Fragen zum IPSec-Failover

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
Tobias U.
Beiträge: 66
Registriert: Di 28.01.2014, 11:51

Fragen zum IPSec-Failover

Beitrag von Tobias U. »

Hallo,

ich versuche gerade in einer Testumgebung den IPSec-Failover zu testen. Ziel ist dabei dass zwei Standorte mit jeweils 2 Internetleitungen sich mit IPSec verbinden können. Es gibt jeweils eine Hauptleitung und eine Fallback-Leitung. Wenn die Hauptleitung ausfällt auf einem Standort, soll das Remote-Netzwerk per IPSec über die andere Leitung angesprochen werden.

Ich habe das alles virtuell aufgebaut.



Hier die virtuelle Netzwerkumgebung: IPSec-Failover-Schema

Der zentrale Router routet zusätzlich noch mit Hidenat ins Internet. Netzwerktechnisch ist auf den Securepoints(FW-A und FW-B) die Standardinternetverbindung auf LAN1 mit Fallback-Interface zu LAN2. Der Fallback funktioniert grundsätzlich. Das habe ich getestet, indem ich das primäre Interface am Router jeweils abgeschaltet habe und geprüft habe, ob die entsprechende VM hinter entsprechenden Firewall immer noch ins Internet kommt.

Eine einfache IPSec-Verbindung habe ich über die jeweils primäre IP aufgebaut. Das funktioniert ebenso. Ich kann z. B. zwischen VM-A und VM-B hin und her pingen.

Weiterhin habe ich die IPSec-Verbindung möglichst generisch aufgebaut:

- Lokales Interface: Any
- Lokale Gateway-ID: @@fw-a@provider.de
- Remote Gateway-ID: @@fw-b@provider.de
- Remote Host: fw-a.test.provider.de

1. Frage: Wie ist die Einrichtung für IKEv2?

Im Wiki im entsprechenden Beitrag ( https://wiki.securepoint.de/IPSec_in_Ve ... _Multipath ) ist das nur für IKEv1 beschrieben. Was muss bei IKEv2 beachtet/konfiguriert werden?

2. Frage: Wie konfiguriere ich den Failover mit dem gleichen Netz?

Im Wiki im erwähnten Beitrag im Beispiel unter Schritt 4 sind zwei verschiedene Remote-Netzwerke angegeben 10.10.10.0/24 und 10.10.11.0/24. Weil das aber natürlich ein Failover sein soll, soll natürlich das gleiche Netzwerk verwendet werden, dass je nachdem, welche Schnittstelle verfügbar ist, über diese entsprechende Schnittstelle via IPSec geroutet werden soll. Wie wird das konfiguriert?

Vielen Dank für die Unterstützung im Voraus,
Tobias

Bjoern
Securepoint
Beiträge: 685
Registriert: Mi 03.07.2013, 10:06

Beitrag von Bjoern »

Hallo,

wenn Sie auf beiden Seiten mit Fallback und Dyndns arbeiten brauchen Sie nur einen VPN Tunnel. Das Gateway ist immer die Gegenstelle mit dem Dyndns Eintrag. IDs können Sie alles mögliche Verwenden. Ob es jetzt die Dyndns Adresse, IP oder ein Text ist spielt keine Rolle.
In der Phase1 brauchen Sie nichts spezielles berücksichtigen es muss jedoch immer zu einem match kommen das betrifft IKEv1 und IKEv2.

Tobias U.
Beiträge: 66
Registriert: Di 28.01.2014, 11:51

Beitrag von Tobias U. »

Die Möglichkeit hier DynDNS einzusetzen ist mir schon klar. Aber DNS ist halt jetzt nicht so optimal im Sinne von sofortiger Umschaltung. Es gibt da durchaus Provider, die haben minimale TTLs von 1 Stunde oder mehr. Gibt es da keine anderen Möglichkeiten?

Bjoern
Securepoint
Beiträge: 685
Registriert: Mi 03.07.2013, 10:06

Beitrag von Bjoern »

Hallo,

nein nicht wirklich da Sie ja auf beiden Seiten einen Fallback realisieren wollen. Sonst können Sie einen IPSec Tunnel und einen SSL-VPN Tunnel benutzen. IPSec greift vor SSL-VPN. Sollte IPSec nicht mehr stehen würde SSL-VPN greifen. Schließt aber ein Fallback auf einer Seite aus.

Antworten