Čeština Български Dansk Deutsch English Español Suomi Français Magyar Italiano Nederlands Norsk Polski Română Русский Slovenčina Svenska Türkçe

Jak používat Dual-WAN k provedení selhání na VPN pomocí VPN koncentrátoru Site to Site icon

Avatar
Maurice Lejeune
  • Aktualizováno

Toto je příklad použití Dual-WAN k provedení selhání na Hub-and-spoke VPN s HQ ZyWALL / USG jako Hub a mluvení VPN do větví A a B.
Když je nakonfigurován tunel VPN, provoz prochází mezi větvemi prostřednictvím Hub (HQ).
Provoz může také procházet mezi spoke-and-spoke přes Hub. Pokud primární rozhraní WAN není k dispozici, použije se záložní rozhraní WAN.
Když je primární rozhraní WAN znovu k dispozici, provoz bude toto rozhraní používat znovu.




mceclip0.png



Nastavte VPN tunel IPSec na ZyWALL / USG

Hub_HQ-to-Branch_A

1 Přejděte na KONFIGURACE> VPN> IPSec VPN> VPN Gateway , vyberte Povolit .
Zadejte název VPN Gateway použitý k identifikaci tohoto VPN Gateway.

Nakonfigurujte primární IP adresu Gateway jako IP adresu pobočky A wan1 (v příkladu 172.16.20.1) a sekundární adresu IP Gateway jako IP adresu pobočky A wan2 (v příkladu 172.100.120.1).
Pokud je to možné, vyberte volbu Fall back to Primární Peer Gateway a nastavte požadovaný čas intervalu kontroly zpětného pádu .

Zadejte bezpečný předsdílený klíč (8 až 32 znaků), který musí odpovídat předsdílenému klíči vaší pobočky A, a klikněte na OK .

KONFIGURACE> VPN> IPSec VPN> VPN Gateway



2 Přejděte na KONFIGURACE> VPN> IPSec VPN> Připojení VPN a vyberte Povolit .
Zadejte název připojení používaný k identifikaci tohoto připojení VPN.
Vyberte scénář jako site-to-site a VPN Gateway, který je nakonfigurován v kroku 1.

KONFIGURACE> VPN> IPSec VPN> Připojení VPN> Obecná nastavení a VPN Gateway

mceclip2.png

Klepnutím na Vytvořit nový objekt přidáte adresu místní sítě za Hub_HQ a adresu místní sítě za pobočkou A.

KONFIGURACE> VPN> IPSec VPN> Připojení VPN> Vytvořit nový objekt

Nastavit místní zásady na Hub_HQ a vzdálené zásady na Branch_A, které jsou nově vytvořeny. Klikněte na OK .

KONFIGURACE> VPN> IPSec VPN> Připojení VPN> Zásady

mceclip4.png

Hub_HQ-to-Branch_B

1 Přejděte na KONFIGURACE> VPN> IPSec VPN> VPN Gateway , vyberte Povolit . Zadejte název VPN Gateway použitý k identifikaci tohoto VPN Gateway.

Potom nakonfigurujte primární IP adresu Gateway jako IP adresu pobočky B w1 (v příkladu 172.16.30.1) a sekundární adresu IP Gateway jako IP adresu pobočky B wan2 (v příkladu 172.100.130.1).
Pokud je to možné, vyberte volbu Fall back to Primární Peer Gateway a nastavte požadovaný čas intervalu kontroly zpětného pádu .

Zadejte bezpečný předsdílený klíč (8 až 32 znaků), který musí odpovídat předsdílenému klíči vaší pobočky A, a klikněte na OK .

KONFIGURACE> VPN> IPSec VPN> VPN Gateway



2 Chcete-li povolit připojení VPN, přejděte na položku KONFIGURACE> VPN> IPSec VPN> Připojení VPN. Vyberte scénář jako site-to-site a VPN Gateway, který je nakonfigurován v kroku 1.

KONFIGURACE> VPN> IPSec VPN> Připojení VPN> Obecná nastavení a VPN Gateway



Klepnutím na Vytvořit nový objekt přidáte adresu místní sítě za Hub_HQ a adresu místní sítě za pobočku B.

