Trotz der sehr hohen Verfügbarkeit der icom Connectivity Suite - VPN kann eine redundante Instanz die Verfügbarkeit bei einem seltenen Ausfall der primären Instanz aufrecht erhalten.

Die icom Connectivity Suite – VPN ist ein Dienst von INSYS icom für die einfache und sichere Vernetzung von Standorten, Anlagen, Leitständen und mobilen Geräten über ein VPN-Netzwerk.

Note Dieser Configuration Guide gilt nur für Router von INSYS icom mit dem Betriebssystem icom OS. Dies beinhaltet die Router-Serien MRX, MRO, ECR, SCR sowie MIRO und MIROdul.

Situation

Sie verwenden die icom Connectivity Suite – VPN und möchten Maßnahmen ergreifen, um unerwartete Ausfälle zu vermeiden.

Lösung

Verschiedene Technologien garantieren jeder Instanz der icom Connectivity Suite - VPN eine sehr hohe Verfügbarkeit. Durch kurzzeitige Ausfälle einzelner Elemente der Instanz kann die dauerhafte Verfügbarkeit der icom Connectivity Suite - VPN jedoch eingeschränkt sein. Für kritische Anwendungen, kann eine sekundäre Instanz verwendet werden, die in einem anderen Rechenzentrum gehostet ist, auf die bei einem Ausfall der primären Instanz umgeschaltet wird. Eine Fallback-Funktion prüft regelmäßig das Wiederkehren der primären Instanz und schaltet bei Verfügbarkeit wieder auf diese zurück.

Caution Das Erhöhen der Verfügbarkeit der icom Connectivity Suite – VPN durch redundante Instanzen ist nicht möglich für Instanzen, die für eine Verbindung mit Routern auf dem chinesischen Festland konfiguriert sind (China VPN).

Der folgende Configuration Guide zeigt, welche Voraussetzungen die sekundäre Instanz erfüllen muss und wie Sie einen in der icom Connectivity Suite - VPN angemeldeten Router entsprechend konfigurieren.

Important Die hier beschriebenen primären und sekundären Instanzen der icom Connectivity Suite - VPN bleiben getrennte Netzwerke. Daher müssen alle Geräte, die für die redundante Kommunikation über die sekundäre Instanz benötigt werden (z.B. bei einem Ausfall der primären Instanz), ordnungsgemäß lizenziert und konfiguriert sein, wie in diesem Configuration Guide beschrieben.

Dabei wird davon ausgegangen, dass Sie

  • bereits ein Konto für die icom Connectivity Suite - VPN registriert haben, wie in diesem Configuration Guide ausgeführt,

  • den Router in der icom Connectivity Suite - VPN hinzugefügt haben, wie in diesem Configuration Guide ausgeführt, und

  • den Router für eine Verbindung mit der icom Connectivity Suite - VPN konfiguriert haben, wie in diesem Configuration Guide ausgeführt.

Bestellen einer sekundären Instanz

  1. Wenden Sie sich an den Vertrieb von INSYS icom und bestellen Sie eine weitere Instanz der icom Connectivity Suite - VPN. Erwähnen Sie dabei, dass Sie die sekundäre Instant für einen Redundanzbetrieb verwenden möchten und in einem anderen Rechenzentrum gehostet werden soll als Ihre primäre Instanz.

INSYS icom wird sicherstellen, dass beide Instanzen in unterschiedlichen Rechenzentren gehostet sind.

Note Diese sekundäre Instanz ist nicht für einen gleichzeitigen Betrieb mit der primären Instanz gedacht, sondern als Backup für den Fall, dass die primäre Instanz nicht verfügbar ist.

Rekonfigurieren der Verbindung mit der icom Connectivity Suite - VPN

Router, die vor Q2 2023 für eine Verbindung mit der icom Connectivity Suite - VPN konfiguriert sind, müssen rekonfiguriert werden, um einen sicheren Redundanzbetrieb zu ermöglichen. Wurde der Router nach Q1 2023 für einen Betrieb mit der icom Connectivity Suite - VPN konfiguriert, kann dieser Schritt übersprungen werden.

