Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.

VPN failover kako?

[es] :: Enterprise Networking :: VPN failover kako?

[ Pregleda: 4177 | Odgovora: 16 ] > FB > Twit

Postavi temu Odgovori

Autor

Pretraga teme: Traži
Markiranje Štampanje RSS

pereubu
admin, Pancevo

Član broj: 194051
Poruke: 104
*.static.isp.telekom.rs.



+1 Profil

icon VPN failover kako?30.08.2010. u 08:59 - pre 165 meseci
Imam Cisco ruter koji je povezan preko VPN konekcijom sa nekim site-om u inostranstvu (site-to-site). VPN ide preko interneta-a i to je je sve u redu. No ta kompanija hoce da napravi neku vrstu back-up, gde bi se koristillo FR (Frame relay) koji bi isao u njihovu ispostavu koja je kod nas u Srbiji.

Tu imam dva pitanja:

1. Kako da napravim tu kako kazu back-up konekciju sa frame relay (imam konekciju za njega na svom ruter-u ali ga ne koristim)

2. Da li bi mogao da nadjem nesto kao VPN da postavim na Frame Realy mislim nesto kao GRE?

Moj Cisco ruter je 2601.
 
Odgovor na temu

optix
CH

SuperModerator
Član broj: 7009
Poruke: 1867
2001:470:9dd5:.*



+101 Profil

icon Re: VPN failover kako?30.08.2010. u 09:24 - pre 165 meseci
FR je nista drugo do zaseban L2 (data link layer) protokol. Sve sto mozes da furas (kao protokole viseg reda) preko ethernet-a, mozes i preko FR-a, jedino sto neke stvari imaju vise ili manje logike u tom slucaju.

Meni nije dovoljno jasno ko se sa kim povezuje u tvom slucaju preko FR-a. Ako mozes malo detaljnije da objasnis, pozeljno i neka skica...

Koliko razumem ruter (2601?, verovatno si mislio 2801) je u Srbiji i ima izlazak na internet (preko cega vec), na to je nakacen site-to-site vpn ka firmi u inostranstvu. Sad, kao back-up toj vezi koristio bi se FR, odakle - dokle tacno? Medjunarodni FR?
"99% of your thought process is protecting your self-conceptions,
and 98% of that is wrong."
 
Odgovor na temu

pereubu
admin, Pancevo

Član broj: 194051
Poruke: 104
*.static.isp.telekom.rs.



+1 Profil

icon Re: VPN failover kako?30.08.2010. u 11:57 - pre 165 meseci


"crypto map CRYPTO 10 ipsec-isakmp
set peer xxx.xxx.xxx.xxx
set transform-set RTS
match address 101"

To je IPSEC koji me povezuje sa lokacijom xxx.xxx.xxx.xxx u Nemacku. I to funkcionise. Znaci uspostavi VPN transfer site-site (preko interneta). Ja koristim jedan web servis sa te lokacije i to recimo 24/7. Koristim opticke veze i adsl da komuniciram sa ISP-om ovde u Bgd.

Ja sam u Beogradu i recimo treba da dodam bekup koji ce da me poveze sa tom kompanijom u Bgd (ona je povezana sa svojom centralom preko drugog provajdera) i to preko Frame Relay-a. Ideja im je ako moj provajder prestane da radi, da se automatski prikljuci moja mreza na tu Frame Relay vezu i nastavi da dok se ne uspostavi ta prvobitna veza ponovo. FR je od moga rutera do te kompanije u Beogradu. Barem tako mislim.

Moj ruter je Cisco 2801. Moja greska.

 
Odgovor na temu

pereubu
admin, Pancevo

Član broj: 194051
Poruke: 104
*.static.isp.telekom.rs.



+1 Profil

icon Re: VPN failover kako?30.08.2010. u 12:26 - pre 165 meseci
Zaboravih da napomenem. I shvatam zasto si trazio skicu. Komunikacija izmedju moje mreze i prestavnistva te strane firme ne bi trebala da se obavlja enkriptovana preko FR, jer ce se ti zahtevi koji ce oni primati od mene, najverovatnije biti enkriptovani pre slanja u njihovu centralu.
 