KONFIGURACE> VPN> IPSec VPN> Připojení VPN> Vytvořit nový objekt

Nastavte místní zásady na Hub_HQ a vzdálené zásady na Branch_B, které jsou nově vytvořeny. Klikněte na OK .

KONFIGURACE> VPN> IPSec VPN> Připojení VPN> Zásady

Hub_HQ Koncentrátor

1 V ZyWALL / USG přejděte na položku KONFIGURACE> VPN> IPSec VPN> Koncentrátor , přidejte pravidlo Koncentrátor VPN. Vyberte tunely VPN do stejné členské skupiny a klikněte na Uložit .

Spoke_Branch_A

1 Přejděte na KONFIGURACE> VPN> IPSec VPN> VPN Gateway , vyberte Povolit . Zadejte název VPN Gateway použitý k identifikaci tohoto VPN Gateway.

Potom nakonfigurujte primární Gateway IP jako Hub_HQ ‚WAN1 IP adresy s (v uvedeném příkladu 172.16.10.1) a sekundárních Gateway IP jako Hub_HQ‚WAN2 IP adresy s (v uvedeném příkladu 172.100.110.1). Pokud je to možné, vyberte volbu Fall back to Primární Peer Gateway a nastavte požadovaný čas intervalu kontroly zpětného pádu .

Zadejte bezpečný předsdílený klíč (8 až 32 znaků), který musí odpovídat předsdílenému klíči vašeho Hub_HQ a klikněte na OK .

KONFIGURACE> VPN> IPSec VPN> VPN Gateway

2 Přejděte na KONFIGURACE> VPN> IPSec VPN> Připojení VPN a vyberte Povolit . Zadejte název připojení používaný k identifikaci tohoto připojení VPN. Vyberte scénář jako site-to-site a VPN Gateway, který je nakonfigurován v kroku 1.

KONFIGURACE> VPN> IPSec VPN> Připojení VPN> Obecná nastavení a VPN Gateway



Kliknutím na Vytvořit nový objekt přidáte adresu místní sítě za pobočku A a adresu místní sítě za Hub_HQ

KONFIGURACE> VPN> IPSec VPN> Připojení VPN> Vytvořit nový objekt



Nastavit místní zásady na Spoke_Branch_A_LOCAL a vzdálené zásady na Hub_HQ, které jsou nově vytvořeny. Klikněte na OK .

KONFIGURACE> VPN> IPSec VPN> Připojení VPN> Zásady



3 Přejděte do části Síť> Směrování> Trasa politiky a přidejte cestu Trasa, která umožňuje provoz ze Spoke_Branch_A na Spoke_Branch_B .

Klikněte na Vytvořit nový objekt a nastavte adresu jako místní síť za Spoke_Branch_B . Vyberte zdrojovou adresu jako místní síť za zařízením Spoke_Branch_A . Poté přejděte dolů v seznamu Cílová adresa a vyberte nově vytvořenou adresu Spoke_Branch_B_LOCAL . Klikněte na OK .

Síť> Směrování> Směrování zásad

mceclip14.png

Spoke_Branch_B

1 Přejděte na KONFIGURACE> VPN> IPSec VPN> VPN Gateway , vyberte Povolit . Zadejte název VPN Gateway použitý k identifikaci tohoto VPN Gateway.

Potom nakonfigurujte primární Gateway IP jako Hub_HQ ‚WAN1 IP adresy s (v uvedeném příkladu 172.16.10.1) a sekundárních Gateway IP jako Hub_HQ‚WAN2 IP adresy s (v uvedeném příkladu 172.100.110.1). Pokud je to možné, vyberte volbu Fall back to Primární Peer Gateway a nastavte požadovaný čas intervalu kontroly zpětného pádu .

Zadejte bezpečný předsdílený klíč (8 až 32 znaků), který musí odpovídat předsdílenému klíči vašeho Hub_HQ a klikněte na OK .

KONFIGURACE> VPN> IPSec VPN> VPN Gateway

2 Přejděte na KONFIGURACE> VPN> IPSec VPN> Připojení VPN a vyberte Povolit . Zadejte název připojení používaný k identifikaci tohoto připojení VPN. Vyberte scénář jako site-to-site a VPN Gateway, který je nakonfigurován v kroku 1.

