Denne artikel viser dig, hvordan du konfigurerer en VPN-forbindelses failover med USG FLEX / ATP / VPN Series ved hjælp af en site-to-site tunnel med Trunk Failover og VPN Concentrator. Brug af Dual-WAN til at udføre fail-over på en hub-and-spoke VPN med HQ ZyWALL/USG som hub og spoke VPN'er til filialer A og B.

1) Konfigurer VPN Failover via Trunk Failover

Scenarie (Trunk Failover)

Kunden har to forskellige WAN-IP'er med to VPN-forbindelser på filialen. En af dem er en dynamisk IP.

Hvis WAN1-forbindelsen af en eller anden grund går ned, skal WAN2-grænsefladen bruges som Failover for at holde liv i tunnelen.

Hvordan sætter man VPN-klientforbindelsen Failover op?

1.1 Konfigurer WAN Failover via Trunk-indstillinger

Gå til skærmbilledet Konfiguration > Netværk > Interface > Trunk > Brugerkonfiguration > Tilføj i web-GUI'en.
Indstil WAN2's tilstand til Passiv.

1.2 Konfigurer afbryd forbindelser, før du falder tilbage

Aktivér "Afbryd forbindelser, før de falder tilbage".

1.3 Konfigurer VPN-gatewayen

Gå til Konfiguration > VPN > IPSec VPN > VPN-gateway.

På branchesiden:
Indstil My Address-> Domain Name/IPvSet4 til "0.0.0.0.0.0" (USG vil først oprette forbindelse til den aktive WAN-grænseflade).


På HQ-siden:
Da IP-adressen på WAN2-grænsefladen på Branch-siden er dynamisk, skal "Peer Gateway Address" på HQ-siden indstilles til "Dynamic address". Alternativt kan en dynamisk DNS opsættes og bruges i feltet Static Address.

Sørg for at bruge forbindelsestjekket på begge sider:

1.4 Konfigurer VPN-failover på klientsiden via SSH

Indtast følgende kommando via SSH på enheden:

Router(config)# client-side-vpn-failover-fallback activate

Bagefter vil tunnelen automatisk falde tilbage til WAN1, når WAN1-forbindelsen er genoprettet.

2) Konfigurer VPN Failover via VPN Concentrator

Scenarie (VPN-koncentrator)

Når VPN-tunnelen er konfigureret, går trafikken mellem filialerne via hubben (HQ).
Trafikken kan også passere mellem spoke-and-spoke via hubben. Hvis den primære WAN-grænseflade ikke er tilgængelig, vil backup-WAN-grænsefladen blive brugt.
Når den primære WAN-grænseflade er tilgængelig igen, vil trafikken bruge denne grænseflade igen.

2.1 Konfigurer Hub_HQ-til-Branch_A

1 Gå til CONFIGURATION > VPN > IPSec VPN > VPN Gateway, og vælg Enable.
Skriv VPN-gatewaynavnet, der bruges til at identificere denne VPN-gateway.

Konfigurer den primære gateway-IP som filial A's wan1-IP-adresse (i eksemplet 172.16.20.1) og den sekundære gateway-IP som filial A's wan2-IP-adresse (i eksemplet 172.100.120.1).
Vælg Fall back to Primary Peer Gateway, når det er muligt , og indstil det ønskede Fall Back Check Interval.

Skriv en sikker Pre-Shared Key (8-32 tegn), som skal matche din Branch A's Pre-Shared Key, og klik på OK.

KONFIGURATION > VPN > IPSec VPN > VPN-gateway

2 Gå til CONFIGURATION > VPN > IPSec VPN > VPN Connection, og vælg Enable.
Skriv det forbindelsesnavn, der bruges til at identificere denne VPN-forbindelse.
Vælg scenarie som Site-to-site og VPN Gateway, som er konfigureret i trin 1.

KONFIGURATION > VPN > IPSec VPN > VPN-forbindelse > Generelle indstillinger og VPN-gateway

Klik på Create new Object for at tilføje adressen på det lokale netværk bag Hub_HQ og en adresse på det lokale netværk bag Branch A.

KONFIGURATION > VPN > IPSec VPN > VPN-forbindelse > Opret nyt objekt

Indstil lokal politik til at være Hub_HQ og fjernpolitik til Branch_A , som er nyoprettet. Klik på OK.

KONFIGURATION > VPN > IPSec VPN > VPN-forbindelse > Politik

2.2 Konfigurer Hub_HQ til Branch_B

1 Gå til CONFIGURATION > VPN > IPSec VPN > VPN Gateway, og vælg Enable. Skriv VPN-gatewaynavnet, der bruges til at identificere denne VPN-gateway.