Odgovor na temu

Aleksandar Olujic
none

Član broj: 247504
Poruke: 127
194.8.63.*



+15 Profil

icon Re: VPN failover kako?30.08.2010. u 15:40 - pre 165 meseci
Ne znam da li Cisco ima neki mehanizam za "ISP redundancy" za VPN ali sasvim sigurno je moguce pomocu GRE tunela uvezati vise linkova tako da to bude transparentno za VPN saobracaj. IPSEC tunnel enpoints se ne bi mijenjale jer bi sav VPN saobracaj isao kroz GRE tunel. GRE tunelima je potom moguce dodijeliti prioritet a routing protokol bi brinuo o tome da se ne koristi GRE tunel koji trenutno ne funkcionise (u slucaju da GRE tunnel endpoints nisu dostupne).
 
Odgovor na temu

optix
CH

SuperModerator
Član broj: 7009
Poruke: 1867
2001:470:9dd5:.*



+101 Profil

icon Re: VPN failover kako?30.08.2010. u 15:48 - pre 165 meseci
Nije da mi je bas sasvim jasno, ali evo, koliko sam razumeo. Potrebno je da isti tunel nastavi da radi i kada ti pukne primarna konekcija ka internet-u. Problem je sto IPSEC trazi (staticku) IP adresu peer-a, pa ako nemas svoj rutabilini blok adresa (?), koji ce ostati isti ma koji se fizicki link u nekom momentu koristio (sto podrazumeva i neki dinamicki routing protokol), to bas nece jednostavno moci da se namesti.

Druga strana tunela (firma u Nemackoj) mora da ima ispravno podesenu adresu tvoje strane tunela. Ako ti na FR vezi, u momentu prekida, imas druge IP adrese... shvatas problem.

Pretpostavljam da bi (u slucaju da nemas svoj PI blok adresa) moglo da se namesti sa dve crypto map-e, koje ce gadjati svaka po neku IP adresu od onih koje su ti dodeljene od strane provajdera + routing protokol na tvom i ruteru firme u Nemackoj, kako bi ruteri znali preko koje da salju saobracaj.
"99% of your thought process is protecting your self-conceptions,
and 98% of that is wrong."
 
Odgovor na temu

Aleksandar Olujic
none

Član broj: 247504
Poruke: 127
*.dynamic.xdsl-line.inode.at.



+15 Profil

icon Re: VPN failover kako?30.08.2010. u 22:02 - pre 165 meseci
U GRE tunel mozes prakticno da stavis paket sa bilo kojom adresom, ukljucujuci i onu (javnu) koja ti je vec definisana kao IPSEC end point. Ostavis IPSEC konfiguraciju kao sto jeste, napravis dva GRE tunela (sa drugim javnim i privatnim adresama) preko dva linka i onda u ruting tabeli navedes da je drugi IPSEC endpoint iza privatne adrese jednog od dva GRE tunela. Na drugom ruteru uradis obrnuto. Tako za IPSEC postaje nebitno kroz koji link ide jer je vec enkapsuliran u GRE. Da bi imao failover mora nesto da motri da li su GRE tuneli aktivni i da prebacuje rutu sa jednog na drugi po potrebi. To moze da radi EIGRP.
 
Odgovor na temu

johnnie
somewhere in Serbia

Član broj: 40975
Poruke: 299
*.static.isp.telekom.rs.



+4 Profil

icon Re: VPN failover kako?31.08.2010. u 07:16 - pre 165 meseci
Obzirom da je FR u pitanju, verujem da moras da ides preko Telekoma? On ti daju neku adresu sa maskom /30, koja ti je i next hop za FR.
Napravi dva GRE tunela, gde ti je tunnel source tvoja strana a tunnel destination nemacka i stavi na tunelima adrese sa maskom /30.
Onda stavi staticke rute za nemacku gde je next hop adresa druge strane tunela i stavi razlicite metrike, tako da manju metriku ima glavna ruta a vecu ova preko FR. To je najprimitivniji nacin backup linka.

Mozes preko IP SLA da trakujes tunele tako da ako jedan padne odmah prebaci na drugi.
Ako ces load balancing da radis, koristi EIGRP, on ima podrazumevani load balancing do 4 rute. Bitno je da na drugoj strani Cisco, jer je EIGRP cisco proprietiary protokol.
Naravno, to komplikuje stvar, jer je i pitanje koliko ti je potrebno da rute sa druge strane oglasavas kroz ruting protokol, obzirom da nemas vise peerova u mrezi koji bi trebalo da znaju tvoje mreze.


