VPN LAN-LAN failover z użyciem TRUNK Backup

VPN TRUNK umożliwia skonfigurowanie dwóch profili VPN, z których jeden pełni rolę podstawowego a drugi zapasowego

Główne założenia przykładu:
– preferowany jest tunel VPN pomiędzy WAN1 Routera 2 a WAN1 Routera 1
– typ tunelu: LAN-LAN (site-site) z routingiem pomiędzy podsieciami
– protokół VPN: IPSec
– szyfrowanie: AES
– autentykacja: klucz IKE
– serwer VPN: WAN1 IP: 1.1.1.1, WAN2 IP: 3.3.3.3, LAN IP: 192.168.1.1 /24
– klient VPN: WAN1 IP: 2.2.2.2, WAN2 IP: 4.4.4.4, LAN IP: 192.168.2.1 /24, wsparcie VPN TRUNK backup

W omawianym przykładzie skupiono się na mechanizmach VPN Trunk Backup.
Szczegółowe informacje w kwestii WAN, LAN, VPN znajdziesz w innych przykładach.

1. Konfiguracja serwera VPN

Przejdź do zakładki VPN and Remote Access >> LAN-LAN.
Stwórz dwa profile VPN.
Po dodaniu drugiego profilu pojawi się ostrzeżenie Warning:”Remote Network IP” of the profile is in conflict with others!, które informuje, że zdalne sieci w profilach są takie same – jest to zgodne z założeniami przykładu.

Profil do odbierania połączenia z interfejsu WAN1 Routera 2:


Profil do odbierania połączenia z interfejsu WAN2 Routera 2:

2. Konfiguracja klienta VPN

Przejdź do zakładki VPN and Remote Access >> LAN-LAN.
Stwórz dwa profile VPN.
Po dodaniu drugiego profilu pojawi się ostrzeżenie Warning:”Remote Network IP” of the profile is in conflict with others!, które informuje, że zdalne sieci w profilach są takie same – jest to zgodne z założeniami przykładu.

Profil do inicjowania połączenia do interfejsu WAN1 Routera 1:
Profil do inicjowania połączenia do interfejsu WAN2 Routera 1:

Przejdź do zakładki VPN and Remote Access >> VPN TRUNK Management.
Na dole strony wybierz/wypełnij następujące pola:
– Zaznacz Enable.
– Wpisz dowolną nazwę profilu.
– Wybierz pierwszego członka Member1 oraz drugiego członka Member2
– Wybierz tryb aktywności Backup.
– Kliknij przycisk Add, aby utworzyć profil VPN TRUNK Backup.
Przejdź ponownie do zakładki VPN and Remote Access >> VPN TRUNK Management
Kliknij przycisk Advanced, aby przejść do ustawień zaawansowanych.
W nowym okienku wybierz tryb Resume.
Tryb Normal oznacza przełączanie tunelu tylko w przypadku awarii.
Tryb Resume (Member 1 first) oznacza przełączanie tunelu nie tylko w przypadku awarii, ale dążenie do tunelu VPN pierwszego członka czyli w omawianym przykładzie tunel VPN pomiędzy WAN1 Routera 2 a WAN1 Routera 1.

3. Status połączenia

Router 2 jest stroną inicjującą VPN – na nim działa VPN Trunk Backup.
Awaria interfejsu WAN Routera 2 powoduje natychmiastowe rozłączenie VPN (jeśli przez ten WAN był zestawiony tunel)  i automatyczne uruchomienie przez aktywny WAN. Przerwa w transmisji danych przez tunel wynosi kilka sekund.
Awaria interfejsu WAN Routera 1 powoduje kilkudziesięciosekundową przerwę w transmisji , gdyż czas niezbędny na wykrycie uszkodzenia tunelu IPsec przez mechanizmy DPD wynosi 30~45 sekund.

Wariant 1: wszystkie łącza aktywne
VPN pomiędzy WAN1 Routera 2 a WAN1 Routera 1.

Status klienta:
Status serwera:
Wariant 2: awaria WAN1 Routera 2
VPN pomiędzy WAN2 Routera 2 a WAN1 Routera 1.

Status klienta:
Status serwera:

Wariant 3: awaria WAN1 Routera 1
VPN pomiędzy WAN1 Routera 2 a WAN2 Routera 1.

Status klienta:
Status serwera:

Wariant 4: awaria WAN1 Routera 1 oraz WAN1 Routera 2
VPN pomiędzy WAN2 Routera 2 a WAN2 Routera 1.

Status klienta:
Status serwera: