Tento článek vám ukáže, jak nakonfigurovat převzetí připojení VPN při selhání s řadou USG FLEX / ATP / VPN pomocí tunelu site-to-site s funkcí Trunk Failover a VPN Concentrator. Použití Dual-WAN k provedení fail-overu na rozbočovači a spoji VPN s centrálou ZyWALL/USG jako rozbočovačem a spoji VPN do poboček A a B.

1) Konfigurace převzetí služeb VPN při selhání pomocí funkce Trunk Failover

Scénář (Trunk Failover)

Zákazník má 2 různé IP adresy WAN se dvěma připojeními VPN v pobočce. Jedna z nich je dynamická IP.

V případě, že připojení WAN1 z nějakého důvodu vypadne, mělo by být rozhraní WAN2 použito jako Failover, aby tunel zůstal zachován.

Jak nastavit klientské připojení VPN Failover?

1.1 Konfigurace převzetí služeb při selhání sítě WAN prostřednictvím nastavení hlavního kanálu

Ve webovém grafickém uživatelském rozhraní přejděte na obrazovku Konfigurace > Síť > Rozhraní > Trunk > Konfigurace uživatele > Přidat.
Nastavte režim sítě WAN2 na hodnotu Pasivní.

1.2 Konfigurace odpojení připojení před zpětným propadem

Povolte funkci "Disconnect Connections Before Falling Back".

1.3 Konfigurace brány VPN

Přejděte do nabídky Konfigurace > VPN > IPSec VPN > Brána VPN.

Na straně pobočky:
Nastavte My Address-> Domain Name/IPvSet4 na "0.0.0.0.0.0" (USG se nejprve připojí k aktivnímu rozhraní WAN).


Na straně centrály:
Protože IP adresa rozhraní WAN2 na straně pobočky je dynamická, musí být "Peer Gateway Address" na straně centrály nastavena na "Dynamic address". Alternativně lze nastavit a použít dynamický DNS v poli "Static Address" (Statická adresa).

Ujistěte se, že je na obou stranách použita kontrola konektivity:

1.4 Konfigurace funkce Client-side-VPN-Failover přes SSH

Zadejte následující příkaz prostřednictvím SSH na zařízení:

Poté se tunel automaticky vrátí zpět do sítě WAN1, jakmile se obnoví připojení WAN1.

2) Konfigurace převzetí služeb VPN při selhání prostřednictvím koncentrátoru VPN

Scénář (koncentrátor VPN)

Když je nakonfigurován tunel VPN, provoz prochází mezi pobočkami přes rozbočovač (HQ).
Přes rozbočovač může provoz procházet také mezi pobočkami (spoke-and-spoke). Pokud je primární rozhraní WAN nedostupné, použije se záložní rozhraní WAN.
Jakmile bude primární rozhraní WAN opět k dispozici, provoz bude opět využívat toto rozhraní.

2.1 Konfigurace rozbočovače Hub_HQ-to-Branch_A

1 Přejděte do nabídky KONFIGURACE > VPN > IPSec VPN > Brána VPN a vyberte možnost Povolit.
Zadejte název brány VPN, který se používá k identifikaci této brány VPN.

Nakonfigurujte IP adresu primární brány jako IP adresu wan1 pobočky A(v příkladu 172.16.20.1) a IP adresu sekundární brány jako IP adresu wan2 pobočky A(v příkladu 172.100.120.1).
Vyberte možnost Fall back to Primary Peer Gateway when possible a nastavte požadovaný časový interval kontroly Fall Back.

Zadejte bezpečný předsdílený klíč (8-32 znaků), který se musí shodovat s předsdíleným klíčem pobočky A, a klikněte na tlačítko OK.

KONFIGURACE > VPN > IPSec VPN > Brána VPN

2 Přejděte do nabídky CONFIGURATION > VPN > IPSec VPN > VPN Connection a vyberte možnost Enable (Povolit).
Zadejte název připojení, který se používá k identifikaci tohoto připojení VPN.
Vyberte scénář jako Site-to-site a VPN Gateway, který je nakonfigurován v kroku 1.

CONFIGURATION > VPN > IPSec VPN > VPN Connection > General Settings a VPN Gateway.

Klepněte na tlačítko Vytvořit nový objekt a přidejte adresu místní sítě za Hub_HQ a adresu místní sítě za pobočkou A.

KONFIGURACE > VPN > IPSec VPN > Připojení VPN > Vytvořit nový objekt

Nastavte místní zásady na hodnotu Hub_HQ a vzdálené zásady na hodnotu Branch_A , které jsou nově vytvořeny. Klikněte na tlačítko OK.

