VPN LAN-LAN failover z użyciem TRUNK Backup

VPN TRUNK umożliwia skonfigurowanie dwóch profili VPN, z których jeden pełni rolę podstawowego a drugi zapasowego.

Spis treści:
1. Konfiguracja serwera VPN
2. Konfiguracja klienta VPN
3. Status połączenia

Główne założenia przykładu:
– preferowany jest tunel VPN pomiędzy WAN1 Routera 2 a WAN1 Routera 1
– typ tunelu: LAN-LAN (site-site) z routingiem pomiędzy podsieciami
– protokół VPN: IPSec
– szyfrowanie: AES
– autentykacja: klucz IKE
– serwer VPN: WAN1 IP: 1.1.1.1, WAN2 IP: 3.3.3.3, LAN IP: 192.168.1.1 /24
– klient VPN: WAN1 IP: 2.2.2.2, WAN2 IP: 4.4.4.4, LAN IP: 192.168.2.1 /24, wsparcie VPN TRUNK backup

W omawianym przykładzie skupiono się na mechanizmach VPN Trunk Backup.
Szczegółowe informacje w kwestii WAN, LAN, VPN znajdziesz w innych przykładach.

1. Konfiguracja serwera VPN

Przejdź do zakładki VPN and Remote Access >> LAN-LAN.
Stwórz dwa profile VPN.
Po dodaniu drugiego profilu pojawi się ostrzeżenie Warning:”Remote Network IP” of the profile is in conflict with others!, które informuje, że zdalne sieci w profilach są takie same – jest to zgodne z założeniami przykładu.

Profil do odbierania połączenia z interfejsu WAN1 Routera 2:


Profil do odbierania połączenia z interfejsu WAN2 Routera 2:

2. Konfiguracja klienta VPN

Przejdź do zakładki VPN and Remote Access >> LAN-LAN.
Stwórz dwa profile VPN.
Po dodaniu drugiego profilu pojawi się ostrzeżenie Warning:”Remote Network IP” of the profile is in conflict with others!, które informuje, że zdalne sieci w profilach są takie same – jest to zgodne z założeniami przykładu.

Profil do inicjowania połączenia do interfejsu WAN1 Routera 1:
Profil do inicjowania połączenia do interfejsu WAN2 Routera 1:

Przejdź do zakładki VPN and Remote Access >> VPN TRUNK Management.
Na dole strony wybierz/wypełnij następujące pola:
– Zaznacz Enable.
– Wpisz dowolną nazwę profilu.
– Wybierz pierwszego członka Member1 oraz drugiego członka Member2
– Wybierz tryb aktywności Backup.
– Kliknij przycisk Add, aby utworzyć profil VPN TRUNK Backup.
Przejdź ponownie do zakładki VPN and Remote Access >> VPN TRUNK Management
Kliknij przycisk Advanced, aby przejść do ustawień zaawansowanych.
W nowym okienku wybierz tryb Resume.
Tryb Normal oznacza przełączanie tunelu tylko w przypadku awarii.
Tryb Resume (Member 1 first) oznacza przełączanie tunelu nie tylko w przypadku awarii, ale dążenie do tunelu VPN pierwszego członka czyli w omawianym przykładzie tunel VPN pomiędzy WAN1 Routera 2 a WAN1 Routera 1.

3. Status połączenia

Router 2 jest stroną inicjującą VPN – na nim działa VPN Trunk Backup.
Awaria interfejsu WAN Routera 2 powoduje natychmiastowe rozłączenie VPN (jeśli przez ten WAN był zestawiony tunel)  i automatyczne uruchomienie przez aktywny WAN. Przerwa w transmisji danych przez tunel wynosi kilka sekund.
Awaria interfejsu WAN Routera 1 powoduje kilkudziesięciosekundową przerwę w transmisji , gdyż czas niezbędny na wykrycie uszkodzenia tunelu IPsec przez mechanizmy DPD wynosi 30~45 sekund.

Wariant 1: wszystkie łącza aktywne
VPN pomiędzy WAN1 Routera 2 a WAN1 Routera 1.

Status klienta:
Status serwera:
Wariant 2: awaria WAN1 Routera 2
VPN pomiędzy WAN2 Routera 2 a WAN1 Routera 1.

Status klienta:
Status serwera:

Wariant 3: awaria WAN1 Routera 1
VPN pomiędzy WAN1 Routera 2 a WAN2 Routera 1.

Status klienta:
Status serwera:

Wariant 4: awaria WAN1 Routera 1 oraz WAN1 Routera 2
VPN pomiędzy WAN2 Routera 2 a WAN2 Routera 1.

Status klienta:
Status serwera:

W tej witrynie stosujemy pliki cookies. Standardowe ustawienia przeglądarki internetowej zezwalają na zapisywanie ich na urządzeniu końcowym Użytkownika. Kontynuowanie przeglądania serwisu bez zmiany ustawień traktujemy jako zgodę na użycie plików cookies. Więcej informacji w Polityce Cookies.

Akceptuję