Toto je příklad použití Dual-WAN k provedení selhání na Hub-and-spoke VPN s HQ ZyWALL / USG jako Hub a mluvení VPN do větví A a B.
Když je nakonfigurován tunel VPN, provoz prochází mezi větvemi prostřednictvím Hub (HQ).
Provoz může také procházet mezi spoke-and-spoke přes Hub. Pokud primární rozhraní WAN není k dispozici, použije se záložní rozhraní WAN.
Když je primární rozhraní WAN znovu k dispozici, provoz bude toto rozhraní používat znovu.
Nastavte VPN tunel IPSec na ZyWALL / USG
Hub_HQ-to-Branch_A
1 Přejděte na KONFIGURACE> VPN> IPSec VPN> VPN Gateway , vyberte Povolit .
Zadejte název VPN Gateway použitý k identifikaci tohoto VPN Gateway.
Nakonfigurujte primární IP adresu Gateway jako IP adresu pobočky A wan1 (v příkladu 172.16.20.1) a sekundární adresu IP Gateway jako IP adresu pobočky A wan2 (v příkladu 172.100.120.1).
Pokud je to možné, vyberte volbu Fall back to Primární Peer Gateway a nastavte požadovaný čas intervalu kontroly zpětného pádu .
Zadejte bezpečný předsdílený klíč (8 až 32 znaků), který musí odpovídat předsdílenému klíči vaší pobočky A, a klikněte na OK .
KONFIGURACE> VPN> IPSec VPN> VPN Gateway
2 Přejděte na KONFIGURACE> VPN> IPSec VPN> Připojení VPN a vyberte Povolit .
Zadejte název připojení používaný k identifikaci tohoto připojení VPN.
Vyberte scénář jako site-to-site a VPN Gateway, který je nakonfigurován v kroku 1.
KONFIGURACE> VPN> IPSec VPN> Připojení VPN> Obecná nastavení a VPN Gateway
Klepnutím na Vytvořit nový objekt přidáte adresu místní sítě za Hub_HQ a adresu místní sítě za pobočkou A.
KONFIGURACE> VPN> IPSec VPN> Připojení VPN> Vytvořit nový objekt
Nastavit místní zásady na Hub_HQ a vzdálené zásady na Branch_A, které jsou nově vytvořeny. Klikněte na OK .
KONFIGURACE> VPN> IPSec VPN> Připojení VPN> Zásady
Hub_HQ-to-Branch_B
1 Přejděte na KONFIGURACE> VPN> IPSec VPN> VPN Gateway , vyberte Povolit . Zadejte název VPN Gateway použitý k identifikaci tohoto VPN Gateway.
Potom nakonfigurujte primární IP adresu Gateway jako IP adresu pobočky B w1 (v příkladu 172.16.30.1) a sekundární adresu IP Gateway jako IP adresu pobočky B wan2 (v příkladu 172.100.130.1).
Pokud je to možné, vyberte volbu Fall back to Primární Peer Gateway a nastavte požadovaný čas intervalu kontroly zpětného pádu .
Zadejte bezpečný předsdílený klíč (8 až 32 znaků), který musí odpovídat předsdílenému klíči vaší pobočky A, a klikněte na OK .
KONFIGURACE> VPN> IPSec VPN> VPN Gateway
2 Chcete-li povolit připojení VPN, přejděte na položku KONFIGURACE> VPN> IPSec VPN> Připojení VPN. Vyberte scénář jako site-to-site a VPN Gateway, který je nakonfigurován v kroku 1.
KONFIGURACE> VPN> IPSec VPN> Připojení VPN> Obecná nastavení a VPN Gateway
Klepnutím na Vytvořit nový objekt přidáte adresu místní sítě za Hub_HQ a adresu místní sítě za pobočku B.
KONFIGURACE> VPN> IPSec VPN> Připojení VPN> Vytvořit nový objekt
Nastavte místní zásady na Hub_HQ a vzdálené zásady na Branch_B, které jsou nově vytvořeny. Klikněte na OK .
