Inhalt x
    Einrichten einer redundanten Instanz der icom Connectivity Suite – VPN zum Abfedern unerwarteter Ausfallzeiten
    • 04 Oct 2024
    • Drucken
    • pdf
    Inhalt

    Einrichten einer redundanten Instanz der icom Connectivity Suite – VPN zum Abfedern unerwarteter Ausfallzeiten

    • Aktualisiert am 04 Oct 2024
    • Drucken
    • pdf
    Artikel-Zusammenfassung

    Trotz der sehr hohen Verfügbarkeit der icom Connectivity Suite - VPN kann eine redundante Instanz die Verfügbarkeit bei einem seltenen Ausfall der primären Instanz aufrecht erhalten.

    Die icom Connectivity Suite – VPN ist ein Dienst von INSYS icom für die einfache und sichere Vernetzung von Standorten, Anlagen, Leitständen und mobilen Geräten über ein Virtuelles Privates Netzwerk (VPN).

    Prüfen Sie Ihr Gerät!

    Dieser Configuration Guide gilt nur für Router von INSYS icom mit dem Betriebssystem icom OS. Dies beinhaltet die Router-Serien MRX, MRO, ECR, SCR sowie MIRO und MIROdul.

    Situation

    Sie verwenden die icom Connectivity Suite – VPN und möchten Maßnahmen ergreifen, um unerwartete Ausfälle zu vermeiden.

    Lösung

    Verschiedene Technologien garantieren jeder Instanz der icom Connectivity Suite - VPN eine sehr hohe Verfügbarkeit. Durch kurzzeitige Ausfälle einzelner Elemente der Instanz kann die dauerhafte Verfügbarkeit der icom Connectivity Suite - VPN jedoch eingeschränkt sein. Für kritische Anwendungen, kann eine sekundäre Instanz verwendet werden, die in einem anderen Rechenzentrum gehostet ist, auf die bei einem Ausfall der primären Instanz umgeschaltet wird. Eine Fallback-Funktion prüft regelmäßig das Wiederkehren der primären Instanz und schaltet bei Verfügbarkeit wieder auf diese zurück.

    Wichtiger Hinweis für Benutzer in China!

    Das Erhöhen der Verfügbarkeit der icom Connectivity Suite – VPN durch redundante Instanzen ist nicht möglich für Instanzen, die für eine Verbindung mit Routern auf dem chinesischen Festland konfiguriert sind (China VPN).

    Der folgende Configuration Guide zeigt, welche Voraussetzungen die sekundäre Instanz erfüllen muss und wie Sie einen in der icom Connectivity Suite - VPN angemeldeten Router entsprechend konfigurieren.

    Bitte beachten Sie!

    Die hier beschriebenen primären und sekundären Instanzen der icom Connectivity Suite - VPN bleiben getrennte Netzwerke. Daher müssen alle Geräte, die für die redundante Kommunikation über die sekundäre Instanz benötigt werden (z.B. bei einem Ausfall der primären Instanz), ordnungsgemäß lizenziert und konfiguriert sein, wie in diesem Configuration Guide beschrieben.

    Dabei wird davon ausgegangen, dass Sie

    • bereits ein Konto für die icom Connectivity Suite - VPN registriert haben, wie in diesem Configuration Guide ausgeführt,  

    • Router in der icom Connectivity Suite - VPN hinzugefügt haben, wie in diesem Configuration Guide ausgeführt, und

    • den Router für eine Verbindung mit der icom Connectivity Suite - VPN konfiguriert haben, wie in diesem Configuration Guide ausgeführt.

    Bestellen einer sekundären Instanz

    1. Wenden Sie sich an den Vertrieb von INSYS icom und bestellen Sie eine weitere Instanz der icom Connectivity Suite - VPN. Erwähnen Sie dabei, dass Sie die sekundäre Instant für einen  Redundanzbetrieb verwenden möchten und in einem anderen Rechenzentrum  gehostet werden soll als Ihre primäre Instanz.