KONFIGURACE> VPN> IPSec VPN> Připojení VPN> Obecná nastavení a VPN Gateway



Klepnutím na Vytvořit nový objekt přidáte adresu místní sítě za pobočku B a adresu místní sítě za Hub_HQ .

KONFIGURACE> VPN> IPSec VPN> Připojení VPN> Vytvořit nový objekt

Nastavit místní zásady na Spoke_Branch_B_LOCAL a vzdálené zásady na Hub_HQ, které jsou nově vytvořeny. Klikněte na OK .

KONFIGURACE> VPN> IPSec VPN> Připojení VPN> Zásady

3 Přejděte do části Síť> Směrování> Trasa zásad a přidejte Trasu zásad, která umožní provoz ze Spoke_Branch_B na Spoke_Branch_A .

Klikněte na Vytvořit nový objekt a nastavte adresu jako místní síť za Spoke_Branch_A . Vyberte zdrojovou adresu jako místní síť za Spoke_Branch_B . Poté přejděte dolů v seznamu Cílová adresa a vyberte nově vytvořenou adresu Spoke_Branch_A_LOCAL . Klikněte na OK .

Síť> Směrování> Směrování zásad


OVĚŘENÍ:

Vyzkoušejte IPSec VPN tunel

1 Přejděte do KONFIGURACE ZyWALL / USG > VPN> IPSec VPN> Připojení VPN , klepněte na Připojit na horním panelu. Po připojení rozhraní svítí ikona Stav připojení.

Hub_HQ> KONFIGURACE> VPN> VPN IPSec> Připojení VPN

Spoke_Branch_A> KONFIGURACE> VPN> VPN IPSec> Připojení VPN

Spoke_Branch_B> KONFIGURACE> VPN> VPN IPSec> Připojení VPN

2 Přejděte na ZyWALL / USG MONITOR> VPN Monitor> IPSec a ověřte čas vypršení tunelu a příchozí (bajty) / odchozí (bajty) provoz. Klepnutím na Kontrola připojení ověřte výsledek připojení ICMP.

Hub_HQ> MONITOR> VPN Monitor> IPSec> Hub_HQ-to-Branch_A


Hub_HQ> MONITOR> VPN Monitor> IPSec> Hub_HQ-to-Branch_B

Spoke_Branch_B> MONITOR> VPN Monitor> IPSec

Spoke_Branch_A> MONITOR> VPN Monitor> IPSec

Co může jít špatně?

1 Pokud se zobrazí zpráva protokolu [info] nebo [error], jako je níže, zkontrolujte nastavení ZyWALL / USG fáze 1. Všechny jednotky ZyWALL / USG musí použít stejný Pre-Shared Key, Encryption, Authentication Method, DH key group a ID Type pro založení IKE SA.

2 Pokud vidíte, že byl dokončen proces IKE SA fáze 1, ale stále se zobrazuje zpráva [info] protokolu, jak je uvedeno níže, zkontrolujte nastavení ZyWALL / USG fáze 2. Všechny jednotky ZyWALL / USG musí použít stejný protokol, zapouzdření, šifrování, metodu ověřování a PFS k vytvoření IKE SA.

3 Ujistěte se, že bezpečnostní zásady všech jednotek ZyWALL / USG umožňují provoz IPSec VPN. IKE používá UDP Port 500, AH používá IP protokol 51 a ESP používá IP protokol 50.

4 Ve výchozím nastavení je NAT Traversal povolen na ZyWALL / USG, takže se ujistěte, že ve vzdáleném zařízení IPSec je povolen NAT Traversal.

KB-00162

Originální verze

PODMÍNKY:

Vážený zákazníku, uvědomte si, že k poskytování článků ve vašem místním jazyce používáme strojový překlad. Ne všechny texty mohou být přeloženy přesně. Pokud existují otázky nebo nesrovnalosti ohledně přesnosti informací v přeložené verzi, přečtěte si prosím původní článek zde: Původní verze

Související články

Komentáře

0 komentářů

Prosím přihlaste se, abyste mohli napsat komentář.