Der IKEv2 Load-Balancer ermöglicht es, eingehende IKEv2-Verbindungen abhängig von momentaner Auslastung / Anzahl VPN-Tunnel etc. sinnvoll auf andere Gateways zu verteilen. Um dies zu erreichen wird der IKEv2 Redirect Mechanismus verwendet.
In größeren VPN-Szenarien werden in der Regel redundante VPN-Gateways verwendet. Oft werden davon allerdings nicht alle Gateways gleichmäßig genutzt bzw. manche Gateways werden als Reserve für den Backup-Fall vorgehalten. Dies führt zu einer ungleichmäßigen Ressourcen-Auslastung der Gesamtinstallation.
Werden mehrere VPN-Gateways genutzt, so müssen diese Gateways auf allen Clients konfiguriert werden. Soll insbesondere ein neues VPN-Gateway installiert werden, so muss dieses Gateway auf allen Clients nachträglich konfiguriert werden. IKEv2 bietet mit dem Redirect-Mechanismus (RFC 5685) eine Erweiterung bei der ein VPN-Gateway einen Client auf ein anderes Gateway umleiten bzw. weiterleiten kann.
Auf Basis des IKEv2- Redirect-Mechanismus kann im Zusammenspiel mit VRRP ein hochverfügbarer IKEv2 Load-Balancer für Enterprise-Szenarien erreicht werden.
Im ersten Schritt wird ein VRRP-Verbund auf allen beteiligen VPN-Gateways aktiviert. Die virtuelle VRRP-IP-Adresse ist gleichzeitig die Master-IP-Adresse des IKEv2-Load-Balancer-Verbundes. Die VPN-Gateways tauschen nun durch regelmäßige Status-Nachrichten per Multicast Informationen über ihre Last bzw. ihre Verfügbarkeit aus. Sollte der Master ausfallen, so wird automatisch ein anderes VPN-Gateway zum Master gewählt.
Auf den Clients wird nur noch die Master-IP-Adresse konfiguriert. Baut nun ein Client eine VPN-Verbindung zu dieser IP-Adresse auf, so prüft das Master Gateway die Last der VPN-Gateways und leitet den Client auf das Gateway mit der geringsten Last um. Dabei schickt das Master Gateway entweder ein Redirect in der IKE_SA_INIT-Antwort oder in der IKE-Auth-Phase. Die Umleitungsentscheidung wird anhand der freien VPN-Tunnel der beteiligen Gateways getroffen. Dabei wird der VPN-Client auf das VPN-Gateway mit der niedrigsten Anzahl an aktiven Tunneln umgeleitet.
Die virtuelle Gateway-Adresse dient somit nur für den ersten Kontakt mit anschließendem Redirect. Der Client baut dann den eigentlichen VPN-Tunnel zu einer anderen Gateway-Adresse auf.
Folgende Randbedingungen sind zu beachten:
- VRRP wird für die automatische Wahl des Master-Gateways benötigt.
- Die beteiligten VPN-Gateways müssen eine gemeinsame Layer-2 Verbindung für VRRP und dem Austausch von Status-Nachrichten per Multicast haben.
- VRRP wird aktuell nur auf LAN-Schnittstellen unterstützt.
- Es wird ein vorgeschalteter Router (ggf. ebenfalls redundant ausgelegt) für den WAN-Zugang benötigt.
- Der Client muss IKEv2-Gateway Redirect nach RFC 5685 unterstützen (gilt aktuell für LANCOM Router und den LANCOM Advanced VPN-Client unter Windows).
In LANconfig konfigurieren Sie den IKEv2 Load-Balancer unter
im Menü Load Balancer.
- Load Balancer aktiviert
- Aktiviert den IKEv2 Load-Balancer.