    INSYS icom wird sicherstellen, dass beide Instanzen in unterschiedlichen Rechenzentren gehostet sind.

    Bitte beachten Sie!

    Diese sekundäre Instanz ist nicht für einen gleichzeitigen Betrieb mit der primären Instanz gedacht, sondern als Backup für den Fall, dass die primäre Instanz nicht verfügbar ist.

    Rekonfigurieren der Verbindung mit der icom Connectivity Suite - VPN

    Router, die vor Q2 2023 für eine Verbindung mit der icom Connectivity Suite - VPN konfiguriert sind, müssen rekonfiguriert werden, um einen sicheren Redundanzbetrieb zu ermöglichen. Wurde der Router nach Q1 2023 für einen Betrieb mit der icom Connectivity Suite - VPN konfiguriert, kann dieser Schritt übersprungen werden.

    1. Öffnen Sie das Portal der icom Connectivity Suite für Ihre primäre Instanz:

      • https://connectivity.insys-icom.de (oder den von Ihrem Vertriebspartner erhaltenen Link)

      • Wählen Sie Ihre bevorzugte Sprache unter Sprache bzw. Language aus und klicken Sie auf Anmelden.

    2. Wählen Sie den Reiter Geräte.

    3. Suchen Sie die Reihe des Routers, der konfiguriert werden soll und klicken Sie auf Herunterladen () in der Spalte Verwalten.

    4. Klicken Sie auf INSYS Router Konfiguration und speichern Sie die Konfigurationsdatei auf dem Computer.

      Bitte beachten Sie!

      Dies ist eine reguläre ASCII-Konfigurationsdatei für eine Aktualisierung des Profil des Routers mit den erforderlichen Einstellungen.

    5. Öffnen Sie die Benutzerschnittstelle: https://insys.icom

    6. Klicken Sie auf der Seite AdministrationProfile im Abschnitt ASCII-Konfigurationen auf und laden Sie die eben heruntergeladene ASCII-Konfigurationsdatei hoch.

    7. Klicken sie auf SPEICHERN.

    8. Klicken Sie auf der Seite AdministrationProfile im Abschnitt ASCII-Konfigurationen hinter der gerade hochgeladenen Konfigurationsdatei auf .

    9. Klicken Sie dann im sich öffnenden Aktions-Bereich auf und danach auf ASCII-KONFIGURATION ANWENDEN zum Anwenden einer ASCII-Konfigurationsdatei.

    10. Klicken sie auf PROFIL AKTIVIEREN zum Aktivieren eines Profils.

    Das mit der ASCII-Konfigurationsdatei aktualisierte Profil wird aktiviert und der Router verbindet sich nun wieder mit dieser Instanz der icom Connectivity Suite – VPN.

    Anlegen des Routers in der sekundären Instanz der icom Connectivity Suite - VPN

    Der Router muss auch in der sekundären Instanz der icom Connectivity Suite angelegt werden, die dann eine Konfigurationsdatei für die Verbindung bereitstellt.

    Öffnen Sie die Benutzerschnittstelle der zweiten Instant in einem anderen Brwoser!

    Die sekundäre Instanz kann nicht im selben Browser-Fenster wie die primäre geöffnet werden und muss in einem anderen Browser oder zum Beispiel im privaten Modus des selben Browsers geöffnet werden.