KONFIGURACE > VPN > IPSec VPN > Připojení VPN > Zásady

2.2 Konfigurace propojení Hub_HQ s pobočkou_B

1 Přejděte do nabídky CONFIGURATION > VPN > IPSec VPN > VPN Gateway a vyberte možnost Enable (Povolit). Zadejte název brány VPN, který se používá k identifikaci této brány VPN.

Poté nakonfigurujte IP adresu primární brány jako IP adresu wan1 pobočky B(v příkladu 172.16.30.1) a IP adresu sekundární brány jako IPadresu wan2pobočky B(v příkladu 172.100.130.1).
Vyberte možnost Fall back to Primary Peer Gateway when possible a nastavte požadovaný časový interval kontroly Fall Back.

Zadejte bezpečný předsdílený klíč (8-32 znaků), který se musí shodovat s předsdíleným klíčem pobočky A, a klikněte na tlačítko OK.

KONFIGURACE > VPN > IPSec VPN > Brána VPN

2 Přejděte do nabídky CONFIGURATION > VPN > IPSec VPN > VPN Connection a povolte připojení VPN. Vyberte scénář jako Site-to-site a VPN Gateway, který je nakonfigurován v kroku 1.

CONFIGURATION > VPN > IPSec VPN > VPN Connection > General Settings a VPN Gateway.

Kliknutím na tlačítko Vytvořit nový objekt přidejte adresu místní sítě za centrálou Hub_HQ a adresu místní sítě za pobočkou B.

KONFIGURACE > VPN > IPSec VPN > Připojení VPN > Vytvořit nový objekt

Nastavte místní zásady na hodnotu Hub_HQ a vzdálené zásady na hodnotu Branch_B , které jsou nově vytvořeny. Klikněte na tlačítko OK.

KONFIGURACE > VPN > IPSec VPN > Připojení VPN > Zásada

2.3 Konfigurace koncentrátoru Hub_HQ

1 V zařízení ZyWALL/USG přejděte do nabídky CONFIGURATION > VPN > IPSec VPN > Concentrator a přidejte pravidlo VPN Concentrator. Vyberte VPN tunely do stejné členské skupiny a klikněte na tlačítko Uložit.

2.4 Konfigurace pobočky Spoke_Branch_A

1 Přejděte do nabídky CONFIGURATION > VPN > IPSec VPN > VPN Gateway a vyberte možnost Enable (Povolit). Zadejte název brány VPN, který se používá k identifikaci této brány VPN.

Poté nakonfigurujte IP adresu primární brány jako IP adresu wan1 centrály Hub_HQ(v příkladu 172.16.10.1) a IP adresu sekundární brány jako IP adresu wan2 centrály Hub_HQ(v příkladu 172.100.110.1). Vyberte možnost Fall back to Primary Peer Gateway when possible a nastavte požadovaný časový interval kontroly Fall Back.

Zadejte bezpečný předsdílený klíč (8-32 znaků), který se musí shodovat s předsdíleným klíčem centrály Hub_HQ, a klikněte na tlačítko OK.

KONFIGURACE > VPN > IPSec VPN > Brána VPN

2 Přejděte do nabídky CONFIGURATION > VPN > IPSec VPN > VPN Connection a vyberte možnost Enable (Povolit). Zadejte název připojení, který se používá k identifikaci tohoto připojení VPN. Vyberte scénář jako Site-to-site a VPN Gateway, který je nakonfigurován v kroku 1.

CONFIGURATION > VPN > IPSec VPN > VPN Connection > General Settings a VPN Gateway.

Klepněte na tlačítko Vytvořit nový objekt a přidejte adresu místní sítě za pobočkou A a adresu místní sítě za centrem Hub_HQ.

KONFIGURACE > VPN > IPSec VPN > Připojení VPN > Vytvořit nový objekt

Nastavte místní zásady na hodnotu Spoke_Branch_A_LOCAL a vzdálené zásady na hodnotu Hub_HQ , které jsou nově vytvořeny. Klikněte na tlačítko OK.

KONFIGURACE > VPN > IPSec VPN > Připojení VPN > Zásady

3 Přejděte do Network > Routing > Policy Route a přidejte Policy Route, která povolí provoz z Spoke_Branch_A do Spoke_Branch_B.

Klikněte na tlačítko Create new Object (Vytvořit nový objekt) a nastavte adresu jako místní síť za Spoke_Branch_B. Vyberte Source Address (Zdrojová adresa), aby to byla místní síť za Spoke_Branch_A. Poté se posuňte v seznamu Destination Address (Cílová adresa) dolů a vyberte nově vytvořenou adresu Spoke_Branch_B_LOCAL . Klikněte na tlačítko OK.

Síť > Směrování > Zásady směrování

2.5 Konfigurace Spoke_Branch_B

1 Přejděte do nabídky KONFIGURACE > VPN > IPSec VPN > Brána VPN a vyberte možnost Povolit. Zadejte název brány VPN, který slouží k identifikaci této brány VPN.

