Konfiguration des Gateways in der Zentrale

Einrichtung der Internetverbindungen

Am Standort der Zentrale werden zur Ausfallsicherheit und um eine höhere Bandbreite zu erreichen zwei ADSL-Internetzugänge parallel verwendet. Diese Internetzugänge werden mit Hilfe des Assistenten konfiguriert.

  1. Gehen Sie zu Assistenten -> Internet -> Internetverbindungen -> Neu.

  2. Wählen Sie bei Verbindungstyp Internes ADSL-Modem aus.

  3. Klicken Sie auf Weiter um eine neue Internetverbindung zu konfigurieren.

  4. Geben Sie die erforderlichen Daten für die Verbindung ein.

Assistenten -> Internet -> Internetverbindungen -> Neu -> Weiter

Gehen Sie folgendermaßen vor, um einen Internetzugang zu konfigurieren:

  1. Bei Beschreibung tragen Sie z. B. ADSL-1 ein.

  2. Bei Typ wählen Sie Benutzerdefiniert über PPPoE (PPP über Ethernet) aus.

  3. Bei Benutzername geben Sie den Namen ein, welches Sie von Ihrem Provider erhalten haben z. B. ADSL-Benutzername .

  4. Geben Sie das Passwort ein, welches Sie von Ihrem Provider erhalten haben, z. B. test12345 .

  5. Im Feld Immer aktiv legen Sie fest, ob die Internetverbindung immer aktiv sein soll. Aktivieren Sie diese Option nur, wenn Sie über einen Internetzugang mit Flatrate verfügen.

  6. Bestätigen Sie Ihre Angaben mit OK.

Für die Einrichtung der zweiten ADSL-Verbindung wird der Assistent ein weiteres mal ausgeführt.

  1. Gehen Sie zu Assistenten -> Internet -> Internetverbindungen -> Neu.

  2. Wählen Sie bei Verbindungstyp Externes xDSL-Modem aus.

  3. Klicken Sie auf Weiter um eine neue Internetverbindung zu konfigurieren.

  4. Geben Sie die erforderlichen Daten für die Verbindung ein.

Assistenten -> Internet -> Internetverbindungen -> Neu -> Weiter

Hinweis

Die Hinweismeldung beim Anlegen der zweiten ADSL-Verbindung kann ignoriert werden. Routingkonflikte aufgrund von mehreren Standardrouten werden durch die IP-Lastverteilung verhindert!

Gehen Sie folgendermaßen vor, um die zweite Internetverbindung zu konfigurieren:

  1. Bei Beschreibung geben Sie eine beliebige Bezeichnung für die Internetverbindung ein, z. B. ADSL-2 ein.

  2. Im Menüpunkt Physischer Ethernet-Port wählen Sie den physikalischen Ethernet-Port aus an dem das xDSL-Modem angeschlossen ist, hier ETH5 .

  3. Bei Benutzername geben Sie die Zugangsdaten ein, die Sie von Ihrem Provider erhalten haben, z. B. ADSL-Benutzername2 .

  4. Geben Sie das Paswort ein, das Sie von Ihrem Provider erhalten haben, z. B. test12345 .

  5. Bestätigen Sie Ihre Angaben mit OK.

Nach erfolgter Konfiguration zeigt der Assistent zur Konfiguration von Internetverbindungen zwei Einträge.

  1. Gehen Sie zu Assistenten -> Internet -> Internetverbindungen.

Assistenten -> Internet -> Internetverbindungen

Einrichtung der IP-Lastverteilung

Zur Einrichtung der IP-Lastverteilung muss zunächst eine Lastverteilungsgruppe angelegt werden.

  1. Gehen Sie zu Netzwerk -> Lastverteilung -> Lastverteilungsgruppen -> Neu.

Netzwerk -> Lastverteilung -> Lastverteilungsgruppen -> Neu

Gehen Sie folgendermaßen vor, um eine Lastverteilungsgruppe anzulegen:

  1. Bei Gruppenbeschreibung geben Sie eine Bezeichnung für die Lastverteilungsgruppe ein, z. B. Internetzugang .

  2. Wählen Sie bei Verteilungsrichtlinie das Verfahren ein, nach dem die Daten verteilt werden, hier Sitzungs-Round-Robin (für eine Lastverteilung Basierend auf IP-Sitzungen).

