如何在 Omada 路由器的獨立模式設定 IPsec Failover?

Knowledgebase
Configuration Guide
VPN
Standalone
03-21-2024

請將 Omada 路由器更新至適用於控制器 5.8 或以上版本的韌體。

 

使用者應用情境

 

IPsec Failover(故障移轉) 提供 IPsec VPN 連線容錯機制。假如 ISP1 網路連線失效時,failover ISP2 網路連線將接管。

備註:USB 連接埠無法作為 VPN 連線使用,因此也無法作為 IPsec  故障移轉使用。

 

 

所有介於 192.168.0.1/24 和 192.168.0.1/24 的網路流量皆透過 IPsec 點對點 VPN 通道加密。

透過 ISP1 的 VPN 通道為主要通道。如果 ISP1 連線故障,則透過 ISP2 的 VPN 通道將會自動建立和轉發流量。

一旦 ISP1 連線恢復後,流量將會轉發回主要 VPN 通道。

 

設定

 

步驟1:在路由器 1 設定 IPSsec VPN

 

備註:路由器 1 可以是任何支援 IPsec VPN 的路由器,在此我們使用 Omada 路由器為例。

 

1. 請至 VPN > IPsec > IPsec Policy > IPsec Policy List,點擊 Add 並輸入相關參數:

  • Policy Name: test
  • Mode: LAN-to-LAN
  • Remote Gateway: 0.0.0.0
  • WAN: WAN
  • Local Subnet: 192.168.0.1/24
  • Remote Subnet: 192.168.10.1/24
  • Pre-shared Key: tplink
  • Status: Enable

 

2. 點擊 Advanced Settings,Negotiation Mode 選擇為 Responder Mode,並將 Phase-1 和 Phase-2 維持預設值。

備註:您也可以將 Phase-1 和 Phase-2 指定為您所需要的值,只要確認 Router1 的 Negotiation Mode 為 Responder Mode,且其他參數設定和 Router2 相同。

 

步驟2:在 Router2 設定 IPsec VPN

 

1. 在設定 Router2 IPsec VPN 之前,請確認 Router2 上已啟用了兩個 WAN 連接埠,且 WAN 連接埠皆與 ISP 連上。

 

2. 至 VPN > IPsec > IPsec Policy > IPsec Policy List,點擊 Add 建立 IPsec VPN Tunnel 1,並輸入如下參數:

  • Policy Name: test_1
  • Mode: LAN-to-LAN
  • Remote Gateway: 192.168.1.114
  • WAN: WAN
  • Local Subnet: 192.168.10.1/24
  • Remote Subnet: 192.168.0.1/24
  • Pre-shared Key: tplink
  • Status: Enable

 

3. 點擊 Advanced Settings,將 Negotiation Mode 選擇為 Initiator Mode,其他 Phase-1 與 Phase-2 參數則與 Router1 相同。

 

4. 點擊 Add 建立 IPsec VPN Tunnel 2,並輸入以下參數:

  • Policy Name: test_2
  • Mode: LAN-to-LAN
  • Remote Gateway: 192.168.1.114
  • WAN: WAN/LAN1
  • Local Subnet: 192.168.10.1/24
  • Remote Subnet: 192.168.0.1/24
  • Pre-shared Key: tplink
  • Status: Enable

 

5. 點擊 Advanced Settings,其他 Phase-1 與 Phase-2 參數則與 Tunnel1 相同。

 

6. 至 VPN > IPsec > IPsec SA 可看到 Tunnel 1 建立完成。

 

步驟3:在 Router2 設定 IPsec Failover

 

1. 至 VPN > IPsec > IPsec Policy > Failover Group,點擊 Add 建立 failover 群組,並設定如下參數:

  • Group Name: test_failover
  • Primary IPsec: test_1
  • Secondary IPsec: test_2
  • Automatic Failback: Enable
  • Gateway failover time-out: 10
  • Status: Enable

 

備註:自動 Failback 用於當連線可用時能自動切換回主要的連線,如您想了解此功能,需要確認遠端站點的 WAN 連接埠是可以 ping 通的。

通常遠端站點的路由器預設會將 Ping from WAN 功能阻擋,需要先行將此設定取消。

以 Router1 為例:

至 Firewall > Attack Defense > Packet Anomaly Defense,取消勾選 Block Ping from WAN,,並點擊 Save。

 

驗證流程

 

1. 拔除 Router2 WAN 連接埠的網路線以模擬 IPS1 斷開網際網路連線。至 System Tools > System Log 檢視主要通道切換至次要通道過程。

 

2. 至 VPN > IPsec > IPsec SA 查看目前的通道是否為次要通道。

 

3. 重新接回 Router2 的 WAN 連接埠以模擬 ISP1 重新連線的情況。至 System Log 檢視次要通道切換回主要通道過程。

 

4. 至 VPN > IPsec > IPsec SA 檢視目前通道是否為主要通道。

 

 

了解更多細節及相關資訊,請至 Download Center 下載產品手冊。

Please Rate this Document

Related Documents