KONFIGURACE> VPN> IPSec VPN> Připojení VPN> Zásady
Hub_HQ Koncentrátor
1 V ZyWALL / USG přejděte na položku KONFIGURACE> VPN> IPSec VPN> Koncentrátor , přidejte pravidlo Koncentrátor VPN. Vyberte tunely VPN do stejné členské skupiny a klikněte na Uložit .
Spoke_Branch_A
1 Přejděte na KONFIGURACE> VPN> IPSec VPN> VPN Gateway , vyberte Povolit . Zadejte název VPN Gateway použitý k identifikaci tohoto VPN Gateway.
Potom nakonfigurujte primární Gateway IP jako Hub_HQ ‚WAN1 IP adresy s (v uvedeném příkladu 172.16.10.1) a sekundárních Gateway IP jako Hub_HQ‚WAN2 IP adresy s (v uvedeném příkladu 172.100.110.1). Pokud je to možné, vyberte volbu Fall back to Primární Peer Gateway a nastavte požadovaný čas intervalu kontroly zpětného pádu .
Zadejte bezpečný předsdílený klíč (8 až 32 znaků), který musí odpovídat předsdílenému klíči vašeho Hub_HQ a klikněte na OK .
KONFIGURACE> VPN> IPSec VPN> VPN Gateway
2 Přejděte na KONFIGURACE> VPN> IPSec VPN> Připojení VPN a vyberte Povolit . Zadejte název připojení používaný k identifikaci tohoto připojení VPN. Vyberte scénář jako site-to-site a VPN Gateway, který je nakonfigurován v kroku 1.
KONFIGURACE> VPN> IPSec VPN> Připojení VPN> Obecná nastavení a VPN Gateway
Kliknutím na Vytvořit nový objekt přidáte adresu místní sítě za pobočku A a adresu místní sítě za Hub_HQ
KONFIGURACE> VPN> IPSec VPN> Připojení VPN> Vytvořit nový objekt
Nastavit místní zásady na Spoke_Branch_A_LOCAL a vzdálené zásady na Hub_HQ, které jsou nově vytvořeny. Klikněte na OK .
KONFIGURACE> VPN> IPSec VPN> Připojení VPN> Zásady
3 Přejděte do části Síť> Směrování> Trasa politiky a přidejte cestu Trasa, která umožňuje provoz ze Spoke_Branch_A na Spoke_Branch_B .
Klikněte na Vytvořit nový objekt a nastavte adresu jako místní síť za Spoke_Branch_B . Vyberte zdrojovou adresu jako místní síť za zařízením Spoke_Branch_A . Poté přejděte dolů v seznamu Cílová adresa a vyberte nově vytvořenou adresu Spoke_Branch_B_LOCAL . Klikněte na OK .
Síť> Směrování> Směrování zásad
Spoke_Branch_B
1 Přejděte na KONFIGURACE> VPN> IPSec VPN> VPN Gateway , vyberte Povolit . Zadejte název VPN Gateway použitý k identifikaci tohoto VPN Gateway.
Potom nakonfigurujte primární Gateway IP jako Hub_HQ ‚WAN1 IP adresy s (v uvedeném příkladu 172.16.10.1) a sekundárních Gateway IP jako Hub_HQ‚WAN2 IP adresy s (v uvedeném příkladu 172.100.110.1). Pokud je to možné, vyberte volbu Fall back to Primární Peer Gateway a nastavte požadovaný čas intervalu kontroly zpětného pádu .
Zadejte bezpečný předsdílený klíč (8 až 32 znaků), který musí odpovídat předsdílenému klíči vašeho Hub_HQ a klikněte na OK .
KONFIGURACE> VPN> IPSec VPN> VPN Gateway
2 Přejděte na KONFIGURACE> VPN> IPSec VPN> Připojení VPN a vyberte Povolit . Zadejte název připojení používaný k identifikaci tohoto připojení VPN. Vyberte scénář jako site-to-site a VPN Gateway, který je nakonfigurován v kroku 1.