Anschließend können die beiden ADSL-Internetzugänge zu dieser Lastverteilungsgruppe hinzugefügt werden.

Klicken Sie dazu auf Hinzufügen.

Netzwerk -> Lastverteilung -> Lastverteilungsgruppen -> Hinzufügen

Gehen Sie folgendermaßen vor:

  1. Wählen Sie bei Schnittstelle den ersten ADSL-Zugang WAN_ADSL-1 aus.

  2. Bei Verteilungsverhältnis geben Sie 50 % ein.

  3. Klicken Sie auf Übernehmen.

  4. Fügen Sie mit Hinzufügen die zweite ADSL-Leitung hinzu.

  5. Wählen Sie bei Schnittstelle den zweiten ADSL-Zugang WAN_ADSL-2 aus.

  6. Bei Verteilungsverhältnis geben Sie 50 % ein.

  7. Klicken Sie auf Übernehmen.

Ergebnis:

Netzwerk -> Lastverteilung -> Lastverteilungsgruppen

Nach diesem Konfigurationsschritt sind bereits beide Internetverbindungen mit Hilfe der IP-Lastverteilung verwendbar. In diesem Scenario sind durch das Aktivieren der IP-Lastverteilung keine Erweiterten Routingeinträge notwendig um den Aufbau der VPN IPSec-Tunnel zu ermöglichen.

Einrichtung der VPN IPSec-Verbindungen

Die VPN IPSec-Verbindungen werden in diesem Scenario immer vom Gateway der Filiale zum Gateway der Zentrale aufgebaut. Für beide Tunnelverbindungen kann das gleiche IPSec Phase1- und Phase2-Profil verwendet werden. Legen Sie dazu zwei neue VPN-Tunnel an.

  1. Gehen Sie zu VPN -> IPSec -> IPSec-Peers -> Neu.

VPN -> IPSec -> IPSec-Peers -> Neu

Gehen Sie folgendermaßen vor um eine neue Verbindung hinzuzufügen:

  1. Stellen Sie den Administrativer Status auf Aktiv . Der Peer steht nach dem Speichern der Konfiguration sofort für den Aufbau eines Tunnels zur Verfügung.

  2. Bei Beschreibung geben Sie eine Beschreibung des Peers, die diesen identifiziert ein, z. B. Filiale1_Peer-1 .

  3. Bei Peer-Adresse wird keine Adresse eingetragen, da der VPN-Tunnel immer vom Gateway der Filiale zum Gateway der Zentrale aufgebaut wird.

  4. Bei Peer-ID wird für den ersten VPN-Tunnel zur Anbindung der Filiale der ID-Typ E-Mail-Adresse und der ID-Wert Filiale1_Peer1@bintec-elmeg.com verwendet. Die Peer-ID muss eindeutig sein und mit dem lokalen ID-Wert der Gegenstelle übereinstimmen.

  5. Bei IKE (Internet Key Exchange) wählen Sie die Version des Internet Key Exchange Protokolls. In diesem Scenario muss IKEv1 verwendet werden.

  6. Im Preshared Key tragen Sie ein Passwort für die verschlüsselte Verbindung, z. B. test12345 ein.

  7. Für IPv4-Adressvergabe wählen Sie den Konfigurationsmodus Statisch aus.

  8. In diesem Scenario wird die Option Standardroute nicht gesetzt.

  9. Die Lokale IP-Adresse ist die IP-Adresse welche an die Tunnel-Schnittstelle gebunden wird. Hier wird eine Adresse aus einem bisher nicht verwendeten Netzwerk verwendet, z. B. 1.0.0.1 . Durch diese eindeutige IP-Adresse können Ping-Anfragen, zur Überwachung des VPN-Tunnels, gezielt über die VPN-Tunnel-Schnittstelle gesendet werden.

  10. Als Routeneintrag wird die IP-Adresse / Netzmaske des Zielnetzwerk definiert. Falls weitere Zielnetzwerke über den Tunnel geroutet werden sollen, können diese mit Hinzufügen hinzugefügt werden.

