LAN to LAN IPSec VPN Load Balance mezi Vigor2960/3900 a dalším routerem DrayTek

Podívejte se jak nastavit LAN to LAN VPN typu IPSec s rozložením datového provozu (load balancing) přes dva WAN porty.

Zaměstnanci na pobočce mohou přistupovat k mailovému serveru / či FTP serveru umístěnému v centrále a to pomocí VPN tunelu. Podívejte se na následující aplikaci.

1

Router Vigor2960 umožňuje uživatelům sestavit VPN load balance (vyvážení datového provozu) spojení mezi Vigor2960 a dalším routerem. Jako příklad si vezměme starší router Vigor2950. Oba routery mají dva WAN porty, tzn., jsou tzv. Dual-WAN. My nyní sestavíme VPN spojení s load balancingem mezi Vigor2960 a Vigor2950 s použitím obou WAN portů.

 

Nastavení Vigor2960

1.    Ve webovém menu routeru Vigor2960 otevřete stránku VPN and Remote Access >> VPN Profiles a kliknutím na tlačítko Add přidejte nový VPN profil.

2


2.    Vytvořte profil pro WAN 1 (např. s názvem: 2950WAN1) a nastavte, viz obrázky níže:

3

4

3. Pro uložení nastavení a opuštění dialogu klikněte na tlačítko Apply.
4. dále vytvořte profil pro WAN 2 (např. s názvem: 2950WAN2) a nastavte, viz obrázky níže:

5

6

5. Pro uložení nastavení a opuštění dialogu klikněte na tlačítko Apply.
6. Nyní otevřete stránku VPN and Remove Access>>VPN Trunk Management a klikněte na záložku Load Balance Pool. Dále klikněte na tlačítko Add, čímž vytvoříte ve vyskakovacím okně nový profil.

7

7. Nový profil pojmenujte např. 2950_LB.

8

8. Zde klikněte na záložku Load Balance. Vyberte profily IPSec GRE (v našem případě je to 2950WAN1, 2) nastavené pro router Vigor2950. Poté klikněte na Apply, čímž se vrátíte do předchozího okna.

9

 

9. Nyní klikněte na záložku Load Balance Rule a klikněte na tlačítko Add, čímž přidáte pravidlo pro Load Balance.

10

10. Zaškrtněte Enable This Profile a zadejte následující nastavení a poté klikněte na tlačítko Apply.
Zadejte adresu a masku místní sítě routeru Vigor2960 do políček: Source IP Address a Source
Mask; dále zadejte adresu a masku vzdálené místní sítě tj. routeru Vigor2950 do políček: Destination IP Address a Destination Mask. V části Load Balance Pool vyberte profil nastavený pro Vigor2950 (v našem případě: 2950_LB).

11

 

Nastavení routeru Vigor2950

1. Pro spojení s Vigor2960 je ve Vigor2950 je nutné vytvořit dvě VPN spojení (pro dva WAN porty).
Otevřete nyní ve webovém rozhraní routeru Vigor2950 stránku VPN and Remote Access >> LAN to LAN.

12

 

  • Nejdříve zadejte do pole Profile Name název VPN profilu (např. zde: 2960WAN1).
  • V části VPN Dial-Out Through zvolte WAN1 Only, což je nastavení určující které WAN rozhraní bude použito pro sestavení VPN spojení.
  • V části Call Direction zvolte Dial-Out a zaškrtněte volbu Always on.
  • V části Dial-Out Settings, vyberte IPSec Tunnel a do pole Server IP/Host Name for VPN zadejte veřejnou WAN IP adresu druhé strany, tj. routeru Vigor2960 (zde je to 29.29.29.1). Zadejte stejný před sdílený klíč IKE Pre-Shared Key, který jste nastavili ve Vigor2960.
  • Role ve VPN je u routeru Vigor2950 typ dialing-out, tj. klient, proto přeskočte nastavení Dial-In určené pro server. V tomto příkladu zadejte IP adresu 1.1.1.1 do pole My GRE IP a do pole Peer GRE IP zadejte GRE IP adresu 1.1.1.2.

 

 

13

 

 

  • Do polí Remote Network IP a Remote Network Mask zadejte IP adresu a masku sítě vzdáleného routeru Vigor2960. Do polí Local Network IP a Local Network Mask zadejte IP adresu a masku sítě místního routeru Vigor2950.

2. Pokračujte nastavením druhého VPN spojení (jméno profilu je zde 2960WAN2). První VPN tunel bude použit portem WAN1 na routeru Vigor2950. Druhý VPN tunel bude nastaven pro port WAN2 na routeru Vigor2950. Proto v části VPN Dial-Out Through vyberte WAN2 Only.

14

 

  • V části Dial-Out Setting vyberte opět IPSec Tunnel a do políčka Server IP/Host name zadejte IP adresu VPN serveru (V2960) a opět vyplňte před sdílený klíč viz obrázek.
  • V části GRE over IPSec vyplňte nastavení v souladu s Vigor2960.

Podívejte se na následující obrázek. V našem příkladu zadáváme do pole My
GRE IP GRE IP adresu 2.2.2.1 a do pole Peer GRE IP GRE IP adresu 2.2.2.2 .

  • Dále zadejte Network IP a Network Mask jak pro vzdálenou Remote, tak místní Local síť. Poté klikněte na tlačítko OK.

15

3. Po dokončení nastavení obou VPN spojení přejděte do menu routeru Vigor2950 a otevřete zde stránku VPN and Remote Access > VPN Trunk Management. Zde sdružíme tyto dvě VPN spojení do skupiny Load Balance.
4. Do pole Profile Name zadejte jméno (např. 2960) pro Load Balance. Určete VPN profily pro člena 1 a 2 v části Member 1 a Member 2. Poté v části Active Mode zvolte Load Balance.

16

 

5. Nyní klikněte na tlačítko Add. Po dokončení nastavení routerů Vigor2960 a Vigor2950, ověřte zda jsou VPN spojení navázána v obou routerech. Ve Vigor 2960 otevřete v menu stránku VPN and Remote Access>>IPSec>>Status, kde můžete vidět aktuální stavy.

17

 

V menu routeru Vigor2950 otevřete stránku VPN and Remote Access>>Connection Management, kde opět vidíte stavy VPN.

18