Тази статия ще ви покаже как да конфигурирате отказ на VPN връзка с USG FLEX / ATP / VPN Series, като използвате тунел от сайт до сайт с Trunk Failover и VPN Concentrator. Използване на Dual-WAN за извършване на fail-over на VPN връзка с хъб и спици с ZyWALL/USG в централата като хъб и спици VPN към клонове A и B.

1) Конфигуриране на VPN Failover чрез Trunk Failover

Сценарий (отказ на магистралата)

Клиентът има 2 различни WAN IP адреса с две VPN връзки в клона. Единият от тях е динамичен IP адрес.

В случай че връзката WAN1 се срине по някаква причина, интерфейсът WAN2 трябва да се използва като Failover, за да се запази тунелът жив.

Как да настроите VPN клиентската връзка Failover?

1.1 Конфигуриране на функцията WAN Failover чрез настройките на магистралата

В уеб графичния потребителски интерфейс отидете на екрана Configuration (Конфигуриране) > Network (Мрежа) > Interface (Интерфейс) > Trunk (Магистрала) > User configuration (Конфигурация на потребителя) > Add (Добавяне) .
Задайте режим на WAN2 на Пасивен.

1.2 Конфигуриране на прекъсване на връзките преди връщане назад

Активирайте функцията "Disconnect Connections Before Falling Back" (Прекъсване на връзките преди връщане).

1.3 Конфигуриране на VPN шлюза

Отидете в Конфигурация > VPN > IPSec VPN > VPN шлюз.

От страната на клона:
Задайте My Address-> Domain Name/IPvSet4 на "0.0.0.0.0.0.0" (USG ще се свърже първо с активния WAN интерфейс).


От страна на централата:
Тъй като IP адресът на интерфейса WAN2 от страната на клона е динамичен, "Peer Gateway Address" от страната на централата трябва да се зададе на "Dynamic address" (Динамичен адрес). Алтернативно, в полето "Статичен адрес" може да се настрои и използва динамичен DNS.

Моля, уверете се, че използвате проверката за свързаност и от двете страни:

1.4 Конфигуриране на Client-side-VPN-Failover чрез SSH

Въведете следната команда чрез SSH на устройството:

Router(config)# client-side-vpn-failover-fallback activate

След това тунелът ще се върне автоматично към WAN1, след като връзката WAN1 се възстанови.

2) Конфигуриране на VPN Failover чрез VPN Concentrator

Сценарий (VPN концентратор)

Когато VPN тунелът е конфигуриран, трафикът преминава между клоновете чрез концентратора (HQ).
Трафикът може да преминава и между клонове и разклонения чрез концентратора. Ако основният WAN интерфейс е недостъпен, ще се използва резервният WAN интерфейс.
Когато основният WAN интерфейс отново е наличен, трафикът ще се използва отново през този интерфейс.

2.1 Конфигуриране на концентратор_HQ към разклонение_A

1 Отидете в CONFIGURATION (Конфигуриране) > VPN > IPSec VPN > VPN Gateway (VPN шлюз), изберете Enable (Включване).
Въведете името на VPN шлюза, което се използва за идентифициране на този VPN шлюз.

Конфигурирайте IP адреса на първичния шлюз като wan1 IP адреса на клона A(в примера 172.16.20.1), а IP адреса на вторичния шлюз като wan2 IP адреса на клона A(в примера 172.100.120.1).
Изберете Fall back to Primary Peer Gateway when possible (Връщане към основния партньорски шлюз, когато е възможно ) и задайте желаното време за проверка Fall Back Check Interval (Интервал на проверка на връщане ).

Въведете сигурен предварително споделен ключ (8-32 символа), който трябва да съвпада с предварително споделения ключ на вашия клон А, и щракнете върху OK.

КОНФИГУРАЦИЯ > VPN > IPSec VPN > VPN шлюз

2 Отидете в CONFIGURATION (Конфигуриране) > VPN > IPSec VPN > VPN Connection (VPN връзка) и изберете Enable (Включване).
Въведете името на връзката, което се използва за идентифициране на тази VPN връзка.
Изберете сценарий като Site-to-site и VPN Gateway, който е конфигуриран в стъпка 1.

CONFIGURATION > VPN > IPSec VPN > VPN Connection > General Settings (Общи настройки) и VPN Gateway (VPN шлюз)

Щракнете върху Create new Object (Създаване на нов обект), за да добавите адреса на локалната мрежа зад Hub_HQ и адреса на локалната мрежа зад Branch A.

CONFIGURATION > VPN > IPSec VPN > VPN Connection > Create new Object

Задайте Local Policy (Местна политика) да бъде Hub_HQ и Remote Policy (Отдалечена политика) да бъде Branch_A (Клон_А) , които са новосъздадени. Натиснете OK.

CONFIGURATION > VPN > IPSec VPN > VPN Connection > Policy

2.2 Конфигуриране на връзката между Hub_HQ и Branch_B

1 Отидете в CONFIGURATION > VPN > IPSec VPN > VPN Gateway, изберете Enable (Включване). Въведете името на VPN шлюза, което се използва за идентифициране на този VPN шлюз.