    In unserem Beispiel sind zwei Routingeinträge notwendig.

    Tragen Sie eine Adresse aus dem Bereich der Lokalen IP-Adresse der Tunnel-Schnittstelle ein, welche zur Überwachung des Tunnels verwendet wird z. B. 1.0.0.2 . Diese Adresse muss mit der Lokalen IP-Addresse der VPN Tunnel-Schnittstelle am Filal-Gateway übereinstimmen für das Netzwerk der Filiale, in diesem Beispiel 192.168.1.0/24 ist ein weiterer Routing-Eintrag notwendig.

  11. Als Phase-1-Profil wird das Standardprofil verwendet, welches automatisch generiert wurde.

  12. Als Phase-2-Profil wird das Standardprofil verwendet, welches automatisch generiert wurde.

  13. Belassen Sie die restlichen Einstellungen und bestätigen Sie mit OK.

Nach der Konfiguration der ersten VPN IPSec-Verbindung zur Anbindung der Filiale kann nun der zweite VPN IPSec-Tunnel angelegt werden.

  1. Gehen Sie zu VPN -> IPSec -> IPSec-Peers -> Neu.

VPN -> IPSec -> IPSec-Peers -> Neu

Gehen Sie folgendermaßen vor um eine neue Verbindung hinzuzufügen:

  1. Stellen Sie den Administrativer Status auf Aktiv . Der Peer steht nach dem Speichern der Konfiguration sofort für den Aufbau eines Tunnels zur Verfügung.

  2. Bei Beschreibung geben Sie eine Beschreibung des Peers, die diesen identifiziert ein, z. B. Filiale1_Peer-2 .

  3. Bei Peer-Adresse wird keine Adresse eingetragen, da der VPN-Tunnel immer vom Gateway der Filiale zum Gateway der Zentrale aufgebaut wird.

  4. Bei Peer-ID wird für den ersten VPN-Tunnel zur Anbindung der Filiale der ID-Typ E-Mail-Adresse und der ID-Wert Filiale1_Peer2@bintec-elmeg.com verwendet. Die Peer-ID muss eindeutig sein und mit dem lokalen ID-Wert der Gegenstelle übereinstimmen.

  5. Bei IKE (Internet Key Exchange) wählen Sie die Version des Internet Key Exchange Protokolls. In diesem Scenario muss IKEv1 verwendet werden.

  6. Im Preshared Key tragen Sie ein Passwort für die verschlüsselte Verbindung, z. B. test12345 ein.

  7. Für IPv4-Adressvergabe wählen Sie den Konfigurationsmodus Statisch aus.

  8. In diesem Scenario wird die Option Standardroute nicht gesetzt.

  9. Die Lokale IP-Adresse ist die IP-Adresse welche an die Tunnel-Schnittstelle gebunden wird. Hier wird eine Adresse aus einem bisher nicht verwendeten Netzwerk verwendet z. B. 2.0.0.1 . Durch diese eindeutige IP-Adresse können Ping-Anfragen, zur Überwachung des VPN-Tunnels, gezielt über die VPN-Tunnel-Schnittstelle gesendet werden.

  10. Als Routeneintrag wird die IP-Adresse / Netzmaske das Zielnetzwerk definiert. Falls weitere Zielnetzwerke über den Tunnel geroutet werden sollen, können diese mit Hinzufügen hinzugefügt werden.

    In unserem Beispiel sind zwei Routingeinträge notwendig.

    Tragen Sie eine Adresse aus dem Bereich der Lokalen IP-Adresse der Tunnel-Schnittstelle ein, welche zur Überwachung des Tunnels verwendet wird z. B. 2.0.0.2 . Diese Adresse muss mit der Lokalen IP-Addresse der VPN Tunnel-Schnittstelle am Filal-Gateway übereinstimmen für das Netzwerk der Filiale, in diesem Beispiel 192.168.1.0/24 ist ein weiterer Routing-Eintrag notwendig.

