HA-VPN mit Cisco 871 möglich?

[bnice]

Hi,
wir stehen vor der Herausforderung, eine Niederlassung mit denkbar ungünstigen Rahmenbedingungen zuverlässig an eine Zentrale (ASA 5505) anzubinden.
Der Standort der Niederlassung erlaubt leider keinen brauchbaren ADSL-Anschluss, so dass bisher nur eine 1-2MBit ADSL-Leitung (mit fester IP über PPPoE) vorhanden war, mit einem Upload von 96-128 KBit...
Dass darüber weder RDP-Sessions von VoIP annehmbar möglich sind, brauche ich nicht zu erwähnen.
Folglich gibt es jetzt eine zweite Anbindung über Kabel, die auch ziemlich performant ist (32MBit, in der Praxis ca. 20-25 downstream), allerdings keine feste IP beinhaltet.
Um eine grundsätzliche Erreichbarkeit des Standortes sicherzustellen, würde jetzt im Idealfall die Kabelstrecke hauptsächlich genutzt werden, und nur bei Ausfall ein Backup über die langsame Anbindung erfolgen.
Lässt sich das mit dem 871 der Niederlassung und der ASA 5505 in der Zentrale realisieren? VPN-Verbindung müsste von der Niederlassung initialisiert werden oder über dyndns laufen.
Gibt es noch andere Wege, beide Leitungen sinnvoll zu nutzen? Hatte auch schon an eine einfache Lastverteilung anhand des Zielnetzes (VPN über eine Strecke, Internet über andere) nachgedacht, aber performant sollte am besten beides sein, somit bleibt eigentlich nur der Aufbau mit Backup...

Hat jemand so ein Konstrukt am laufen?

[Wordo]

EasyVPN und Dual ISP Backup (such nach EasyVPN bei Cisco). Geht wunderbar ...

[bnice]

Hi Wordo,

um EasyVPN habe ich bisher immer einen Bogen gemacht, weil auch VPNs zu Nicht-Cisco Endpunkten aufgebaut werden (z.B. Astaro, Juniper, Nokia), auch von dieser Niederlassung aus.
Vermutlich wird das also nicht ohne größere Änderungen möglich sein, ich werd mich aber mal in das Thema einlesen...

[Wordo]

Eine Niederlassung macht eigentlich kein VPN zu Extern, das sollte ueber die Zentrale laufen ...

[bnice]

Ja, eigentlich...
Wir haben aber eine vermaschte VPN-Struktur, da alle Niederlassungen relativ selbstständig sind, und zudem einige Niederlassungen noch VPN-Verbindungen zu Dritten betreiben, die nicht über die Zentrale laufen müssen/sollen. Dadurch auch die gemischte VPN-Landschaft...
Ist Easy-VPN denn ein Muss dafür?

[Wordo]

Da die Niederlassung keine feste IP hat muss sie sich entweder anmelden mit User/PW oder Zertifikat, wenn diese Voraussetzung geschaffen ist kannst es auch mit nem einfachen Tracking und loesen.

[bnice]

Hi,

ein grundlegendes Backup (erstmal nur für reinen Internetzugang) über Tracking sollte doch auch mit PBR und Multiple Tracking möglich sein, oder?
Policy Based Routing with the Multiple Tracking Options Feature Configuration Example [IP Routed Protocols] - Cisco Systems

Leider kann ich dem nicht entnehmen, ob das auch mit Dialer Interfaces funktioniert... Ich such nochmal weiter...

[Wordo]

Die Syntax hat sich mittlerweile etwas geaendert.

Mach einfach ein Tracking mit SLA. Dann 2 Default Routen, eine mit Track auf die ID und die andere mit ner hoeheren AD. Das reicht ...

Hier ist noch mal NAT Problematik und parallele Nutzung beschrieben:
HA-VPN, Surfen und VPN trennen, Failover fuer alles Network Blog

[bnice]

Hm, nach wie vor bin ich mir nicht sicher, ob sich EasyVPN mit der bestehenden Config verträgt.
Deswegen wird wohl erstmal der Router auf den KabelDeutschland-Anschluss umkonfiguriert, und der DSL-Anschluss nur für ein einziges VPN genutzt, alles andere soll dann über Kabel gehen...
Ein Backup von Kabel auf DSL wird dann später nachträglich konfiguriert.

Am meisten stört mich die dynIP bei der Geschichte, aber da gibt's momentan leider keine Alternative zu ...

Ich poste hier nachher mal die Konfig, wie ich mir das vorgestellt habe (testen kann ich leider erst später...)

PS: Der obige Blog ist leider grad offline...

[Wordo]

Hm, bei mir ists erreichbar.

Du bist natuerlich nicht an EasyVPN gebunden, aber wenn du ne dynamische IP hast musst du einen PSK fuer alle verwenden, sofern du keine Zertifikate oder XAUTH verwendest.

Wenn dir das egal ist reicht ein Object Tracking.