Beschreibung: Dieses Dokument beschreibt, wie Sie einen VPN-Load Balancer konfigurieren, bei welchem zwei VPN-Verbindungen je nach Auslastung auf zwei WAN-Verbindungen verteilt werden. Das Konfigurationsbeispiel lässt sich für die Verwendung von mehr als zwei WAN-Verbindungen adaptieren. Voraussetzungen: Szenario: - Zwischen einer Filiale und der Zentrale sollen zwei IKEv2 Site-to-Site VPN-Verbindungen konfiguriert werden, über welche die Daten per VPN-Load Balancing verteilt werden.
- Die Filiale verfügt über zwei WAN-Verbindungen, welche sowohl für das WAN-Load Balancing als auch für das VPN-Load Balancing verwendet werden sollen.
- Alle in der folgenden Szenariografik dargestellten LANCOM Router sind grundkonfiguriert und können im jeweiligen LAN (oder über das WAN) erreicht werden.
- Die benötigten WAN-Verbindungen sind auf beiden Seiten bereits funktionsfähig eingerichtet.
Vorgehensweise: 1. Konfiguration der IKEv2-Verbindungen und des VPN Load Balancing auf dem Router der Filiale: 1.1 Öffnen Sie den Setup-Assistent des LANCOM Routers in der Filiale und wählen Sie Zwei lokale Netze verbinden (VPN). 1.2 Im nächsten Dialog müssen Sie den Austausch-Modus IKEv2 auswählen. 1.3 IPSec-over-HTTPS wird in diesem Konfigurationsbeispiel nicht verwendet. 1.4 Geben Sie im nächsten Dialog den Namen des LANCOM Routers auf der Gegenseite ein. In diesem Beispiel ist das ZENTRALE. 1.5 Um eine verschlüsselte VPN-Verbindung aufzubauen, wird eine Identität benötigt, die beiden Seiten bekannt sein muss. In diesem Beispiel wird als Identität die E-Mail Adresse filiale @ firma.com verwendet. 1.6 Erstellen Sie für die lokale und die entfernte Identität je ein Passwort. 1.7 Da der LANCOM Router in der Filiale die VPN-Verbindung zur Zentrale aufbauen soll, muss hier die oberste Option gewählt werden. 1.8 Als Gateway muss die öffentliche IP-Adresse (oder der DNS-Name) des LANCOM Routers in der Zentrale eingetragen werden. Da das lokale Netzwerk in der Zentrale den Adressbereich 192.168.100.0/24 besitzt, muss dies in die Felder Adresse und Netzmaske eingetragen werden. 1.9 Klicken Sie auf Fertig stellen, um den Assistent zu beenden und die Konfiguration in den LANCOM Router zurück zu schreiben. 1.10 Öffnen Sie die Konfiguration des LANCOM Routers und wechseln Sie in das Menü IP-Router -> Routing und aktivieren Sie das Load Balancing. 1.11 Erstellen Sie einen neuen Eintrag für das WAN-Load Balancin g mit dem Namen LB_WAN und den beiden WAN-Gegenstellen INTERNET und INTERNET2. 1.12 Wechseln Sie in das Menü IP-Router → Routing → IPv4-Routing-Tabelle. - Konfigurieren Sie die Default-Routen für die beiden Internet-Verbindungen und den WAN-Load Balancer wie es in der folgenden Abbildung dargestellt ist.
Jede der beiden Internet Verbindungen erhält dabei ihr eigenes Routing-Tag, um dadurch je einen VPN Tunnel an eine Internet Verbindung zu binden.
1.13 Wechseln Sie in das Menü VPN → IKEv2/IPSec → Authentifizierung. - Wählen Sie den vorhandenen Eintrag für die Zentrale aus und klicken Sie auf Kopieren.
- Ändern Sie den Namen des neuen Eintrags z.B. in ZENTRALE_2.
- Ändern Sie die E-Mail-Adresse der lokalen- und entfernten Identität z.B. in filiale_2@firma.com.