  1. Öffnen Sie das Portal der icom Connectivity Suite für Ihre primäre Instanz:

  2. Wählen Sie den Reiter Geräte.

  3. Suchen Sie die Reihe des Routers, der konfiguriert werden soll und klicken Sie auf Herunterladen (tray arrow down) in der Spalte Verwalten.

  4. Klicken Sie auf INSYS Router Konfiguration und speichern Sie die Konfigurationsdatei auf dem Computer. [2]

  5. Öffnen Sie das Web-Interface des Routers: https://192.168.1.1/ui/index.html [3]

  6. Klicken Sie auf der Seite cog outline AdministrationProfile im Abschnitt ASCII-Konfigurationen auf file upload und laden Sie die eben heruntergeladene ASCII-Konfigurationsdatei hoch.

  7. Klicken sie auf   SPEICHERN  .

  8. Klicken Sie auf der Seite cog outline AdministrationProfile im Abschnitt ASCII-Konfigurationen hinter der gerade hochgeladenen Konfigurationsdatei auf cog.

  9. Klicken Sie dann im sich öffnenden Aktions-Bereich auf cog und danach auf   ASCII-KONFIGURATION ANWENDEN  . [4]

  10. Klicken sie auf   PROFIL AKTIVIEREN  cog white   [5]

Das mit der ASCII-Konfigurationsdatei aktualisierte Profil wird aktiviert und der Router verbindet sich nun wieder mit dieser Instanz der icom Connectivity Suite – VPN.

Anlegen des Routers in der sekundären Instanz der icom Connectivity Suite - VPN

Der Router muss auch in der sekundären Instanz der icom Connectivity Suite angelegt werden, die dann eine Konfigurationsdatei für die Verbindung bereitstellt.

  1. Öffnen Sie das Portal der icom Connectivity Suite für Ihre sekundäre Instanz in einem anderen Browser: [6]

  2. Fügen Sie den Router hinzu wie in diesem Configuration Guide beschrieben.

  3. Klicken Sie in der Reihe des neu hinzugefügten Routers auf Herunterladen (tray arrow down) in der Spalte Verwalten.

  4. Klicken Sie auf INSYS Router Konfiguration und speichern Sie die Konfigurationsdatei auf dem Computer.

Konfigurieren des Routers für eine Verbindung mit der der sekundären Instanz der icom Connectivity Suite - VPN

Die Konfigurationsdatei der sekundären Instanz muss auf den Router geladen werden. Dort konfiguriert sie eine zweite OpenVPN-Verbindung zur sekundären Instanz der icom Connectivity Suite und legt auch die zugehörigen Routen und Filterregeln an. Sie legt auch einen Update-Server für die sekundäre Instanz an. Die OpenVPN-Verbindung zur sekundären Instanz wird in die bestehende WAN-Kette eingefügt und muss manuell in eine zweite WAN-Kette verschoben werden, mit der die Verbindung zur sekundären Instanz aufgebaut wird.

  1. Öffnen Sie das Web-Interface des Routers: https://192.168.1.1/ui/index.html

  2. Klicken Sie im Menü cog outline AdministrationProfile im Abschnitt ASCII-Konfigurationen auf plus und laden Sie die eben heruntergeladene ASCII-Konfigurationsdatei der sekundären Instanz hoch.

  3. Klicken sie auf   SPEICHERN  .

  4. Klicken Sie auf der Seite cog outline AdministrationProfile im Abschnitt ASCII-Konfigurationen hinter der gerade hochgeladenen Konfigurationsdatei der sekundären Instanz auf cog.