След това конфигурирайте IP адреса на първичния шлюз като wan1 IP адрес на клона B(в примера 172.16.30.1) и IP адреса на вторичния шлюз като wan2IPадрес на клона B(в примера 172.100.130.1).
Изберете Fall back to Primary Peer Gateway when possible (Връщане към основния партньорски шлюз, когато е възможно ) и задайте желаното време за проверка Fall Back Check Interval (Интервал на проверка на връщане ).

Въведете сигурен предварително споделен ключ (8-32 символа), който трябва да съвпада с предварително споделения ключ на вашия клон А, и щракнете върху OK.

КОНФИГУРАЦИЯ > VPN > IPSec VPN > VPN шлюз

2 Отидете на CONFIGURATION > VPN > IPSec VPN > VPN Connection (Конфигурация > VPN > IPSec VPN > VPN връзка ), за да активирате VPN връзката. Изберете сценарий като Site-to-site и VPN Gateway, който е конфигуриран в стъпка 1.

CONFIGURATION > VPN > IPSec VPN > VPN Connection > General Settings и VPN Gateway

Щракнете върху Create new Object (Създаване на нов обект), за да добавите адрес на локална мрежа зад Hub_HQ и адрес на локална мрежа зад Branch B.

CONFIGURATION > VPN > IPSec VPN > VPN Connection > Create new Object

Задайте Local Policy (Локална политика) да бъде Hub_HQ и Remote Policy (Отдалечена политика) - Branch_B , които са новосъздадени. Натиснете OK.

CONFIGURATION > VPN > IPSec VPN > VPN Connection > Policy

2.3 Конфигуриране на концентратора Hub_HQ

1 В ZyWALL/USG отидете на CONFIGURATION > VPN > IPSec VPN > Concentrator, добавете правило за VPN Concentrator. Изберете VPN тунели към една и съща членска група и щракнете върху Запази.

2.4 Конфигуриране на Spoke_Branch_A

1 Отидете в CONFIGURATION (Конфигуриране) > VPN > IPSec VPN > VPN Gateway (VPN шлюз), изберете Enable (Включване). Въведете името на VPN шлюза, което се използва за идентифициране на този VPN шлюз.

След това конфигурирайте IP адреса на първичния шлюз като wan1 IP адрес на Hub_HQ(в примера 172.16.10.1) и IP адреса на вторичния шлюз като wan2 IP адрес на Hub_HQ(в примера 172.100.110.1). Изберете Fall back to Primary Peer Gateway when possible (Връщане към основния партньорски шлюз, когато е възможно ) и задайте желаното време за проверка Fall Back Check Interval (Интервал на проверка на връщане ).

Въведете сигурен предварително споделен ключ (8-32 символа), който трябва да съвпада с предварително споделения ключ на Hub_HQ, и щракнете върху OK.

КОНФИГУРАЦИЯ > VPN > IPSec VPN > VPN шлюз

2 Отидете на CONFIGURATION > VPN > IPSec VPN > VPN Connection (Конфигурация > VPN > IPSec VPN > VPN връзка ) и изберете Enable (Разреши). Въведете името на връзката, което се използва за идентифициране на тази VPN връзка. Изберете сценарий като Site-to-site и VPN Gateway, който е конфигуриран в стъпка 1.

CONFIGURATION > VPN > IPSec VPN > VPN Connection > General Settings (Общи настройки) и VPN Gateway (VPN шлюз)

Щракнете върху Create new Object (Създаване на нов обект), за да добавите адреса на локалната мрежа зад клон А и адреса на локалната мрежа зад Hub_HQ

CONFIGURATION > VPN > IPSec VPN > VPN Connection > Create new Object

Задайте Local Policy (Локална политика) да бъде Spoke_Branch_A_LOCAL (Клон_A_LOCAL), а Remote Policy (Отдалечена политика) - Hub_HQ , които са новосъздадени. Натиснете OK.

CONFIGURATION > VPN > IPSec VPN > VPN Connection > Policy

3 Отидете в Network (Мрежа) > Routing (Маршрутизация) > Policy Route (Маршрут на политиката), за да добавите Policy Route (Маршрут на политиката), за да разрешите трафика от Spoke_Branch_A към Spoke_Branch_B.

Щракнете върху Create new Object (Създаване на нов обект) и задайте адреса да бъде локалната мрежа зад Spoke_Branch_B. Изберете Source Address (Адрес на източника) да бъде локалната мрежа зад Spoke_Branch_A. След това превъртете надолу списъка Destination Address (Адрес на местоназначението), за да изберете новосъздадения адрес Spoke_Branch_B_LOCAL . Щракнете върху OK.

Network (Мрежа) > Routing (Маршрутизация) > Policy Route (Маршрут на политиката)

2.5 Конфигуриране на Spoke_Branch_B

1 Отидете в CONFIGURATION (Конфигуриране) > VPN > IPSec VPN > VPN Gateway (VPN шлюз), изберете Enable (Включване). Въведете името на VPN шлюза, което се използва за идентифициране на този VPN шлюз.