    1. Öffnen Sie das Portal der icom Connectivity Suite für Ihre sekundäre Instanz in einem anderen Browser:

    2. Fügen Sie den Router hinzu wie in diesem Configuration Guide beschrieben.

    3. Klicken Sie in der Reihe des neu hinzugefügten Routers auf Herunterladen () in der Spalte Verwalten.

    4. Klicken Sie auf INSYS Router Konfiguration und speichern Sie die Konfigurationsdatei auf dem Computer.

    Konfigurieren des Routers für eine Verbindung mit der der sekundären Instanz der icom Connectivity Suite - VPN

    Die Konfigurationsdatei der sekundären Instanz muss auf den Router geladen werden. Dort konfiguriert sie eine zweite OpenVPN-Verbindung zur sekundären Instanz der icom Connectivity Suite und legt auch die zugehörigen Routen und Filterregeln an. Sie legt auch einen Update-Server für die sekundäre Instanz an. Die OpenVPN-Verbindung zur sekundären Instanz wird in die bestehende WAN-Kette eingefügt und muss manuell in eine zweite WAN-Kette verschoben werden, mit der die Verbindung zur sekundären Instanz aufgebaut wird.

    1. Öffnen Sie die Benutzerschnittstelle: https://insys.icom

    2. Klicken Sie im Menü AdministrationProfile im Abschnitt ASCII-Konfigurationen auf und laden Sie die eben heruntergeladene ASCII-Konfigurationsdatei der sekundären Instanz hoch.

    3. Klicken sie auf SPEICHERN.

    4. Klicken Sie auf der Seite AdministrationProfile im Abschnitt ASCII-Konfigurationen hinter der gerade hochgeladenen Konfigurationsdatei der sekundären Instanz auf .

    5. Klicken Sie dann im sich öffnenden Aktions-Bereich auf und danach auf ASCII-KONFIGURATION ANWENDEN.

    6. Klicken Sie auf der Seite NetzwerkWAN / Internet auf hinter der WAN-Kette wan1, um diese WAN-Kette zu bearbeiten.
      cg de ics instance redundancy 01

    7. Klicken Sie rechts oben auf , um diese WAN-Kette zu kopieren.
      cg de ics instance redundancy 02

    8. Klicken sie auf SPEICHERN.

    9. Klicken Sie erneut auf hinter der WAN-Kette wan1, um diese WAN-Kette zu bearbeiten.
      cg de ics instance redundancy 03

    10. Löschen Sie das dritte Interface der WAN-Kette openvpn2, indem Sie im Feld Startposition 3 auf klicken.
      cg de ics instance redundancy 04

    11. Klicken Sie im Feld Startposition 2 des zweiten Interface der WAN-Kette openvpn1 unten auf MEHR und wählen sie unter Fehlerfall-WAN-Kette die Wan-Kette wan2 aus.

      Bitte beachten Sie!

      Wenn der für dieses Interface konfigurierte Verbindungscheck einen Verbindungsfehler erkennt, wird die WAN-Kette wan2 gestartet, mit der die Verbindung zur sekundären Instanz der icom Connectivity Suite - VPN aufgebaut wird.


      cg de ics instance redundancy 05

    12. Klicken sie auf SPEICHERN.

    13. Klicken Sie auf hinter der WAN-Kette wan2, um diese WAN-Kette zu bearbeiten.

    14. Ändern Sie die Beschreibung der Wan-Kette: [Startup] WAN2 (Vorschlag)

    15. Löschen Sie das zweite Interface der WAN-Kette openvpn1, indem Sie im Feld Startposition 2 auf klicken.

    16. Klicken Sie im Feld Startposition 2 des jetzigen zweiten Interface der WAN-Kette openvpn2 unten auf MEHR und wählen sie unter Fehlerfall-WAN-Kette die Wan-Kette wan1 aus.

    17. Markieren Sie die Option Lebensdauer begrenzen, geben Sie eine Lebensdauer für diese WAN-Kette ein und wählen sie unter WAN-Kette bei Ablauf für WAN-Kette wan1 aus.

      Bitte beachten Sie!

