Mesh-VPN mit mehreren Gateways

[5624]

Hallo zusammen,

hat sich von euch schon jemand mit AMVPN befasst?
Ich arbeite gerade an unserer neuen Routerkonfiguration für die kommenden 1803er und überlege, ob ich für die Sprachkommunikation zwischen unseren Filialen AMVPN einsetzen soll.

Dabei hab ich nur eine Besonderheit, die von der Doku nicht abgedeckt wird: Die VPN-Gateways stehen an zwei unterschiedlichen Standorten in unterschiedlichen IP-Netzen. Keine L2-Verbindung, alles geroutet.

Die Doku spricht immer nur von einem Hub.

Kann AMVPN auch mit mehreren Gateways genutzt werden und wenn ja, muss es eine L2-Verbindung zwischen den Gateways geben?

[Dr.Einstein]

Vorweg: Ich hab selbst kein Wissen zu dem Thema, aber vermutlich wirst du bei einem so speziellen Großkunden-Feature wenig Antworten bekommen, sodass ich trotzdem meine Vermutungen dazu abgebe:

- AMVPN ist komplett proprietär
- AMVPN wird über IKEv2 Nachrichten verschickt und so untereinander die Filialen bekannt gemacht. Wenn also Filiale A an GW A hängt und Filiale B an GW B, existieren zwischen Filiale A und GW B keinerlei IKEv2-Nachrichten mehr, nur Plain IP
- Die Filialen werden sich also in diesem Fall nicht finden können
- Lancom kann seit einiger Zeit den IKEv2-Loadbalancer. Dieser setzt aber auf eine VRRP-Instanz auf
- VRRP läuft über Multicast Layer 2 und Multicast Layer 3
- Der Loadbalancer ist allerdings nur für die Verteilung ankommender IKEv2-Aushandlungen zuständig. Auch hier müsste wieder das gleiche Problem kommen wie in Punkt 2 geschildert

Mit den hier zugrunde liegenden Informationen würde ich davon ausgehen, dass zwei Lancom Gateways, egal ob via L2 oder L3 verbunden, in einem active-active-Konstrukt die Funktion von AMVPN nicht effektiv nutzen können. Lediglich Filialen, die sich am selben VPN-GW eingewählt haben, werden in den Genuss der Meshfunktion kommen.

Ein weiterer auffälliger Punkt ist die Abwesenheit dieses Features in der Lancom Management Cloud.

[5624]

Hallo Dr.Einstein,

vielen Dank für die Erklärungen, diese entsprechen dem, was ich nach Durchsicht der Doku auch vermutet habe.

Ich werde nochmal meine Kontakte bei LCS anhauen, aber vermutlich ist das Feature damit für mich nicht sinnvoll verwendbar.

[backslash]

Hi 5624

Die Doku spricht immer nur von einem Hub.

Der Hub im Sinne des Mesh-VPN ist die Zentrale in der sich alle Filialen einwählen - bzw. bei einem baumartigen Aufbau des Netzes ist jeder Zwischenknoten, in denen sich Filialen einwählen können, ein eigener Hub

Es geht um Vernetzung von per VPN angekoppelten Filialen - die sitzen natürlich alle an anderen Standorten. Es macht doch auch keinen Sinn, wenn alle im selben Ethernet-Strang säßen...

@Dr.Einstein

- AMVPN wird über IKEv2 Nachrichten verschickt und so untereinander die Filialen bekannt gemacht. Wenn also Filiale A an GW A hängt und Filiale B an GW B, existieren zwischen Filiale A und GW B keinerlei IKEv2-Nachrichten mehr, nur Plain IP
- Die Filialen werden sich also in diesem Fall nicht finden können

Doch auch in dem Fall funktioniert das, weil die beiden Gateways in der Zentrale sich über die Routing-Tabelle kennen (IKEv2-Routing/BGP) und somit auch passende Messages ausgetauscht werden können: Filiale A teilt in der Message mit, mit wem sie reden will (Filiale B) und diese Message geht von Hop zu Hop von Filiale A zu Filiale B. Im LAN zwischen den Gateways in der Zentrale laufen diese Pakete aber m.W. im Klartext


Gruß
Backslash

[5624]

OK, das klingt gut, ich hatte am Wochenende leider nicht genug passende Hardware da, um es zu testen.

Geht es nur mit IKEv2-Routing/BGP oder funktioniert es auch via OSPF?

[backslash]

Hi 5624,

Geht es nur mit IKEv2-Routing/BGP oder funktioniert es auch via OSPF?