Poté nakonfigurujte IP adresu primární brány jako IP adresu wan1 centrály Hub_HQ(v příkladu 172.16.10.1) a IP adresu sekundární brány jako IP adresu wan2 centrály Hub_HQ(v příkladu 172.100.110.1). Vyberte možnost Fall back to Primary Peer Gateway when possible a nastavte požadovaný časový interval kontroly Fall Back.

Zadejte bezpečný předsdílený klíč (8-32 znaků), který se musí shodovat s předsdíleným klíčem centrály Hub_HQ, a klikněte na tlačítko OK.

KONFIGURACE > VPN > IPSec VPN > Brána VPN

2 Přejděte do nabídky CONFIGURATION > VPN > IPSec VPN > VPN Connection a vyberte možnost Enable (Povolit). Zadejte název připojení, který se používá k identifikaci tohoto připojení VPN. Vyberte scénář jako Site-to-site a VPN Gateway, který je nakonfigurován v kroku 1.

CONFIGURATION > VPN > IPSec VPN > VPN Connection > General Settings a VPN Gateway.

Klepněte na tlačítko Vytvořit nový objekt a přidejte adresu místní sítě za pobočkou B a adresu místní sítě za centrem Hub_HQ.

KONFIGURACE > VPN > IPSec VPN > Připojení VPN > Vytvořit nový objekt

Nastavte místní zásady na hodnotu Spoke_Branch_B_LOCAL a vzdálené zásady na hodnotu Hub_HQ , které jsou nově vytvořeny. Klikněte na tlačítko OK.

KONFIGURACE > VPN > IPSec VPN > Připojení VPN > Zásady

3 Přejděte do Network > Routing > Policy Route a přidejte Policy Route pro povolení provozu z Spoke_Branch_B do Spoke_Branch_A.

Klikněte na tlačítko Create new Object (Vytvořit nový objekt) a nastavte adresu jako místní síť za Spoke_Branch_A. Vyberte Source Address (Zdrojová adresa), aby to byla místní síť za Spoke_Branch_B. Poté se posuňte v seznamu Destination Address (Cílová adresa) dolů a vyberte nově vytvořenou adresu Spoke_Branch_A_LOCAL . Klikněte na tlačítko OK.

Síť > Směrování > Zásady směrování

2.6 Testování tunelu IPSec VPN

1 Přejděte do nabídky ZyWALL/USG CONFIGURATION > VPN > IPSec VPN > VPN Connection a na horní liště klikněte na tlačítko Connect (Připojit). Pokud je rozhraní připojeno, svítí ikona Stav připojení.

Hub_HQ > CONFIGURATION > VPN > IPSec VPN > Připojení k síti VPN.

Spoke_Branch_A > CONFIGURATION > VPN > IPSec VPN > Připojení VPN

Spoke_Branch_B > CONFIGURATION > VPN > IPSec VPN > VPN Connection

2 Přejděte do ZyWALL/USG MONITOR > VPN Monitor > IPSec a ověřte čas zprovoznění tunelu a příchozí(bajty)/odchozí(bajty ) provoz. Kliknutím na tlačítko Connectivity Check (Kontrola připojení) ověřte výsledek ICMP Connectivity (Připojení ICMP).

Hub_HQ > MONITOR > Monitor VPN > IPSec > Hub_HQ-to-Branch_A

Hub_HQ > MONITOR > Monitor VPN > IPSec > Hub_HQ-to-Branch_B

Spoke_Branch_B > MONITOR > VPN Monitor > IPSec

Spoke_Branch_A > MONITOR > Monitor VPN > IPSec

2.7 Co se může pokazit?

1 Pokud se zobrazí zpráva protokolu [info] nebo [error], jako například níže, zkontrolujte nastavení fáze 1 ZyWALL/USG. Všechny jednotky ZyWALL/USG musí pro vytvoření IKE SA používat stejný předsdílený klíč, šifrování, metodu ověřování, skupinu klíčů DH a typ ID.

2 Pokud vidíte, že proces fáze 1 IKE SA byl dokončen, ale stále se zobrazuje zpráva protokolu [info], jak je uvedeno níže, zkontrolujte prosím nastavení fáze 2 zařízení ZyWALL/USG. Všechny jednotky ZyWALL/USG musí k vytvoření IKE SA používat stejný protokol, zapouzdření, šifrování, metodu ověřování a PFS.

3 Ujistěte se, že zásady zabezpečení všech jednotek ZyWALL/USG povolují provoz IPSec VPN. IKE používá port UDP 500, AH používá protokol IP 51 a ESP používá protokol IP 50.

4 Ve výchozím nastavení je v zařízení ZyWALL/USG povoleno překonávání sítě NAT, proto se ujistěte, že vzdálené zařízení IPSec má rovněž povoleno překonávání sítě NAT.