Cisco ima i dinamicke VPN tunele, prave se preko IP NHRP , pogledaj detaljnije o tome... Sve zavisi koliko je ozbiljan problem kojit reba da resis... Dakle ako je problem samo backup link za vpn, dovoljno je ono sto sam ti vec rekao:

Dva GRE tunela, ipsec kroz njih, razlicite metrike na ip route... Elegantnije je da trackujes tunel preko ip sla...

otprilike ovako, moram da pogledam ali otprilike:

Tunnel1
ip address x.x.x.x m.m.m.m (x.x.x.x tvoja adresa, m.m.m.m maska /30, recimo da ej tvoja dresa druga u bloku, dakle parna je -1)
tunnel source tvoja strana1
tunnel destination nemacka


Tunnel2
ip address y.y.y.y m.m.m.m
tunnel source tvoja strana2
tunnel destination nemacka

track 1 ip sla 1 reachability

ip route nemacka (x.x.x.x-1) track 1
ip route nemacka (y.y.y.y-1) 10


ip sla 1
icmp-echo x.x.x.x-1
ip sla schedule 1 life forever start-time now








Mozda bi bilo najbolje da okacis neku sliku i topologiju i vise detalja...



[Ovu poruku je menjao johnnie dana 31.08.2010. u 08:28 GMT+1]
Still going strong...
 
Odgovor na temu

pereubu
admin, Pancevo

Član broj: 194051
Poruke: 104
*.static.isp.telekom.rs.



+1 Profil

icon Re: VPN failover kako?31.08.2010. u 09:25 - pre 165 meseci
Ne druga strana u Nemackoj nema Cisco vec Netscreen. Ja imam staticke rute i da razmisljao sam o recimo najprostijem scenariju da se dodaju recimo razlicite administrativne distance koje bi u slucaju kvara glavne rute prihvatile backup rutu. Potom razmisljao sam o HSNR sa sla monitorom koji bi recimo svake sekunde cekirao da li postoji taj interface.
Ono sto mi nije jasno je bilo kako da se to uglavi u ono kako oni kazu "order of operation" nekog interface-a.

Nisam siguran u vezi lokacije u Beogradu da li im treba enkriptovan ili ne saobracaj do njih, Verujem da misle na neenkriptovan saobracaj jer govore o frame relay i misle da (u pravu ste FR treba da postavi Telekom ili sam ja tako razumeo) nije potrebna nikakva enkripcija na toj lokaciji.

Ova solucija sa GRE kanalima je OK. Pokusavam da je proucim do tancina.








Internet Ipsec
BGD ----------------------------------------->Nemacka - ACME Germany
|
Frame Relay I |
I |
V |
ACME -----------------------------------------------|
Beograd Privatna Mreza
 
Odgovor na temu

johnnie
somewhere in Serbia

Član broj: 40975
Poruke: 299
*.static.isp.telekom.rs.



+4 Profil

icon Re: VPN failover kako?31.08.2010. u 14:26 - pre 165 meseci
Vidi, kad pravis GRE tunel ti ustvari pravis logicki tunel, zapravo dodaje se GRE zaglavlje sa IP adresama tunela. U konf tunela ti stavljas za source i destination adrese nekih fizickih interfejsa koje imas na svakoj od strana. Potrebno je pored toga da tvoj ruter zna rutu do tih interfejsa tj. mreza. Npr:

R1
Interface Gi0/1
ip address 172.16.1.2 255.255.255.252 //*parna adresa je recimo telekomov ruter
bandwidth 4096

Interface Tunnel1
ip address 172.16.16.1 255.255.255.252
tunnel source 172.16.1.2
tunnel destination 172.16.1.10

ip route 172.16.1.0 255.255.255.0 172.16.1.1




R2
Interface Gi0/1
ip address 172.16.1.10 255.255.255.252 //*parna adresa je recimo telekomov ruter
bandwidth 4096

Interface Tunnel1
ip address 172.16.16.2 255.255.255.252
tunnel source 172.16.1.10
tunnel destination 172.16.1.2

ip route 172.16.1.0 255.255.255.0 172.16.1.9


I tako si napravio GRE tunel bez enkripcije...

Ako hoces IPSEC kroz to moras u crypto isakmp key da navedes kljuc i adresu kao i crypto map da stavis set peer x.x.x.x i tkao dobijas IPSEC over GRE.

Ako ne treba enkripcija (kao u slucaju koji pominjes) to je opet to, samo tuneli i kraj.

Istu pricu mozes da postignes i sa javnim adresama, samo u tunelu navodis javne adrese u source i destination.