  11. Als Phase-1-Profil wird das Standardprofil verwendet, welches automatisch generiert wurde.

  12. Als Phase-2-Profil wird das Standardprofil verwendet, welches automatisch generiert wurde.

  13. Belassen Sie die restlichen Einstellungen und bestätigen Sie mit OK.

Beim Anlegen der ersten VPN IPSec-Verbindung wurde automatisch ein IPSec Phase-1-Profile angelegt auf welches die beiden VPN IPSec-Tunnel verweisen. Um dieses Phase-1-Profile für die IPSec-Authentifizierung verwenden zu können muss die lokale IPsec-ID angepasst werden.

  1. Gehen Sie zu VPN -> IPSec -> Phase-1-Profile -> <Multi-Proposal> .

VPN -> IPSec -> Phase-1-Profile -> <Multi-Proposal>

Gehen Sie folgendermaßen vor:

  1. Bei Lokaler ID-Typ wählen Sie den Typ der lokalen ID aus, hier E-Mail-Adresse .

  2. Bei Lokaler ID-Wert geben Sie einen Wert an, mit dem das Gateway der Zentrale identifiziert werden kann, hier z. B. central@bintec-elmeg.com .

  3. Belassen Sie die restlichen Einstellungen und bestätigen Sie mit OK.

Überwachung der VPN IPSec-Verbindungen

Zur Überwachung der VPN IPSec-Tunnelverbindungen werden über beide Tunnel periodisch Ping-Anfragen zum Gateway der Filiale gesendet. Falls diese Ping Anfrage drei mal nicht beantwortet wird, lässt das Gateway der Zentrale über den jeweiligen Tunnel keine neuen Verbindungen zu. Sobald das Gateway der Filale die Ping Anfrage wieder drei mal beantwortet, werden neue IP-Verbindungen zugelassen. Während der Ausfallzeit eines VPN-Tunnels werden alle Daten über den noch verbleibenden VPN-Tunnel geleitet.

Für die Ping-Überwachung der VPN IPSec-Tunnel wurden beim Anlegen der IPsec-Peers bereits eindeutige IP-Adressen (in diesem Beispiel 1.0.0.2 und 2.0.0.2) vergeben. Mit diesen Adressen wird die Erreichbarkeit des Gateways der Filiale periodisch überwacht.

Im Menü Hosts können Sie eine automatische Erreichbarkeitsprüfung von Hosts oder Schnittstellen und automatische Ping-Tests konfigurieren.

  1. Gehen Sie zu Lokale Dienste -> Überwachung -> Hosts -> Neu.

Lokale Dienste -> Überwachung -> Hosts -> Neu

Gehen Sie folgendermaßen vor:

  1. Mit der Gruppen-ID kann die Überwachung von Hosts zu Gruppen verkettet werden. In diesem Scenario muss jede Host-Überwachung eine eindeutige Gruppen-ID verwenden.

  2. Bei Überwachte IP-Adresse geben Sie die IP-Adresse des Hosts ein, welcher überwacht werden soll. Für die Überwachung des ersten VPN IPSec-Tunnels wird in unserem Beispiel mit der Adresse 1.0.0.2 das Gateway der Filiale überwacht.

  3. Durch Setzen der Quell-IP-Adresse zur Host-Überwachung wird sichergestellt dass das Ping-Packet mit der Lokalen IP-Adresse der VPN Tunnel-Schnittstelle gesendet wurde so dass das Gateway der Filiale wieder über diesen Weg antworten kann. Wählen Sie Spezifisch und geben Sie die lokale IP-Adresse der ersten VPN IPSec-Schnittstelle an, z. B. 1.0.0.1 .

  4. Bei Intervall geben Sie das Zeitintervall (in Sekunden) ein, das zur Überprüfung der Erreichbarkeit des Hosts verwendet werden soll, hier z. B. 3 Sekunden.

  5. Bei Erfolgreiche Versuche geben Sie die Anzahl der Pings ein, die unbeantwortet bleiben müssen, damit der Host als nicht erreichbar angesehen wird. Hier z. B. nach 3 fehlgeschlagenen Versuchen.

  6. Bei Fehlgeschlagene Versuche geben Sie die Anzahl der Pings ein, die beantwortet werden müssen, damit ein Host wieder als erreichbar angesehen wird. In unserem Beispiel wird ein Host nach 3 erfolgreichen Ping Anfragen/Antworten wieder als erreichbar angesehen. Mit dieser Funktion sollen zu häufige Schwankungen der Verbindungen vermieden werden.

