Hallo Zusammen!
Stehe vor einem Problem und weiss nicht, ob ich es mit den 1721ern lösen kann.
Problemstellung: Ich habe 2 Fillialen (Hauptsitz + Aussenstelle), die per VPN miteinander verbunden werden sollen. Im Hauptsitz habe ich 2 DSLer und in der Aussenstelle 1 DSLer zur Verfügung. Nun zur Frage, wenn ich einen VPN-Tunnel für den 1. DSLer konfiguriere, kann ich den 2. DSLer als Backup konfigurieren, so dass dieser einspringt, falls der erste zur Aussenstelle ausfällt (inkl. VPN-Verbindung)? Wenn ja, wie muss ich das konfigurieren, bzw. gibt es da Handons die mich schlau machen würden?!
Danke für Eure Hilfe!!!
Zweigstellen per VPN verbinden und Backup
Moderator: Lancom-Systems Moderatoren
-
screamphoenix
- Beiträge: 6
- Registriert: 07 Aug 2008, 10:16
Hi screamphoenix
du kannst den 2. DSL problemlos als Backup für den ersten konfigurieren, dazu trägst du ihn einfach in der Backup-Tabelle (Kommunikation -> Rufverwaltung -> Backup-Tabelle) ein.
Achtung: Der zweite DSL darf dann aber *nur* für das Backup genutzt werden, d.h. wenn die Verbindung auf dem ersten DSL besteht, dann darf auf dem zweiten keine Verbinung aufgebaut sein.
Wenn du beide DSL parallel nutzen willst, dann bietet sich ein Loadbalancer an...
Im VPN gibt es nun zwei Möglichkeiten:
1. der Tunnel wird von der Filiale zur Hauptstelle aufgebaut
Hier reicht es aus, einfach die beiden IP-Adressen der DSL-Verbindungen als entfernte Gateways einzutragen. Die des ersten DSL wird direkt in der VPN-Verbindungsliste (VPN -> Allgemein -> VPN-Verbindungsliste) und die des zweiten als weiteres entferntes Gateway (VPN -> Allgemein -> weitere entfernte Gateways). Dort trägst weiterhin unter "Anfangen mit Gateway" den Wert "Erstem" ein, damit die Filiale immer zuerst die erste DSL-verbindung nutzt.
2. der Tunnel wird von der Hauptstelle zur Filiale aufgebaut
Hier läuft die Umschaltung letztendlich automatisch, jedcoh mußt du hier zwingend dynamic VPN einsetzen oder mit Zertifikaten arbeiten oder auf den unsicheren Aggressive-Mode zurückfallen, damit die Filiale die VPN-Regeln korrekt aufbaut, jenachdem welcher der beiden DSL-Zugänge genutzt wird.
Gruß
Backslash
du kannst den 2. DSL problemlos als Backup für den ersten konfigurieren, dazu trägst du ihn einfach in der Backup-Tabelle (Kommunikation -> Rufverwaltung -> Backup-Tabelle) ein.
Achtung: Der zweite DSL darf dann aber *nur* für das Backup genutzt werden, d.h. wenn die Verbindung auf dem ersten DSL besteht, dann darf auf dem zweiten keine Verbinung aufgebaut sein.
Wenn du beide DSL parallel nutzen willst, dann bietet sich ein Loadbalancer an...
Im VPN gibt es nun zwei Möglichkeiten:
1. der Tunnel wird von der Filiale zur Hauptstelle aufgebaut
Hier reicht es aus, einfach die beiden IP-Adressen der DSL-Verbindungen als entfernte Gateways einzutragen. Die des ersten DSL wird direkt in der VPN-Verbindungsliste (VPN -> Allgemein -> VPN-Verbindungsliste) und die des zweiten als weiteres entferntes Gateway (VPN -> Allgemein -> weitere entfernte Gateways). Dort trägst weiterhin unter "Anfangen mit Gateway" den Wert "Erstem" ein, damit die Filiale immer zuerst die erste DSL-verbindung nutzt.
2. der Tunnel wird von der Hauptstelle zur Filiale aufgebaut
Hier läuft die Umschaltung letztendlich automatisch, jedcoh mußt du hier zwingend dynamic VPN einsetzen oder mit Zertifikaten arbeiten oder auf den unsicheren Aggressive-Mode zurückfallen, damit die Filiale die VPN-Regeln korrekt aufbaut, jenachdem welcher der beiden DSL-Zugänge genutzt wird.
Gruß
Backslash
-
screamphoenix
- Beiträge: 6
- Registriert: 07 Aug 2008, 10:16
Danke backslash für die superschnelle und supergenau Antwort! Das hilft mir doch sehr weiter!
Aber da kommt mir noch eine Frage auf, wo Du das Thema Loadbalancing ansprichst. Ich dachte Loadbalancing und VPN tun es nicht zusammen, aufgrund der Eigenschaften von IPsec? Oder irre ich mich da?!
Wenn man natürlich mein Problem auch mt Loadbalacing angehen könnte, dass wäre natürlich der Oberhammer!
Habe da gerade folgendes HowTo gefunden:
http://www2.lancom.de/kb.nsf/a5ddf48173 ... enDocument
Aber demnach läuft ja VPN nur über den 1. DSLer, wenn der also ausfällt, hab ich ja keinen Tunnel mehr zwischen den Standorten. Ist es denn möglich, dass bei Ausfall der Tunnel quasi "umswitched" auf den 2. DSLer?
Oder kann ich das hier dann zusätzlich einbauen???
