Como configurar o failover de IPsec no roteador Omada no modo autônomo
Atualize o roteador Omada para o firmware que está adaptado para o controlador 5.8 e superior.
Cenário do aplicativo do usuário
O Failover de IPsec fornece redundância para conexões VPN IPsec. Se o link de Internet do ISP1 ficar inativo, um link de Internet do ISP2 de failover assumirá o controle.
Nota: A porta USB não pode ser usada para conexão VPN, portanto, também não pode ser usada para failover de IPsec.
Todo o tráfego entre as redes 192.168.0.1/24 e 192.168.10.1/24 é criptografado em túneis VPN IPsec site a site.
O túnel VPN através do ISP1 é o túnel primário, se o link sobre o ISP1 cair, o túnel VPN secundário através do ISP2 será estabelecido automaticamente e passará o tráfego.
Depois que o link ISP1 for recuperado, o tráfego retornará ao túnel VPN primário.
Configuração
Etapa 1: Configurar VPN IPsec no roteador1
Nota: Router1 pode ser qualquer roteador que suporta VPN IPsec, aqui usamos Omada Router como exemplo.
1. Vá para VPN > IPsec > IPsec Policy > IPsec Policy List, clique em Add e insira os seguintes parâmetros:
- Nome da política: teste
- Modo: LAN-to-LAN
- Gateway remoto: 0.0.0.0
- WAN: WAN
- Sub-rede local: 192.168.0.1/24
- Sub-rede remota: 192.168.10.1/24
- Chave pré-compartilhada: tplink
- Status: Ativar
2. Clique em Configurações Avançadas, selecione o Modo de Negociação como Modo de Resposta e mantenha os outros parâmetros da Fase 1 e da Fase 2 como padrão.
Nota: Você também pode especificar os parâmetros de Fase-1 e Fase-2 como quiser, apenas certifique-se de que o Modo de Negociação do Roteador1 seja o Modo Respondente, e outros parâmetros sejam os mesmos do Roteador2.
Etapa 2: Configurar VPN IPsec no roteador2
1. Antes de configurar a VPN IPsec no Router2, deve certificar-se de que existem duas portas WAN activadas no Router2 e de que ambas as portas WAN estão ligadas ao ISP.
2. Vá para VPN > IPsec > IPsec Policy > IPsec Policy List, clique em Add para criar o IPsec VPN Tunnel 1 e insira os seguintes parâmetros:
- Nome da política: test_1
- Modo: LAN-to-LAN
- Gateway remoto: 192.168.1.114
- WAN: WAN
- Sub-rede local: 192.168.10.1/24
- Sub-rede remota: 192.168.0.1/24
- Chave pré-compartilhada: tplink
- Status: Ativar
3. Clique em Configurações Avançadas, selecione o Modo de Negociação como Modo Iniciador e especifique os outros parâmetros da Fase-1 e da Fase-2 iguais ao Roteador1.
4. Clique em Adicionar para criar o túnel VPN IPsec 2 e insira os seguintes parâmetros:
- Nome da política: test_2
- Modo: LAN-to-LAN
- Gateway remoto: 192.168.1.114
- WAN: WAN/LAN1
- Sub-rede local: 192.168.10.1/24
- Sub-rede remota: 192.168.0.1/24
- Chave pré-compartilhada: tplink
- Status: Ativar
5. Clique em Configurações Avançadas e especifique os parâmetros da Fase-1 e da Fase-2 da mesma forma que o Túnel 1.
6. Vá para VPN > IPsec > IPsec SA, você pode ver o Túnel 1 é estabelecido com sucesso.
Etapa 3: Configurar o failover de IPsec no roteador2
1. Vá para VPN > IPsec > Diretiva IPsec > Grupo de Failover, clique em Adicionar para criar um grupo de failover e especifique os parâmetros a seguir:
- Nome do grupo: test_failover
- IPsec primário: test_1
- IPsec secundário: test_2
- Failback automático: Ativar
- Tempo limite de failover do gateway: 10
- Status: Ativar
Nota: O Failback Automático é usado para alternar automaticamente de volta para a conexão principal quando ela estiver acessível, se você quiser realizar essa função, verifique se a porta WAN no site remoto é Pingable.
Às vezes, o roteador do site remoto bloqueia o Ping da WAN por padrão, nesse caso, é necessário eliminar essa configuração.
Veja o Router1 e um exemplo:
Vá para Firewall > Defesa de Ataque > Defesa contra Anomalia de Pacotes, desmarque a opção Bloquear Ping da WAN e clique em Salvar para salvar a alteração.
Processo de Verificação
1. Desconecte o cabo da porta WAN do Roteador2 para simular o link de Internet de desistências do ISP1. Vá para Ferramentas do Sistema > Log do Sistema para ver o processo de mudança do Túnel Primário para o Túnel Secundário.
2. Vá para VPN > IPsec > IPsec SA para ver se o túnel atual é Túnel Secundário.
3. Reconecte o cabo à porta WAN do Roteador2 para simular a reconexão do ISP1. Vá para Log do sistema para ver a alternância de volta do túnel secundário para o túnel primário.
4. Vá para VPN > IPsec > IPsec SA para ver se o túnel atual é Túnel Primário.
Conheça mais detalhes de cada função e configuração, acesse a Central de Download para baixar o manual do seu produto.