How to Configure IPsec Failover on Omada Router in Standalone mode

請將 Omada 路由器更新至適用於控制器 5.8 或以上版本的韌體。

使用者應用情境

IPsec Failover(故障移轉) 提供 IPsec VPN 連線容錯機制。假如 ISP1 網路連線失效時，failover ISP2 網路連線將接管。

備註：USB 連接埠無法作為 VPN 連線使用，因此也無法作為 IPsec  故障移轉使用。

所有介於 192.168.0.1/24 和 192.168.0.1/24 的網路流量皆透過 IPsec 點對點 VPN 通道加密。

透過 ISP1 的 VPN 通道為主要通道。如果 ISP1 連線故障，則透過 ISP2 的 VPN 通道將會自動建立和轉發流量。

一旦 ISP1 連線恢復後，流量將會轉發回主要 VPN 通道。

設定

步驟1：在路由器 1 設定 IPSsec VPN

備註：路由器 1 可以是任何支援 IPsec VPN 的路由器，在此我們使用 Omada 路由器為例。

1. 請至 VPN > IPsec > IPsec Policy > IPsec Policy List，點擊 Add 並輸入相關參數：

• Policy Name: test
• Mode: LAN-to-LAN
• Remote Gateway: 0.0.0.0
• WAN: WAN
• Local Subnet: 192.168.0.1/24
• Remote Subnet: 192.168.10.1/24
• Pre-shared Key: tplink
• Status: Enable

2. 點擊 Advanced Settings，Negotiation Mode 選擇為 Responder Mode，並將 Phase-1 和 Phase-2 維持預設值。

備註：您也可以將 Phase-1 和 Phase-2 指定為您所需要的值，只要確認 Router1 的 Negotiation Mode 為 Responder Mode，且其他參數設定和 Router2 相同。

步驟2：在 Router2 設定 IPsec VPN

1. 在設定 Router2 IPsec VPN 之前，請確認 Router2 上已啟用了兩個 WAN 連接埠，且 WAN 連接埠皆與 ISP 連上。

2. 至 VPN > IPsec > IPsec Policy > IPsec Policy List，點擊 Add 建立 IPsec VPN Tunnel 1，並輸入如下參數：

• Policy Name: test_1
• Mode: LAN-to-LAN
• Remote Gateway: 192.168.1.114
• WAN: WAN
• Local Subnet: 192.168.10.1/24
• Remote Subnet: 192.168.0.1/24
• Pre-shared Key: tplink
• Status: Enable

3. 點擊 Advanced Settings，將 Negotiation Mode 選擇為 Initiator Mode，其他 Phase-1 與 Phase-2 參數則與 Router1 相同。

4. 點擊 Add 建立 IPsec VPN Tunnel 2，並輸入以下參數：

• Policy Name: test_2
• Mode: LAN-to-LAN
• Remote Gateway: 192.168.1.114
• WAN: WAN/LAN1
• Local Subnet: 192.168.10.1/24
• Remote Subnet: 192.168.0.1/24
• Pre-shared Key: tplink
• Status: Enable

5. 點擊 Advanced Settings，其他 Phase-1 與 Phase-2 參數則與 Tunnel1 相同。

6. 至 VPN > IPsec > IPsec SA 可看到 Tunnel 1 建立完成。

步驟3：在 Router2 設定 IPsec Failover

1. 至 VPN > IPsec > IPsec Policy > Failover Group，點擊 Add 建立 failover 群組，並設定如下參數：

• Group Name: test_failover
• Primary IPsec: test_1
• Secondary IPsec: test_2
• Automatic Failback: Enable
• Gateway failover time-out: 10
• Status: Enable

備註：自動 Failback 用於當連線可用時能自動切換回主要的連線，如您想了解此功能，需要確認遠端站點的 WAN 連接埠是可以 ping 通的。

通常遠端站點的路由器預設會將 Ping from WAN 功能阻擋，需要先行將此設定取消。

以 Router1 為例：

至 Firewall > Attack Defense > Packet Anomaly Defense，取消勾選 Block Ping from WAN,，並點擊 Save。

驗證流程

1. 拔除 Router2 WAN 連接埠的網路線以模擬 IPS1 斷開網際網路連線。至 System Tools > System Log 檢視主要通道切換至次要通道過程。

2. 至 VPN > IPsec > IPsec SA 查看目前的通道是否為次要通道。

3. 重新接回 Router2 的 WAN 連接埠以模擬 ISP1 重新連線的情況。至 System Log 檢視次要通道切換回主要通道過程。

4. 至 VPN > IPsec > IPsec SA 檢視目前通道是否為主要通道。

了解更多細節及相關資訊，請至 Download Center 下載產品手冊。