Comment configurer le basculement IPsec sur le routeur Omada en mode autonome
Cet article s'applique à : ER605 v2_2.1.0 ou supérieur.
Scénario d'application de l'utilisateur
Le basculement IPsec fournit une redondance pour les connexions VPN IPsec. Si la liaison Internet ISP1 tombe en panne, une liaison Internet ISP2 de basculement prend le relais.
Remarque : Le port USB ne peut pas être utilisé pour la connexion VPN, il ne peut donc pas non plus être utilisé pour le basculement IPsec.
Tout le trafic entre les réseaux 192.168.0.1/24 et 192.168.10.1/24 est chiffré sur des tunnels VPN site à site IPsec.
Le tunnel VPN via ISP1 est le tunnel principal, si la liaison via ISP1 tombe en panne, le tunnel VPN secondaire via ISP2 sera automatiquement établi et transmettra le trafic.
Une fois la liaison ISP1 rétablie, le trafic reviendra au tunnel VPN principal.
Configuration
Étape 1 : Configurer le VPN IPsec sur le routeur 1
Remarque : Router1 peut être n'importe quel routeur prenant en charge le VPN IPsec, ici nous utilisons Omada Router comme exemple.
1. Allez dans VPN > IPsec > IPsec Policy > IPsec Policy List , cliquez sur Add et saisissez les paramètres suivants :
- Nom de la stratégie : test
- Mode : LAN à LAN
- Passerelle distante : 0.0.0.0
- WAN : WAN
- Sous-réseau local : 192.168.0.1/24
- Sous-réseau distant : 192.168.10.1/24
- Clé pré-partagée : tplink
- Statut : Activer
2. Cliquez sur Paramètres avancés, sélectionnez le mode de négociation comme mode de réponse et conservez les autres paramètres de Phase-1 et Phase-2 par défaut.
Remarque : Vous pouvez également spécifier les paramètres de Phase-1 et Phase-2 comme vous le souhaitez, assurez-vous simplement que le mode de négociation de Router1 est en mode répondeur et que les autres paramètres sont les mêmes que Router2.
Étape 2 : Configurer le VPN IPsec sur le routeur 2
1. Avant de configurer le VPN IPsec sur Router2, vous devez vous assurer que deux ports WAN sont activés sur Router2 et que les deux ports WAN sont liés au FAI.
2. Allez dans VPN > IPsec > IPsec Policy > IPsec Policy List , cliquez sur Add pour créer le tunnel VPN IPsec 1, et saisissez les paramètres suivants :
- Nom de la stratégie : test_1
- Mode : LAN à LAN
- Passerelle distante : 192.168.1.114
- WAN : WAN
- Sous-réseau local : 192.168.10.1/24
- Sous-réseau distant : 192.168.0.1/24
- Clé pré-partagée : tplink
- Statut : Activer
3. Cliquez sur Paramètres avancés, sélectionnez le Mode de négociation comme Mode initiateur et spécifiez les autres paramètres de Phase-1 et Phase-2 identiques à Router1.
4. Cliquez sur Ajouter pour créer le Tunnel VPN IPsec 2, et entrez les paramètres suivants :
- Nom de la stratégie : test_2
- Mode : LAN à LAN
- Passerelle distante : 192.168.1.114
- WAN : WAN/LAN1
- Sous-réseau local : 192.168.10.1/24
- Sous-réseau distant : 192.168.0.1/24
- Clé pré-partagée : tplink
- Statut : Activer
5. Cliquez sur Paramètres avancés et spécifiez les paramètres de Phase-1 et Phase-2 identiques à ceux du Tunnel 1.
6. Accédez à VPN > IPsec > IPsec SA , vous pouvez voir que le tunnel 1 est établi avec succès.
Étape 3 : Configurer le basculement IPsec sur le routeur 2
1. Accédez à VPN > IPsec > Politique IPsec > Groupe de basculement , cliquez sur Ajouter pour créer un groupe de basculement et spécifiez les paramètres suivants :
- Nom du groupe : test_failover
- IPsec principal : test_1
- IPsec secondaire : test_2
- Rétablissement automatique : Activer
- Délai de basculement de la passerelle : 10
- Statut : Activer
Remarque : le basculement automatique est utilisé pour revenir automatiquement à la connexion principale lorsqu'elle est accessible. Si vous souhaitez réaliser cette fonction, vous devez vous assurer que le port WAN du site distant est Pingable.
Parfois, le routeur du site distant bloque le ping du WAN par défaut, dans ce cas, il est nécessaire d'éliminer ce paramètre.
Prenez Router1 et un exemple :
Accédez à Firewall > Attack Defense > Packet Anomaly Defense , décochez la case Block Ping from WAN et cliquez sur Save pour enregistrer la modification.
Processus de vérification
1. Débranchez le câble du port WAN Router2 pour simuler la liaison Internet des abandons ISP1. Accédez à Outils système > Journal système pour voir le processus de passage du tunnel principal au tunnel secondaire.
2. Accédez à VPN > IPsec > IPsec SA pour voir si le tunnel actuel est un tunnel secondaire.
3. Rebranchez le câble au port WAN du Router2 pour simuler la reconnexion de ISP1. Accédez au journal système pour voir le retour du tunnel secondaire au tunnel principal.
4. Accédez à VPN > IPsec > IPsec SA pour voir si le tunnel actuel est le tunnel principal.
Est-ce que ce FAQ a été utile ?
Vos commentaires nous aideront à améliorer ce site.