Beschreibung:
Das Dokument beschreibt, wie VPN Verbindungen in einer Zentrale redundant von mehreren Aussenstellen angenommen werden können.
Voraussetzungen:
Voraussetzungen:
- LCOS ab Version 9 (download aktuelle Version)
- LANtools ab Version 9 (download aktuelle Version)
Szenario:
Mehrere Außenstellen (z.B. LANCOM 178x) sollen auf 2 VPN-Gateways (z.B. LANCOM 9100+) redundant verteilt werden, z.B. insgesamt 10 VPN-Tunnel verteilt auf 2 LANCOM 9100+ (jeweils 5 Tunnel). Desweiteren soll ein Ausfall der Hardware- bzw. der Internetverbindung abgefangen werden.
Dieses Szenario kann mit Hilfe des VRRP (Virtual Router Redundancy Protocol) und RIP (Routing Information Protocol) umgesetzt werden.
Normalbetrieb:
Backup-Fall:
Vorgehensweise:
Backup-Fall:
Vorgehensweise:
1. Auf beiden LANCOMs in der Zentrale werden alle VPN Verbindungen entsprechend eingerichtet. In der VPN Konfiguration der Aussenstellen (VPN → Allgemein → VPN-Verbindungsliste) tragen Sie das entsprechende VPN Gateway ein, was im Normalbetrieb angesprochen werden soll. Das alternativ VPN Gateway tragen Sie im LANconfig → VPN → Allgemein → Weitere entfernte Gateways... zu der entsprechenden VPN Verbindung ein.
2. Anschliessend konfigurieren Sie auf beiden LANCOMs in der Zentrale das VRRP. (IP-Router → VRRP) zwei virtuelle Router.
Dort aktivieren Sie zunächst den Haken VRRP aktiviert und Interne Dienste unter der virtuellen IP anbieten.
3. Nun legen Sie unter dem Button VRRP-Liste… die gewünschten VRRP-Router an. Die hier gewählten IP-Adressen 192.168.1.100 und 192.168.1.200 sind durch freie IP-Adressen Ihres Netzwerkes zu ersetzen.
Bitte beachten Sie hier, dass der zweite Lancom Router die Einträge (Haupt-Priorität) entsprechend umgekehrt eingetragen haben muss.
4. Um nun eine Kommunikation der VRRP-Router untereinander mit RIP zu ermöglichen, schalten Sie bitte noch unter Routing Protokolle → RIP → RIP-Netzwerke für das verwendete Netzwerk die Option RIP- Unterstützung auf RIP-2.
5. Um eine Kommunikation per RIP zu ermöglichen, müssen nun in der Routing-Tabelle der beiden LANCOMs die entsprechenden Routen zu den Aussenstellen konfiguriert werden. In unserem Fall übernimmt der erste VRRP-Router im Normalbetrieb die Route zu der Aussenstelle1 und der zweite die Verbindung zu der Aussenstelle 2. Konfigurieren Sie die Routing-Regeln so, wie diese in den nachfolgenden Abbildungen dargestellt sind:
Routing-Regel für Aussenstelle 1:
Routing-Regel für Aussenstelle 2:
Die Routing-Tabelle muss dann folgende Einträge enthalten:
Als letzte Änderung müssen Sie auf dem DHCP-Server Ihres Netzwerkes einen der beiden angelegten virtuellen-Router als Standard-Gateway bei der IP-Adressvergabe definieren. Es wird jedoch empfohlen die beiden LANCOM Router als DHCP Server für das LAN zu konfigurieren, da Sie so die Möglichkeit haben beide virtuellen VRRP IP Adressen im LAN zu verteilen und Sie somit auch eine Lastenverteilungen im LAN erreichen. Dadurch, dass beide DHCP-Server an sind und die virtuelle Adresse als Gateway zuweisen, die jeweils Master ist, ergibt sich eine statistische Verteilung der Clients auf einen der beiden Router.