Aber da kommt mir noch eine Frage auf, wo Du das Thema Loadbalancing ansprichst. Ich dachte Loadbalancing und VPN tun es nicht zusammen, aufgrund der Eigenschaften von IPsec? Oder irre ich mich da?!
Wenn man natürlich mein Problem auch mt Loadbalacing angehen könnte, dass wäre natürlich der Oberhammer!
Habe da gerade folgendes HowTo gefunden:
http://www2.lancom.de/kb.nsf/a5ddf48173 ... enDocument
Aber demnach läuft ja VPN nur über den 1. DSLer, wenn der also ausfällt, hab ich ja keinen Tunnel mehr zwischen den Standorten. Ist es denn möglich, dass bei Ausfall der Tunnel quasi "umswitched" auf den 2. DSLer?
Oder kann ich das hier dann zusätzlich einbauen???
Hier reicht es aus, einfach die beiden IP-Adressen der DSL-Verbindungen als entfernte Gateways einzutragen. Die des ersten DSL wird direkt in der VPN-Verbindungsliste (VPN -> Allgemein -> VPN-Verbindungsliste) und die des zweiten als weiteres entferntes Gateway (VPN -> Allgemein -> weitere entfernte Gateways). Dort trägst weiterhin unter "Anfangen mit Gateway" den Wert "Erstem" ein, damit die Filiale immer zuerst die erste DSL-verbindung nutzt.
Hi screamphoenix
ja und nein...
Ein Loadbalancing in der Art, daß mehrere VPN-Tunnel zusammengefaßt werden geht nicht, weil das gegen die Eindeutigkeit der IPSec-Regeln verstößt...
Hier ging es aber darum nur einen Tunnel aufzubauen und zwar entweder über DSL-1 oder DSL-2. Hierbei sind zwar DSL-1 und DSL-2 zu einem Loadbalancer zusammengefaßt, was aber völlig unabhängig vom VPN ist, dann der VPN-Tunnel wird entweder von aussen zu DSL-1 oder DSL-2 aufgebaut, oder aber von innen.
Wenn der Aufbau durch das LANCOM erfolgt, also von innen, kannst du entweder dem LANCOM die Entscheidung überlassen, über welche der DSL-Verbindungen der Tunnel aufgebaut wird, oder aber du arbeitest mit Routing-Tags und bindest dadurch das VPN auf einen der beiden Loadbalancer-Kanäle
Aber wie gesagt: Am einfachsten ist es, den Tunnel von der Filiale aus aufbauen zu lassen, denn da sind dann die wenigsten "Verrenkungen" nötig
Gruß
Backslash
Aber da kommt mir noch eine Frage auf, wo Du das Thema Loadbalancing ansprichst. Ich dachte Loadbalancing und VPN tun es nicht zusammen, aufgrund der Eigenschaften von IPsec? Oder irre ich mich da?!
ja und nein...
Ein Loadbalancing in der Art, daß mehrere VPN-Tunnel zusammengefaßt werden geht nicht, weil das gegen die Eindeutigkeit der IPSec-Regeln verstößt...
Hier ging es aber darum nur einen Tunnel aufzubauen und zwar entweder über DSL-1 oder DSL-2. Hierbei sind zwar DSL-1 und DSL-2 zu einem Loadbalancer zusammengefaßt, was aber völlig unabhängig vom VPN ist, dann der VPN-Tunnel wird entweder von aussen zu DSL-1 oder DSL-2 aufgebaut, oder aber von innen.
Wenn der Aufbau durch das LANCOM erfolgt, also von innen, kannst du entweder dem LANCOM die Entscheidung überlassen, über welche der DSL-Verbindungen der Tunnel aufgebaut wird, oder aber du arbeitest mit Routing-Tags und bindest dadurch das VPN auf einen der beiden Loadbalancer-Kanäle
Das beschreibt die für notwendige Loadbalancer-Konfiguration, um mit Hilfe von Routing-Tags einzelne Dienste, wie z.B. den VPN-Tunnel, auf bestimmte DSL-Kanäle festzunagelnHabe da gerade folgendes HowTo gefunden:
http://www2.lancom.de/kb.nsf/a5ddf4817397f...enDocument
wenn du das remote Gateway des Tunnels mit einem Routing-Tag auf DSL-1 festgenagelt hast: jaAber demnach läuft ja VPN nur über den 1. DSLer, wenn der also ausfällt, hab ich ja keinen Tunnel mehr zwischen den Standorten.
Dazu mußt du für den Tunnel nur ein weiteres Remotes Gateway eintragen, das du mit dem Routing-Tag der DSL-2 Verbindung versiehstIst es denn möglich, dass bei Ausfall der Tunnel quasi "umswitched" auf den 2. DSLer?
wie du siehst, ist das genau die Lösung...Oder kann ich das hier dann zusätzlich einbauen???Hier reicht es aus, einfach die beiden IP-Adressen der DSL-Verbindungen als entfernte Gateways einzutragen. Die des ersten DSL wird direkt in der VPN-Verbindungsliste (VPN -> Allgemein -> VPN-Verbindungsliste) und die des zweiten als weiteres entferntes Gateway (VPN -> Allgemein -> weitere entfernte Gateways). Dort trägst weiterhin unter "Anfangen mit Gateway" den Wert "Erstem" ein, damit die Filiale immer zuerst die erste DSL-verbindung nutzt.
Aber wie gesagt: Am einfachsten ist es, den Tunnel von der Filiale aus aufbauen zu lassen, denn da sind dann die wenigsten "Verrenkungen" nötig
Gruß
Backslash
-
screamphoenix
- Beiträge: 6
- Registriert: 07 Aug 2008, 10:16