  5. Klicken Sie dann im sich öffnenden Aktions-Bereich auf cog und danach auf   ASCII-KONFIGURATION ANWENDEN  .

  6. Klicken Sie auf der Seite lan NetzwerkWAN / Internet auf pencil hinter der WAN-Kette wan1, um diese WAN-Kette zu bearbeiten.
    cg de ics instance redundancy 01

  7. Klicken Sie rechts oben auf content copy, um diese WAN-Kette zu kopieren.
    cg de ics instance redundancy 02

  8. Klicken sie auf   SPEICHERN  .

  9. Klicken Sie erneut auf pencil hinter der WAN-Kette wan1, um diese WAN-Kette zu bearbeiten.
    cg de ics instance redundancy 03

  10. Löschen Sie das dritte Interface der WAN-Kette openvpn2, indem Sie im Feld Startposition 3 auf trash klicken.
    cg de ics instance redundancy 04

  11. Klicken Sie im Feld Startposition 2 des zweiten Interface der WAN-Kette openvpn1 unten auf MEHR chevron down und wählen sie unter Fehlerfall-WAN-Kette die Wan-Kette wan2 aus. [7]
    cg de ics instance redundancy 05

  12. Klicken sie auf   SPEICHERN  .

  13. Klicken Sie auf pencil hinter der WAN-Kette wan2, um diese WAN-Kette zu bearbeiten.

  14. Ändern Sie die Beschreibung der Wan-Kette: [Startup] WAN2 (Vorschlag)

  15. Löschen Sie das zweite Interface der WAN-Kette openvpn1, indem Sie im Feld Startposition 2 auf trash klicken.

  16. Klicken Sie im Feld Startposition 2 des jetzigen zweiten Interface der WAN-Kette openvpn2 unten auf MEHR chevron down und wählen sie unter Fehlerfall-WAN-Kette die Wan-Kette wan1 aus.

  17. Markieren Sie die Option Lebensdauer begrenzen, geben Sie eine Lebensdauer für diese WAN-Kette ein und wählen sie unter WAN-Kette bei Ablauf für WAN-Kette wan1 aus. [8]
    cg de ics instance redundancy 06

  18. Klicken sie auf   SPEICHERN  .
    cg de ics instance redundancy 07

  19. Aktivieren Sie das Profil mit einem Klick auf   PROFIL AKTIVIEREN  cog white  .

Der Router verfügt nun über zwei WAN-Ketten, wan1 und wan2, von denen die erste die OpenVPN-Verbindung zur primären Instanz der icom Connectivity Suite startet und die zweite die OpenVPN-Verbindung zur sekundären Instanz. Wird die OpenVPN-Verbindung zur primären Instanz der icom Connectivity Suite als fehlerhaft erkannt, wird die zweite WAN-Kette gestartet, die eine OpenVPN-Verbindung zur sekundären Instanz der icom Connectivity Suite aufbaut. Um einen Dauerbetrieb mit der sekundären Instanz zu vermeiden, wird diese WAN-Kette nach Ablauf einer bestimmten Zeit wieder abgebaut und die WAN-Kette wan1 wird wieder gestartet, die eine OpenVPN-Verbindung zur primären Instanz der icom Connectivity Suite startet. Ist die primäre Instanz wieder verfügbar, läuft der Betrieb wieder normal über die primäre Instanz, ist sie noch nicht wieder verfügbar, erfolgt ein weiterer temporärer Wechsel zur sekundären Instanz.