1.14 Wechseln Sie in das Menü VPN → IKEv2/IPSec → Verbindungs-Liste. - Wählen Sie den vorhandenen Eintrag für die Zentrale aus.Tragen Sie als Routing-Tag die 1 ein (Routing-Tag der ersten WAN-Verbindung, siehe Schritt 1.12).
- Schließen Sie den Dialog mit OK.
- Wählen Sie den vorhandenen Eintrag für die Zentrale aus und klicken Sie auf Kopieren .
- Ändern Sie den Namen des neuen Eintrags z.B. in ZENTRALE_2 .
- Tragen Sie als Routing-Tag die 2 ein (Routing-Tag der zweiten WAN-Verbindung, siehe Schritt 1.12).
- Ändern Sie die Authentifizierung auf den Eintrag ZENTRALE_2 (siehe Schritt 1.13).
1.15 Die Einträge in der Verbindungs-Liste müssen dann so konfiguriert sein, wie es in der folgenden Abbildung dargestellt ist. 1.16 Wechseln Sie in das Menü IP-Router → Routing → Load Balancing und erstellen Sie einen neuen Eintrag mit dem Namen LB_ZENTRALE und den beiden IKEv2 VPN-Gegenstellen ZENTRALE und ZENTRALE_2. 1.17 Wechseln Sie in das Menü IP-Router → Routing → IPv4-Routing-Tabelle. - Wählen Sie den vorhandenen Eintrag für die Zentrale aus und klicken Sie auf Bearbeiten.
- Wählen Sie die Load Balancer-Gegenstelle LB_ZENTRALE aus.
- Schalten Sie die IP-Maskierung aus.
- Schließen Sie den Dialog mit OK.
- Wählen Sie den vorhandenen Eintrag für die Zentrale aus und klicken Sie auf Kopieren.
- Vergeben Sie ein bisher noch nicht verwendetes Routing-Tag.
- Wählen Sie die VPN-Gegenstelle ZENTRALE aus.
- Schalten Sie die IP-Maskierung aus.
- Schließen Sie den Dialog mit OK.
- Wählen Sie erneut Sie den vorhandenen Eintrag für die Zentrale aus und klicken Sie auf Kopieren.
- Vergeben Sie ein bisher noch nicht verwendetes Routing-Tag.
- Wählen Sie die VPN-Gegenstelle ZENTRALE_2 aus.
- Schalten Sie die IP-Maskierung aus.
- Schließen Sie den Dialog mit OK.
1.18 Schließen Sie die Dialoge mit OK und schreiben Sie die Konfiguration in den LANCOM Router der Filiale zurück.
2. Konfiguration der IKEv2-Verbindungen und des VPN Load Balancing auf dem Router der Zentrale: 2.1 Öffnen Sie den Setup-Assistent des LANCOM Routers in der Zentrale und wählen Sie Zwei lokale Netze verbinden (VPN). 2.2 Im nächsten Dialog müssen Sie den Austausch-Modus IKEv2 auswählen. 2.3 IPSec-over-HTTPS wird in diesem Konfigurationsbeispiel nicht verwendet. 2.4 Geben Sie im nächsten Dialog den Namen des LANCOM Routers auf der Gegenseite ein. In diesem Beispiel ist das FILIALE. 2.5 Um eine verschlüsselte VPN-Verbindung aufzubauen, wird eine Identität benötigt, die beiden Seiten bekannt sein muss. In diesem Beispiel wird als Identität die E-Mail Adresse filiale@firma.com verwendet (die Identität muss mit der in Schritt 1.5 vergebenen übereinstimmen). 2.6 Erstellen Sie für die lokale und die entfernte Identität je ein Passwort. Diese müssen jeweils mit den vergebenen Passworten im Schritt 1.6 übereinstimmen. 2.7 Da der LANCOM Router in der Zentrale die VPN-Verbindung von der Filiale annehmen soll, muss hier die untere Option gewählt werden. 2.8 Als Gateway muss die öffentliche IP-Adresse (oder der DNS-Name) der ersten WAN-Verbindung vom LANCOM Router in der Filiale eingetragen werden. Info: In diesem Konfigurationsbeispiel wird mit festen öffentlichen IP-Adressen auf Seiten der Filiale gearbeitet . Wie Sie die VPN-Verbindung einrichten, wenn die Filiale über dynamische IP-Adressen verfügt, ist in diesem Knowledge Base Artikel beschrieben.
