinden wie das Zertifikat auszusehen hat..

[Cytor]

Hi,

da kannst du dich nach den Angaben im Handbuch richten (auch wenn die beschreiben, wie man das Zertifikat via SCEP abholt): http://www.lancom-systems.de/docs/LCOS- ... setup.html

Die Essenz ist, dass die IP-Adresse oder der Hostname des Gerätes bzw. Cluster-Mitglieds, für das das Zertifikat bestimmt ist, im Common Name des Zertifikats enthalten sein muss. Das Subject könnte dann so aussehen: /CN=10.1.1.1/O=COMPANY/C=DE. Geprüft wird aber nur auf den CN.

[Cytor]

By the way, mache bitte, bevor du den Sync das erste mal aktivierst, nochmal einen "sanity check" der Cluster-Konfig: Sind wirklich alle notwendigen Ausschlüsse bedacht worden? Muss man die Defaultroute oder andere Routen ausschließen (vermute bei deinem Szenario nicht)? Man kann sich hier wunderbar Routingtabellen etc. zerschießen (Bei WLCs ist eine sinvolle Konfig ungleich einfacher als bei VPN-Gateways...)

Beim erstmaligen Aktivieren "gewinnt" immer der Konfig-Stand des Cluster-Mitglieds, auf dem der Cluster gestartet wird. Anschließend "gewinnt" immer die neueste Änderung, egal auf welchem Cluster-Mitglied die durchgeführt wird.

[vitaminc]

Ich habe aktuell folgendes konfiguriert:
Menüknoten
Einschließen /Setup/Config/Sync/New-Cluster
Einschließen /Setup
Ausschließen /Setup/TCP-IP/Network-list
Ausschließen /Setup/Name
Ausschließen /Setup/IP-Router/VRRP

Routing ist auf beiden gleich, genauso wie der Rest, mit Ausnahme der IP, Name und dem VRRP.
Die restlichen Einstellungen habe ich so durchgeführt wie in dem Link beschrieben, daran habe ich mich auch gehalten, außer dass ich Distinguished nicht angepaßt habe, sondern einfach gelassen habe wie es bereit drin stand:
Zertfikate/Zertifizierungsstelle (CA)
CA-Distinguished-Name: /CN=LANCOM CA/O=LANCOM SYSTEMS/C=DE
RA-Distinguished-Name: /CN=LANCOM RA/O=LANCOM SYSTEMS/C=DE

Beim SCEP-Client habe ich dann folgendes:
CA-Tabelle:
Name: SCEP_CA
URL: http://127.0.0.1/cgi-bin/pkiclient.exe
Distinguished Name: /CN=LANCOM CA/O=LANCOM SYSTEMS/C=DE
DES / MD5 / Aus

Zerfifikatstabelle:
Name: Config-Sync
CA-Distinguished-Name: /CN=LANCOM CA/O=LANCOM SYSTEMS/C=DE
Subject: /CN=10.79.1.1 /O=LANCOM SYSTEMS/C=DE (10.79.1.1 ist die eigene IP-Adresse des 7100er)
Challenge-Passwort: identisch zu dem in Zertfikate/Zertfikatsbehandlung

[vitaminc]

Inzwischen läuft alles..

Thema 1:
VRRP + RIP + ProxyARP funktioniert nicht "lokal" im Intranet. Wir verwenden nun einfach ein anderes IP-Netz für die Zuweisung über IKEConfig.

Thema 2:
Config-Sync. Der Punkt "Konfigurations-Synchronisierung aktivieren" im LanConfig über rechte Maustaste wirft bei uns immer "Zertifkat fehlt" aus. Über Setup/Config/Sync habe ich einfach den Cluster gestartet, nachdem ich alles gemäß Anleitung konfiguriert habe. Und zack funktioniert das ganze auch.

Danke nochmal an Lancom die mich besonders bei Thema 1 unterstützt haben, war uns erstmal allen nicht so klar bis die Entwickler den passenden Tip gegegeben haben.
Bei Thema 2 ist die Lancom nun am prüfen ob es sich hier tatsächlich um einen Bug in der LanConfig handelt oder ich nur ein Einzelfall bin/war.

Danke auch an alle Beteiligten hier.