KONFIGURACE> VPN> IPSec VPN> Připojení VPN> Obecná nastavení a VPN Gateway
Klepnutím na Vytvořit nový objekt přidáte adresu místní sítě za pobočku B a adresu místní sítě za Hub_HQ .
KONFIGURACE> VPN> IPSec VPN> Připojení VPN> Vytvořit nový objekt
Nastavit místní zásady na Spoke_Branch_B_LOCAL a vzdálené zásady na Hub_HQ, které jsou nově vytvořeny. Klikněte na OK .
KONFIGURACE> VPN> IPSec VPN> Připojení VPN> Zásady
3 Přejděte do části Síť> Směrování> Trasa zásad a přidejte Trasu zásad, která umožní provoz ze Spoke_Branch_B na Spoke_Branch_A .
Klikněte na Vytvořit nový objekt a nastavte adresu jako místní síť za Spoke_Branch_A . Vyberte zdrojovou adresu jako místní síť za Spoke_Branch_B . Poté přejděte dolů v seznamu Cílová adresa a vyberte nově vytvořenou adresu Spoke_Branch_A_LOCAL . Klikněte na OK .
Síť> Směrování> Směrování zásad
OVĚŘENÍ:
Vyzkoušejte IPSec VPN tunel
1 Přejděte do KONFIGURACE ZyWALL / USG > VPN> IPSec VPN> Připojení VPN , klepněte na Připojit na horním panelu. Po připojení rozhraní svítí ikona Stav připojení.
Hub_HQ> KONFIGURACE> VPN> VPN IPSec> Připojení VPN
Spoke_Branch_A> KONFIGURACE> VPN> VPN IPSec> Připojení VPN
Spoke_Branch_B> KONFIGURACE> VPN> VPN IPSec> Připojení VPN
2 Přejděte na ZyWALL / USG MONITOR> VPN Monitor> IPSec a ověřte čas vypršení tunelu a příchozí (bajty) / odchozí (bajty) provoz. Klepnutím na Kontrola připojení ověřte výsledek připojení ICMP.
Hub_HQ> MONITOR> VPN Monitor> IPSec> Hub_HQ-to-Branch_A
Hub_HQ> MONITOR> VPN Monitor> IPSec> Hub_HQ-to-Branch_B
Spoke_Branch_B> MONITOR> VPN Monitor> IPSec
Spoke_Branch_A> MONITOR> VPN Monitor> IPSec
Co může jít špatně?
1 Pokud se zobrazí zpráva protokolu [info] nebo [error], jako je níže, zkontrolujte nastavení ZyWALL / USG fáze 1. Všechny jednotky ZyWALL / USG musí použít stejný Pre-Shared Key, Encryption, Authentication Method, DH key group a ID Type pro založení IKE SA.
2 Pokud vidíte, že byl dokončen proces IKE SA fáze 1, ale stále se zobrazuje zpráva [info] protokolu, jak je uvedeno níže, zkontrolujte nastavení ZyWALL / USG fáze 2. Všechny jednotky ZyWALL / USG musí použít stejný protokol, zapouzdření, šifrování, metodu ověřování a PFS k vytvoření IKE SA.
3 Ujistěte se, že bezpečnostní zásady všech jednotek ZyWALL / USG umožňují provoz IPSec VPN. IKE používá UDP Port 500, AH používá IP protokol 51 a ESP používá IP protokol 50.
4 Ve výchozím nastavení je NAT Traversal povolen na ZyWALL / USG, takže se ujistěte, že ve vzdáleném zařízení IPSec je povolen NAT Traversal.
KB-00162
Originální verze PODMÍNKY:
Vážený zákazníku, uvědomte si, že k poskytování článků ve vašem místním jazyce používáme strojový překlad. Ne všechny texty mohou být přeloženy přesně. Pokud existují otázky nebo nesrovnalosti ohledně přesnosti informací v přeložené verzi, přečtěte si prosím původní článek zde: Původní verze
Komentáře
0 komentářů
Prosím přihlaste se, abyste mohli napsat komentář.