      Die WAN-Kette für die Verbindung zur sekundären Instanz wird nach Ablauf der Lebensdauer abgebaut und die WAN-Kette wan1 wird gestartet, mit der die Verbindung zur primären Instanz der icom Connectivity Suite - VPN aufgebaut wird.


      cg de ics instance redundancy 06

    18. Klicken sie auf SPEICHERN.
      cg de ics instance redundancy 07

    19. Aktivieren Sie das Profil mit einem Klick auf PROFIL AKTIVIEREN .

    Der Router verfügt nun über zwei WAN-Ketten, wan1 und wan2, von denen die erste die OpenVPN-Verbindung zur primären Instanz der icom Connectivity Suite startet und die zweite die OpenVPN-Verbindung zur sekundären Instanz. Wird die OpenVPN-Verbindung zur primären Instanz der icom Connectivity Suite als fehlerhaft erkannt, wird die zweite WAN-Kette gestartet, die eine OpenVPN-Verbindung zur sekundären Instanz der icom Connectivity Suite aufbaut. Um einen Dauerbetrieb mit der sekundären Instanz zu vermeiden, wird diese WAN-Kette nach Ablauf einer bestimmten Zeit wieder abgebaut und die WAN-Kette wan1 wird wieder gestartet, die eine OpenVPN-Verbindung zur primären Instanz der icom Connectivity Suite startet. Ist die primäre Instanz wieder verfügbar, läuft der Betrieb wieder normal über die primäre Instanz, ist sie noch nicht wieder verfügbar, erfolgt ein weiterer temporärer Wechsel zur sekundären Instanz.

    Bitte beachten Sie!

    Um die Verfügbarkeit der Geräte in Zeiten eines unerwarteten Ausfalls der icom Connectivity Suite zu gewährleisten, ist es wichtig, dass Sie die Verbindung der Geräte zur sekundären Instanz regelmäßig testen, um sicherzustellen, dass sie verfügbar ist, wenn Sie sie brauchen. Regelmäßige Tests bieten den zusätzlichen Vorteil regelmäßiger Aktualisierungen, die dazu beitragen, die Zuverlässigkeit der Konfiguration zu gewährleisten.

    Eine Verbesserung der Verfügbarkeit über eine Redundanz der WAN-Verbindung, beispielsweise durch eine zweite Mobilfunkverbindung über einen anderen Provider oder eine zusätzliche LAN-Verbindung kann in ähnlicher Weise über die WAN-Ketten realisiert werden. Siehe dazu diesen Configuration Guide.

    Eine sichere Konfiguration für die icom Connectivity Suite – VPN ist mit der in diesem Configuration Guide beschriebenen Einrichtung allerdings noch nicht sicher gewährleistet, da dies von den bereits erfolgten Einstellungen des Routers abhängt. Wurden beispielsweise schon mehr als eine WAN-Kette oder ein VPN-Tunnel definiert, kann dies zu Konflikten mit der Konfigurationsdatei führen. Dann ist eine weitere manuelle Nachbearbeitung der Konfiguration erforderlich.

    Durch die Konfiguration zweier Update-Server für die regelmäßige Aktualisierung der für die OpenVPN-Verbindung notwendigen Daten kommt es vor, dass für den jeweils nicht erreichbaren Update-Server der gerade nicht verbundenen Instanz der icom Connectivity Suite Fehler ausgegeben werden, wenn versucht wird, auf diesen zuzugreifen. Diese Fehler sind nicht vermeidbar und können ignoriert werden.

    Fehlersuche

    • Eine erfolgreiche Verbindung wird bestätigt, wenn der Zustand auf dem Reiter Geräte der icom Connectivity Suite auf online wechselt. Bitte beachten Sie, dass dies einige Minuten dauern kann.

    • Wenn sie nicht auf online wechselt, prüfen Sie Folgendes:

      • Zustand der Mobilfunkanbindung im Menü view dashboard outline Status →  Dashboard (bei einem LTE-Router)

      • Zustand der OpenVPN-Verbindung im Menü view dashboard outline StatusDashboard

      • OpenVPN-Log im Menü view dashboard outline StatusLogs

    • Für weitere Informationen, siehe das icom Connectivity Suite-Handbuch.

    War dieser Artikel hilfreich?
    What's Next