Da das lokale Netzwerk in der Filiale den Adressbereich 192.168.99.0/24 besitzt, muss dies in die Felder Adresse und Netzmaske eingetragen werden. 2.9 Klicken Sie auf Fertig stellen, um den Assistent zu beenden und die Konfiguration in den LANCOM Router zurück zu schreiben. 2.10 Öffnen Sie die Konfiguration des LANCOM Routers und wechseln Sie in das Menü VPN → IKEv2/IPSec → Authentifizierung. - Wählen Sie den vorhandenen Eintrag für die Filiale aus und klicken Sie auf Kopieren.
- Ändern Sie den Namen des neuen Eintrags z.B. in FILIALE_2.
- Ändern Sie die E-Mail-Adresse der lokalen- und entfernten Identität z.B. in filiale_2@firma.com. Die hier vergebene E-Mail Adresse muss mit der Adresse übereinstimmen, welche im Schritt 1.13 vergeben wurde.
2.11 Die Authentifizierungs-Regeln müssen dann so konfiguriert sein, wie es in der folgenden Abbildung dargestellt ist. 2.12 Wechseln Sie in das Menü VPN → IKEv2/IPSec → Verbindungs-Liste. - Wählen Sie den vorhandenen Eintrag für die Filiale aus und klicken Sie auf Kopieren.
- Ändern Sie den Namen des neuen Eintrags z.B. in FILIALE_2.
- Tragen Sie als entferntes Gateway die öffentliche IP-Adresse (oder der DNS-Name) der zweiten WAN-Verbindung vom LANCOM Router in der Filiale ein. Wenn die Filiale über dynamische öffentlichen IP-Adressen verfügt, muss dieses Feld leer bleiben.
- Ändern Sie die Authentifizierung auf den Eintrag FILIALE_2 (siehe Schritt 2.10).
2.13 Die Einträge in der Verbindungs-Liste müssen dann so konfiguriert sein, wie es in der folgenden Abbildung dargestellt ist. 2.14 Wechseln Sie in das Menü IP-Router → Routing und aktivieren Sie das Load Balancing. 2.15 Erstellen Sie einen neuen Eintrag mit dem Namen LB_FILIALE und den beiden IKEv2 VPN-Gegenstellen FILIALE und FILIALE_2. 2.16 Wechseln Sie in das Menü IP-Router → Routing → IPv4-Routing-Tabelle. - Wählen Sie den vorhandenen Eintrag für die Filiale aus und klicken Sie auf Kopieren.
- Vergeben Sie ein bisher noch nicht verwendetes Routing-Tag.
- Wählen Sie die VPN-Gegenstelle FILIALE aus.
- Schalten Sie die IP-Maskierung aus.
- Schließen Sie den Dialog mit OK.
- Wählen Sie erneut Sie den vorhandenen Eintrag für die Filiale aus und klicken Sie auf Kopieren.
- Vergeben Sie ein bisher noch nicht verwendetes Routing-Tag.
- Wählen Sie die VPN-Gegenstelle FILIALE_2 aus.
- Schalten Sie die IP-Maskierung aus.
- Schließen Sie den Dialog mit OK.
- Wählen Sie noch einmal den vorhandenen Eintrag für die Filiale aus und klicken Sie auf Kopieren.
- Wählen Sie die Load Balancer-Gegenstelle LB_FILIALE aus.
- Schalten Sie die IP-Maskierung aus.
- Schließen Sie den Dialog mit OK.
2.17 Schließen Sie die Dialoge mit OK und schreiben Sie die Konfiguration in den LANCOM Router der Zentrale zurück. 2.18 Die Konfigurationschritte sind damit abgeschlossen. |