Sa FR je ista prica, setup je lak, telekom ti da jednu adresu i DLCI, otprilike ide ovako:


interface Serial0/0/0
bandwidth 2048
no ip address
encapsulation frame-relay IETF
frame-relay lmi-type ansi
! SUBINTERFACE sa oznakom DLCI, obicno i ide 100 kod Telekoma

interface Serial0/0/0.100 point-to-point
ip address 172.16.1.2 255.255.255.252
frame-relay interface-dlci 100


i tu jos treba da dodas rutu za mreze koje hoces da vidis preko FR, dakle ip route z.z.z.z m.m.m.m 172.16.1.1


i to sve treba da radi.
Ako ces tunel preko FR, samo napravis tunel gde je tunnel source ova tvoja adresa (172.16.1.2) a tunel destination adresa koju imas na drugoj strani.... I naravno, izrutiras to.


Tako da u celoj prici uopste nije bitno da li je FR ili Ethernet ili sta vec. Ti preko FR mozes da guras IPSEc bez problema, jer FR je L2 protokol, dakle kako on to odradjuje, koja je velicina frejma itd, to gornji sloj uopste ne intersuje. Kao sto vidis, ti postavljas IP adresu na FR serijski subinterface. Da li kroz FR ide muzika, data, video, ipsec, nebitno je ....


Mozes da postavis pricu tako da BGD1=>Nemacka i BGD2 => Nemacka imaju IPSEC a da BGD1=>BGD2 ide cist tunel. I onda stavis dve rute ka nemackoj sa razlicitim AD, tako da ako padne prva ti odmah prelazis na drugu... Dakle ruta 1 je BGD1=>Nemacka a ruta 2 je BGD1->BGD2->Nemacka i to ti je backup ruta....




Still going strong...
 
Odgovor na temu

johnnie
somewhere in Serbia

Član broj: 40975
Poruke: 299
*.static.isp.telekom.rs.



+4 Profil

icon Re: VPN failover kako?31.08.2010. u 14:36 - pre 165 meseci
Da tek sad sam video sta optix kaze, u pravu je covek... Sve ovo vazi ako ti imas staticke adrese na svim tim ruterima... Sto se FR tice, ti ces dobiti neku telekom privatnu adresu koja se ne menja (zavisi od usluge, koliko sam ih shvatio, mozes da koristis FR kao pristupnu tehnologiju samo za L3VPN a i za izlazak na internet, razlika je samo u adresama koje dobijas od telekoma, javne ili privatne).

Bitno ej da u nemackoj i na trecoj lokaciji imas staticke adrese...
Mozes preko IP sla da trackujes te adrese i da odredis priamrnu i sekundarnu rutu ali opet moras da znas tacnu adresu da bi anpravio tunnel...

Jer ako je svrha da napravis VPN site-site da bi udaljene mreze video kao lokalne, onda je to u redu. Ako ima samo povremenih potreba, bolje resenje je VPN klijent na neku lokaciju sa statickom adresom, odakle ces videti ostale mreze... Za setup VPN klijenta na csco ruteru koristis dynamicke mape, dakle nisu ti poznate adrese klijenata... To se dobija tek nakon razmene kljuceva prilikom autentifikacije.






Still going strong...
 
Odgovor na temu

pereubu
admin, Pancevo

Član broj: 194051
Poruke: 104
*.static.isp.telekom.rs.



+1 Profil

icon Re: VPN failover kako?30.09.2010. u 14:29 - pre 164 meseci
optix:"Nije da mi je bas sasvim jasno, ali evo, koliko sam razumeo. Potrebno je da isti tunel nastavi da radi i kada ti pukne primarna konekcija ka internet-u. Problem je sto IPSEC trazi (staticku) IP adresu peer-a, pa ako nemas svoj rutabilini blok adresa (?), koji ce ostati isti ma koji se fizicki link u nekom momentu koristio (sto podrazumeva i neki dinamicki routing protokol), to bas nece jednostavno moci da se namesti."

Ne, onda se saobracaj preorentise na FR interface gde salje neenkriptovane podatke.


"Pretpostavljam da bi (u slucaju da nemas svoj PI blok adresa) moglo da se namesti sa dve crypto map-e, koje ce gadjati svaka po neku IP adresu od onih koje su ti dodeljene od strane provajdera + routing protokol na tvom i ruteru firme u Nemackoj, kako bi ruteri znali preko koje da salju saobracaj."

Primarni link koji radi 24/7 izmedju mene i Nemacke, i ja i oni imamo za to postavljene staticke adrese i to public. Taj link radi kao VPN site to site. Ideja je kada moj ISP prsne sta onda?

