Como configurar IPsec Failover en un router Omada en modo Standalone

Knowledgebase
Configuration Guide
VPN
Standalone
03-21-2024
138

Por favor actualice su router Omada al firmware que esta adaptado al Controller 5.8 o superior

 

Escenario de aplicación del usuario

 

IPsec Failover proporciona redundancia para conexiones VPN IPsec. Si el enlace de Internet del ISP1 se cae, un enlace de Internet del ISP2 de conmutación por error se hace cargo.

Nota: El puerto USB no se puede utilizar para la conexión VPN, por lo que tampoco se puede utilizar para la conmutación por error de IPsec.

Todo el tráfico entre las redes 192.168.0.1/24 y 192.168.10.1/24 se cifra a través de túneles VPN de sitio a sitio IPsec.

El túnel VPN a través del ISP1 es el túnel primario; si el enlace a través del ISP1 se cae, entonces el túnel VPN secundario a través del ISP2 se establecerá automáticamente y pasará el tráfico.

Una vez que se recupere el enlace ISP1, el tráfico volverá al túnel VPN principal.

 

Configuración

 

Paso 1: configurar VPN IPsec en el router 1

 

Nota: El router1 puede ser cualquier enrutador que admita VPN IPsec; aquí usamos el enrutador Omada como ejemplo.

 

1. Vaya a VPN > IPsec > Política IPsec > Lista de políticas IPsec, haga clic en Agregar e ingrese los siguientes parámetros:

  • Nombre de la política: prueba
  • Modo: LAN to LAN
  • Remote Gateway: 0.0.0.0
  • WAN: WAN
  • Local Subnet: 192.168.0.1/24
  • Remote Subnet: 192.168.10.1/24
  • Pre-shared Key: tplink
  • Status: Enable

  •  

    2. Haga clic en Configuración avanzada, seleccione el Modo de negociación como Modo de respuesta y mantenga los demás parámetros de Fase 1 y Fase 2 como predeterminados.

    Nota: También puede especificar los parámetros de Fase 1 y Fase 2 como desee, solo asegúrese de que el modo de negociación del router 1 sea el modo de respuesta y que los demás parámetros sean los mismos que los del router 2.

 

Paso 2: configurar VPN IPsec en el router 2

 

1. Antes de configurar IPsec VPN en el Router2, debe asegurarse de que haya dos puertos WAN habilitados en el Router2 y que ambos puertos WAN estén conectados con el ISP.

2. Vaya a VPN > IPsec > Política IPsec > Lista de políticas IPsec, haga clic en Agregar para crear el túnel VPN IPsec 1 e ingrese los siguientes parámetros:

  • Nombre de la política: test_1
  • Modo: LAN-to-LAN
  • Remote Gateway: 192.168.1.114
  • WAN: WAN
  • Local Subnet: 192.168.10.1/24
  • Remote Subnet: 192.168.0.1/24
  • Pre-shared Key: tplink
  • Status: Enable

 

3. Haga clic en Configuración avanzada, seleccione Modo de negociación como Modo iniciador y especifique los demás parámetros de Fase 1 y Fase 2 de la misma manera que el router 1.

4. Haga clic en Agregar para crear el túnel VPN IPsec 2 e ingrese los siguientes parámetros:

  • Nombre de la política: test_2
  • Modo: LAN-to-LAN
  • Remote Gateway: 192.168.1.114
  • WAN: WAN/LAN1
  • Local Subnet: 192.168.10.1/24
  • Remote Subnet: 192.168.0.1/24
  • Pre-shared Key: tplink
  • Status: Enable

 

5. Haga clic en Configuración avanzada y especifique los parámetros de la Fase 1 y la Fase 2 de la misma manera que el Túnel1.

6. Vaya a VPN > IPsec > IPsec SA, podrá ver que el Túnel 1 se estableció correctamente.

Paso 3: configurar la conmutación por error de IPsec en el router 2

 

1. Vaya a VPN > IPsec > Política IPsec > Grupo de conmutación por error, haga clic en Agregar para crear un grupo de conmutación por error y especifique los siguientes parámetros:

  • Nombre de grupo: test_failover
  • Primary IPsec: test_1
  • Secondary IPsec: test_2
  • Automatic Failback: Enable
  • Gateway failover time-out: 10
  • Status: Enable

 

Nota: La recuperación automática se utiliza para volver automáticamente a la conexión principal cuando se puede acceder a ella. Si desea realizar esta función, debe asegurarse de que se pueda hacer ping al puerto WAN en el sitio remoto.

A veces, el router del sitio remoto bloquea el ping desde la WAN de forma predeterminada; en este caso, es necesario eliminar esta configuración.

Tome el Router1 y un ejemplo:

Vaya a Firewall > Defensa contra ataques > Defensa contra anomalías de paquetes, desmarque Bloquear ping desde WAN y haga clic en Guardar para guardar el cambio.

 

Proceso de verificación

 

1. Desenchufe el cable del puerto WAN del Router2 para simular el enlace de Internet de las interrupciones del ISP1. Vaya a Herramientas del sistema > Registro del sistema para ver el proceso de cambio del túnel primario al túnel secundario.

 

2. Vaya a VPN > IPsec > IPsec SA para ver si el túnel actual es un túnel secundario.

3. Vuelva a conectar el cable al puerto WAN del Router2 para simular la reconexión del ISP1. Vaya al Registro del sistema para ver el cambio del túnel secundario al túnel primario.

 

4. Vaya a VPN > IPsec > IPsec SA para ver si el túnel actual es el túnel primario.

Get to know more details of each function and configuration please go to Download Center to download the manual of your product.

Please Rate this Document

Related Documents