След това конфигурирайте IP адреса на първичния шлюз като wan1 IP адрес на Hub_HQ(в примера 172.16.10.1) и IP адреса на вторичния шлюз като wan2 IP адрес на Hub_HQ(в примера 172.100.110.1). Изберете Fall back to Primary Peer Gateway when possible (Връщане към основния партньорски шлюз, когато е възможно ) и задайте желаното време за проверка Fall Back Check Interval (Интервал на проверка на връщане ).

Въведете сигурен предварително споделен ключ (8-32 символа), който трябва да съвпада с предварително споделения ключ на Hub_HQ, и щракнете върху OK.

КОНФИГУРАЦИЯ > VPN > IPSec VPN > VPN шлюз

2 Отидете в CONFIGURATION (Конфигуриране) > VPN > IPSec VPN > VPN Connection (VPN връзка) и изберете Enable (Включване). Въведете името на връзката, което се използва за идентифициране на тази VPN връзка. Изберете сценарий като Site-to-site и VPN Gateway, който е конфигуриран в стъпка 1.

CONFIGURATION > VPN > IPSec VPN > VPN Connection > General Settings (Общи настройки) и VPN Gateway (VPN шлюз)

Щракнете върху Create new Object (Създаване на нов обект), за да добавите адреса на локалната мрежа зад Branch B (клон В) и адреса на локалната мрежа зад Hub_HQ (централа).

CONFIGURATION > VPN > IPSec VPN > VPN Connection > Create new Object

Задайте Local Policy (Местна политика) да бъде Spoke_Branch_B_LOCAL (Клон_B_LOCAL), а Remote Policy (Отдалечена политика) - Hub_HQ (Хъб_HQ) , които са новосъздадени. Натиснете OK.

CONFIGURATION > VPN > IPSec VPN > VPN Connection > Policy

3 Отидете в Network (Мрежа) > Routing (Маршрутизация) > Policy Route (Маршрут на политиката), за да добавите Policy Route (Маршрут на политиката), за да разрешите трафика от Spoke_Branch_B към Spoke_Branch_A.

Щракнете върху Create new Object (Създаване на нов обект) и задайте адреса да бъде локалната мрежа зад Spoke_Branch_A. Изберете Source Address (Адрес на източника) да бъде локалната мрежа зад Spoke_Branch_B. След това превъртете надолу списъка Destination Address (Адрес на местоназначението), за да изберете новосъздадения адрес Spoke_Branch_A_LOCAL . Щракнете върху OK.

Network (Мрежа) > Routing (Маршрутизация) > Policy Route (Маршрут на политиката)

2.6 Тестване на IPSec VPN тунела

1 Отидете в ZyWALL/USG CONFIGURATION > VPN > IPSec VPN > VPN Connection, щракнете върху Connect (Свързване) в горната лента. Иконата за свързване на състоянието свети, когато интерфейсът е свързан.

Hub_HQ > CONFIGURATION (Конфигуриране) > VPN > IPSec VPN > VPN Connection (VPN връзка)

Spoke_Branch_A > CONFIGURATION > VPN > IPSec VPN > VPN Connection

Spoke_Branch_B > CONFIGURATION > VPN > IPSec VPN > VPN Connection

2 Отидете в ZyWALL/USG MONITOR > VPN Monitor > IPSec и проверете Up Time на тунела и входящия(Bytes)/изходящия(Bytes ) трафик. Щракнете върху Connectivity Check (Проверка на свързаността), за да проверите резултата от ICMP Connectivity (Свързаност по ICMP).

Hub_HQ > MONITOR > VPN Monitor > IPSec > Hub_HQ-to-Branch_A

Hub_HQ > MONITOR > VPN Monitor > IPSec > Hub_HQ-to-Branch_B

Spoke_Branch_B > MONITOR > VPN Monitor > IPSec

Spoke_Branch_A > MONITOR > VPN Monitor > IPSec

2.7 Какво може да се обърка?

1 Ако видите съобщение в дневника [info] или [error], както е посочено по-долу, моля, проверете ZyWALL/USG Phase 1 Settings. Всички ZyWALL/USG устройства трябва да използват един и същ Pre-Shared Key (предварително споделен ключ), Encryption (криптиране), Authentication method (метод за удостоверяване), DH key group (група DH ключове) и ID Type (тип идентификатор) за установяване на IKE SA.

2 Ако видите, че процесът на фаза 1 на IKE SA е приключил, но все още получавате [info] съобщение в дневника, както е посочено по-долу, моля, проверете настройките на фаза 2 на ZyWALL/USG. Всички ZyWALL/USG устройства трябва да използват един и същ протокол, капсулиране, криптиране, метод за удостоверяване и PFS, за да установят IKE SA.

3 Уверете се, че политиките за сигурност на всички ZyWALL/USG устройства позволяват IPSec VPN трафик. IKE използва UDP порт 500, AH използва IP протокол 51, а ESP използва IP протокол 50.

4 По подразбиране в ZyWALL/USG е разрешено преминаването през NAT, затова се уверете, че отдалеченото IPSec устройство също има разрешено преминаване през NAT.