Note Um die Verfügbarkeit der Geräte in Zeiten eines unerwarteten Ausfalls der icom Connectivity Suite zu gewährleisten, ist es wichtig, dass Sie die Verbindung der Geräte zur sekundären Instanz regelmäßig testen, um sicherzustellen, dass sie verfügbar ist, wenn Sie sie brauchen. Regelmäßige Tests bieten den zusätzlichen Vorteil regelmäßiger Aktualisierungen, die dazu beitragen, die Zuverlässigkeit der Konfiguration zu gewährleisten.
Note Eine Verbesserung der Verfügbarkeit über eine Redundanz der WAN-Verbindung, beispielsweise durch eine zweite Mobilfunkverbindung über einen anderen Provider oder eine zusätzliche LAN-Verbindung kann in ähnlicher Weise über die WAN-Ketten realisiert werden. Siehe dazu diesen Configuration Guide.
Note Eine sichere Konfiguration für die icom Connectivity Suite – VPN ist mit der in diesem Configuration Guide beschriebenen Einrichtung allerdings noch nicht sicher gewährleistet, da dies von den bereits erfolgten Einstellungen des Routers abhängt. Wurden beispielsweise schon mehr als eine WAN-Kette oder ein VPN-Tunnel definiert, kann dies zu Konflikten mit der Konfigurationsdatei führen. Dann ist eine weitere manuelle Nachbearbeitung der Konfiguration erforderlich. Hinweise dazu finden sich in der Inline- und Online-Hilfe des Routers. Auf das Fragezeichen (help) in der Kopfzeile des klassischen Web-Interface klicken, um die Inline-Hilfe einzublenden.
Note Durch die Konfiguration zweier Update-Server für die regelmäßige Aktualisierung der für die OpenVPN-Verbindung notwendigen Daten kommt es vor, dass für den jeweils nicht erreichbaren Update-Server der gerade nicht verbundenen Instanz der icom Connectivity Suite Fehler ausgegeben werden, wenn versucht wird, auf diesen zuzugreifen. Diese Fehler sind nicht vermeidbar und können ignoriert werden.

Fehlersuche

  • Eine erfolgreiche Verbindung wird bestätigt, wenn der Zustand auf dem Reiter Geräte der icom Connectivity Suite auf online wechselt. Bitte beachten Sie, dass dies einige Minuten dauern kann.

  • Wenn sie nicht auf online wechselt, prüfen Sie Folgendes:

    • Zustand der Mobilfunkanbindung im Menü view dashboard outline StatusDashboard (bei einem LTE-Router)

    • Zustand der OpenVPN-Verbindung im Menü view dashboard outline StatusDashboard

    • OpenVPN-Log im Menü view dashboard outline StatusLogs

  • Für weitere Informationen, siehe das icom Connectivity Suite-Handbuch.

Zurück zu den Configuration Guides für die icom Connectivity Suite

Zurück zur Übersicht

1. Ihr Partner-Lnk kann von diesem Link abweichen.
2. Dies ist eine reguläre ASCII-Konfigurationsdatei für eine Aktualisierung des Profil des Routers mit den erforderlichen Einstellungen.
3. Anmeldung je nach Konfiguration
4. Anwenden einer ASCII-Konfigurationsdatei bedeutet, dass das geöffnete Profil um die darin enthaltenen Konfigurationen ergänzt oder durch diese modifiziert wird. Es erfolgt dabei keine Aktivierung des geöffneten Profils.
5. Alle Einstellungen werden in Profilen gespeichert. Erst das Aktivieren eines Profils bewirkt, dass der Router die Einstellungen auch übernimmt und ausführt.
6. Die sekundäre Instanz kann nicht im selben Browser-Fenster wie die primäre geöffnet werden und muss in einem anderen Browser oder zum Beispiel im privaten Modus des selben Browsers geöffnet werden.
7. Wenn der für dieses Interface konfigurierte Verbindungscheck einen Verbindungsfehler erkennt, wird die WAN-Kette wan2 gestartet, mit der die Verbindung zur sekundären Instanz der icom Connectivity Suite - VPN aufgebaut wird.
8. Die WAN-Kette für die Verbindung zur sekundären Instanz wird nach Ablauf der Lebensdauer abgebaut und die WAN-Kette wan1 wird gestartet, mit der die Verbindung zur primären Instanz der icom Connectivity Suite - VPN aufgebaut wird.