IKEv2-Routing ist nötig zwischen Filiale und Gateway in der Zentrale. Die Gateway müssen sich die gelernen Routen dann jeweils über ein Routing-Protokoll übermitteln.
Ich weiss, daß BGP auch auf vom IKEv2 übermittelte Routen reagiert. Ob das mit OSPF auch funktioniert, kann ich dir nicht sagen, das müßtest du ausprobieren (oder jemand anderes hier im Forum weiss das definitiv)

ggf. mußt du zwischen den LANCOMs mit BGP arbeiten und zum Rest deines Netzes mit OSPF - im LANconfig jedenfalls gibt es bei der OSPF-Konfiguration eine Vreknüfung zu BGP für die Routendistribution...

Gruß
Backslash

[5624]

Ich werde es ausprobieren, muss nur noch einen freien Router finden, der mindestens 10.70 frisst. Das meiste, was hier rumfliegt ist bei 10.42 verreckt und die neuen Router sind noch nicht bestellt, weil die erst nächsten Monat herausgekommen sind.

[Dr.Einstein]

Doch auch in dem Fall funktioniert das, weil die beiden Gateways in der Zentrale sich über die Routing-Tabelle kennen (IKEv2-Routing/BGP) und somit auch passende Messages ausgetauscht werden können: Filiale A teilt in der Message mit, mit wem sie reden will (Filiale B) und diese Message geht von Hop zu Hop von Filiale A zu Filiale B. Im LAN zwischen den Gateways in der Zentrale laufen diese Pakete aber m.W. im Klartext

Kannst du mir mal bitte technisch Schritt für Schritt erklären, wie das funktioniert bei einem Szenario mit zwei Zentral-Routern?

- Filiale A + Filiale B propagieren ihre Netzwerk via IKEv2 Routing an ihr jeweiliges Lancom VPN-Gateway 1 + 2
- Mittels BGP lernen die Zentral-Router 1 + 2 untereinander die jeweils verbundenen Filialen A und B

An der weiteren Stelle habe ich einen Knoten im Kopf. Wie bzw. in welcher Form gelangt nun die Information von Filiale A (öffentliche IP) an den zentralen Lancom 2 bzw. dann an die Filiale B? In der Routing Tabelle der "anderen" Zentrale taucht ja die öffentliche IP-Adresse nicht auf. Und die IKEv2-Nachricht mit Mesh Inhalt gibt es ja nicht mehr zwischen Zentral-Router 1 und Zentral-Router 2. Und im BGP gibt es dafür doch kein Lancom Herstellerattribut, die die Mesh Funktion mitschickt, oder? Irgendwas fehlt mir hier noch zum Verständnis. Kannst du mich bitte erleuchten.

[backslash]

Hi Dr.Einstein

An der weiteren Stelle habe ich einen Knoten im Kopf. Wie bzw. in welcher Form gelangt nun die Information von Filiale A (öffentliche IP) an den zentralen Lancom 2 bzw. dann an die Filiale B?

die Information findet sich im Refernzhandbuch:

3. Filiale B sendet eine verschlüsselte herstellerspezifischen IKEv2-Nachricht an die Zentrale. Die Nachricht enthält die privaten Subnetze bzw. IP-Adressen der gewünschten Kommunikationsbeziehung und die öffentliche IP-Adresse derFiliale B.

In der Nachricht stehen die (lokalen) Netze der gewünschten Filiale. Da die beiden Gateways ihre per IKEv2-Routing von den Filialen gelernten Routen per BGP propagieren, weiss z.B. Gateway 2 (an dem Filale B hängt) daß das (lokale) Netz der Filiale A über Gateway 1 erreicht werden kann und schickt Gateway 1 die Message zu - soweit ich weiss halt nur unverschlüsselt in einem UDP-Paket an den IKE-Port (500)

Gruß
Backslash

[5624]

Ich hab noch einen passenden Router gefunden und es getestet. Erst mit OSPF, dies hat nicht geklappt, mit iBGP ging es dann sofort.

Und wie backslash schreibt, wird vom einen GW zum anderen per ISAKMP und unverschlüsselt kommuniziert. Die enthaltene Datenwurst hab ich jetzt aber nicht aufgeschnitten.

Ich weiß nicht, wie sehr LCS das Feature vorantreiben will oder ob es schon für einen möglichen Rückbau aus LCOS vorgesehen ist, aber vielleicht sollte man solche Sachen in die Doku aufnehmen. Ein Produkt kann nur so gut wie die Doku sein und, ähm, sie lässt nach. Manche Altthemen werden in einer extremen Tiefe behandelt, in der KB findet man auch Sachen, die niemand mehr braucht, aber je neuer ein Feature, umso dürftiger wird die Informationslage.

Jetzt muss ich mir überlegen, ob ich neben OSPF noch iBGP einführe. Hab erst vor kurzem RIP zu Grabe getragen.