Al. Olujic :"Ne znam da li Cisco ima neki mehanizam za "ISP redundancy" za VPN ali sasvim sigurno je moguce pomocu GRE tunela uvezati vise linkova tako da to bude transparentno za VPN saobracaj. IPSEC tunnel enpoints se ne bi mijenjale jer bi sav VPN saobracaj isao kroz GRE tunel. GRE tunelima je potom moguce dodijeliti prioritet a routing protokol bi brinuo o tome da se ne koristi GRE tunel koji trenutno ne funkcionise (u slucaju da GRE tunnel endpoints nisu dostupne). "

Uzmi ovako to je kao kada imas zahtev da imas veze sa dva ISP a imas jedan ruter, tj ne mozes za to da koristis BGP. Sada tu ima (recimo da zanemarimo VPN) dve (koja ja sada razmatram) solucije a to su Static Routes that tracks interfaces or Other Routes, i tu napravim dve ip route jednu sa track i drugu bez track (ona koja je backup) sa razlicitim AD.


http://www.cisco.com/en/US/doc...ference/ip2_s1g.html#wp1038423

Ili Plicy Based Routung with Multiple Tracking Options Feature Configuration Example:

http://www.cisco.com/en/US/doc...ference/ip2_s1g.html#wp1038423

E sada ja mislim d abi to radilo (nisam siguran da bi bilo perfektno) i sa slucajem gde je Primarny VPN a back je neekriptovani, ako samo podesim crypto mapu, posle rutiranja.


 
Odgovor na temu

johnnie
somewhere in Serbia

Član broj: 40975
Poruke: 299
*.static.isp.telekom.rs.



+4 Profil

icon Re: VPN failover kako?01.10.2010. u 06:14 - pre 164 meseci
Imas i ciscov protokol, NHRP (Nexxt Hop Resolution Protocol).. Imas o njemu http://www.netcraftsmen.net/resources/archived-articles/433.html

Still going strong...
 
Odgovor na temu

Aleksandar Olujic
none

Član broj: 247504
Poruke: 127
194.8.63.*



+15 Profil

icon Re: VPN failover kako?01.10.2010. u 13:03 - pre 164 meseci
Da li su ta dva linka na obije strane terminisane u istom ruteru?
 
Odgovor na temu

pereubu
admin, Pancevo

Član broj: 194051
Poruke: 104
*.static.isp.telekom.rs.



+1 Profil

icon Re: VPN failover kako?01.10.2010. u 13:49 - pre 164 meseci

Aleksandre,

Da sa rutera u mojoj mrezi polaze 2 veze jedna se zavrsava na primarnoj lokaciji i ta je VPN-IPsec a druga veza je neekriptovana, koja se zavrsava kao sekundarna veza na nekoj drugoj lokaciji koja nije ista kao prva lokacija. Sa te lokacije verovatno ide VPN veza ka toj prvoj distantnoj lokaciji.

 
Odgovor na temu

Aleksandar Olujic
none

Član broj: 247504
Poruke: 127
194.8.63.*



+15 Profil

icon Re: VPN failover kako?01.10.2010. u 14:08 - pre 164 meseci
Sorry, znam da je o tome vec raspravljano ranije samo sam htio da potvrdim. Ja koristim GRE i VPN (non-cisco) sa javnim linkovima (Internet) ali mi se svi linkovi zavrsavaju u istim ruterima, nisam siguran da mogu da ti pomognem ako je jedan kraj veze zavrsava na dva rutera. Onda medju njima mora da postoji neka veza kako bi mogli da razmjenjuju routing info. Da li mozes da napravis shemu te mreze u Dia/Visio ili slicno. Da vidimo sta moze da se uradi. Ne moras koristiti prave IP brojeve.
 
Odgovor na temu

pereubu
admin, Pancevo

Član broj: 194051
Poruke: 104
*.static.isp.telekom.rs.



+1 Profil

icon Re: VPN failover kako?04.10.2010. u 12:11 - pre 164 meseci
Aleksandre,

Evo vam digaram sto ste trazili.

[Ovu poruku je menjao pereubu dana 05.10.2010. u 12:07 GMT+1]
Prikačeni fajlovi
 
Odgovor na temu

[es] :: Enterprise Networking :: VPN failover kako?

[ Pregleda: 4177 | Odgovora: 16 ] > FB > Twit

Postavi temu Odgovori

Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.