  7. Unter Auszuführende Aktionen wählen Sie die Option Überwachen aus, da der Status von Schnittstellen nicht verändert werden soll.

  8. Bestätigen Sie mit OK.

Zur Überwachung des zweiten VPN IPSec-Tunnels muss nach dem Speichern ein zweiter Eintrag zur Host-Überwachung angelegt werden. Legen Sie den zweiten Host-Überwachungs-Eintrag, mit Ausnahme der IP-Adressen, identisch zum ersten Eintrag an. In dem zweiten Eintrag zur Host-Überwachung werden die Lokalen IP-Adressen der zweiten VPN IPSec-Schnittstelle verwendet. In unserem Beispiel wird als Überwachte IP-Adresse die Adresse 2.0.0.2 und für die Quell-IP-Adresse die 2.0.0.1 verwendet.

Nach erfolgter Konfiguration werden in der Liste der Überwachten Hosts zwei Einträge gezeigt, welche die Erreichbarkeit der IP-Adressen des Filial-Gateways überwachen.

Ergebnis:

Lokale Dienste -> Überwachung -> Hosts

Konfiguration der IP-Lastverteilung für die VPN IPSec-Verbindungen

Für die Verteilung der IP-Sitzungen auf beide VPN IPSec-Verbindungen wird eine weitere Lastverteilungs-Gruppe angelegt.

  1. Gehen Sie zu Netzwerk -> Lastverteilung -> Lastverteilungsgruppen -> Neu.

Netzwerk -> Lastverteilung -> Lastverteilungsgruppen -> Neu

Gehen Sie folgendermaßen vor, um eine Lastverteilungsgruppe anzulegen:

  1. Bei Gruppenbeschreibung geben Sie eine Bezeichnung für die Lastverteilungsgruppe ein, z. B. VPN_Filiale1 .

  2. Wählen Sie bei Verteilungsrichtlinie das Verfahren ein, nach dem die Daten verteilt werden, hier Sitzungs-Round-Robin (für eine Lastverteilung Basierend auf IP-Sitzungen).

Anschließend können die beiden IPSec-Schnittstellen zu dieser Lastverteilungsgruppe hinzugefügt werden.

Klicken Sie dazu auf Hinzufügen.

Netzwerk -> Lastverteilung -> Lastverteilungsgruppen -> Hinzufügen

Gehen Sie folgendermaßen vor:

  1. Wählen Sie bei Schnittstelle die erste VPN IPSec-Schnittstelle zur Anbindung der Filiale aus, hier IPSEC_FILIALE1_PEER-1 .

  2. Bei Verteilungsverhältnis geben Sie 50 % ein. Mit dieser Option wird festgelegt in welchem Verhältnis neue IP-Sitzungen auf die Schnittstellen der IP-Lastverteilungsgruppe verteilt werden.

  3. Der Routenselektor wird in diesem Beispiel bei Keiner belassen, da keine Schnittstellen mehrfach in unterschiedlichen Lastverteilungsgruppen zugewiesen wurden.

  4. Mit der Option IP-Adresse zur Nachverfolgung wird die IP-Adresse aus der bereits konfigurierten Host-Überwachung gewählt, z. B. 1.0.0.2 . Sobald die Host-Überwachung den Abbruch der Verbindung feststellt, werden keine weiteren IP-Sitzungen über diesen VPN IPSec-Tunnel aufgebaut.

  5. Klicken Sie auf Übernehmen.

  6. Fügen Sie mit Hinzufügen die zweite VPN IPSec-Schnittstelle hinzu.

  7. Wählen Sie bei Schnittstelle IPSEC_FILIALE1_PEER-2 aus.

  8. Bei Verteilungsverhältnis geben Sie 50 % ein.

  9. Wählen Sie die IP-Adresse zur Nachverfolgung aus, z. B. 2.0.0.2 .

  10. Klicken Sie auf Übernehmen.

Ergebnis:

Netzwerk -> Lastverteilung -> Lastverteilungsgruppen

Copyright© Version 08/2020 bintec elmeg GmbH