Konfigurer derefter den primære gateway-IP som Branch B's wan1-IP-adresse (i eksemplet 172.16.30.1) og den sekundære gateway-IP som Branch B's wan2-IP-adresse(i eksemplet 172.100.130.1).
Vælg Fall back to Primary Peer Gateway, når det er muligt , og indstil det ønskede Fall Back Check Interval.

Skriv en sikker Pre-Shared Key (8-32 tegn), som skal matche din Branch A's Pre-Shared Key, og klik på OK.

KONFIGURATION > VPN > IPSec VPN > VPN-gateway

2 Gå til CONFIGURATION > VPN > IPSec VPN > VPN Connection for at aktivere VPN Connection. Vælg scenarie som Site-to-site og VPN Gateway, som er konfigureret i trin 1.

KONFIGURATION > VPN > IPSec VPN > VPN-forbindelse > Generelle indstillinger og VPN-gateway

Klik på Opret nyt objekt for at tilføje en adresse på det lokale netværk bag Hub_HQ og en adresse på det lokale netværk bag Branch B.

KONFIGURATION > VPN > IPSec VPN > VPN-forbindelse > Opret nyt objekt

Indstil lokal politik til at være Hub_HQ og fjernpolitik til Branch_B , som er nyoprettet. Klik på OK.

KONFIGURATION > VPN > IPSec VPN > VPN-forbindelse > Politik

2.3 Konfigurer Hub_HQ-koncentrator

1 I ZyWALL/USG skal du gå til KONFIGURATION > VPN > IPSec VPN > Concentrator og tilføje en VPN Concentrator-regel. Vælg VPN-tunneler til den samme medlemsgruppe, og klik på Gem.

2.4 Konfigurer Spoke_Branch_A

1 Gå til CONFIGURATION > VPN > IPSec VPN > VPN Gateway, og vælg Enable. Skriv VPN-gatewaynavnet, der bruges til at identificere denne VPN-gateway.

Konfigurer derefter den primære gateway-IP som Hub_HQ's wan1-IP-adresse (i eksemplet 172.16.10.1) og den sekundære gateway-IP som Hub_HQ's wan2-IP-adresse (i eksemplet 172.100.110.1). Vælg Fall back to Primary Peer Gateway, når det er muligt , og indstil det ønskede Fall Back Check Interval.

Skriv en sikker Pre-Shared Key (8-32 tegn), som skal matche din Hub_HQ's Pre-Shared Key, og klik på OK.

KONFIGURATION > VPN > IPSec VPN > VPN-gateway

2 Gå til CONFIGURATION > VPN > IPSec VPN > VPN Connection, og vælg Enable. Skriv det forbindelsesnavn, der bruges til at identificere denne VPN-forbindelse. Vælg scenarie som Site-to-site og VPN Gateway, som er konfigureret i trin 1.

KONFIGURATION > VPN > IPSec VPN > VPN-forbindelse > Generelle indstillinger og VPN-gateway

Klik på Create new Object for at tilføje adressen på det lokale netværk bag Branch A og en adresse på det lokale netværk bag Hub_HQ.

KONFIGURATION > VPN > IPSec VPN > VPN-forbindelse > Opret nyt objekt

Indstil lokal politik til at være Spoke_Branch_A_LOCAL og fjernpolitik til Hub_HQ , som er nyoprettet. Klik på OK.

KONFIGURATION > VPN > IPSec VPN > VPN-forbindelse > Politik

3 Gå til Netværk > Routing > Politikrute for at tilføje en politikrute, der tillader trafik fra Spoke_Branch_A til Spoke_Branch_B.

Klik på Opret nyt objekt, og indstil adressen til at være det lokale netværk bag Spoke_Branch_B. Vælg Source Address til at være det lokale netværk bag Spoke_Branch_A. Rul derefter ned ad listen Destination Address for at vælge den nyoprettede Spoke_Branch_B_LOCAL-adresse . Klik på OK.

Netværk > Routing > Politisk rute

2.5 Konfigurer Spoke_Branch_B

1 Gå til CONFIGURATION > VPN > IPSec VPN > VPN Gateway, og vælg Enable. Skriv det VPN-gatewaynavn, der bruges til at identificere denne VPN-gateway.

Konfigurer derefter den primære gateway-IP som Hub_HQ's wan1-IP-adresse (i eksemplet 172.16.10.1) og den sekundære gateway-IP som Hub_HQ's wan2-IP-adresse (i eksemplet 172.100.110.1). Vælg Fall back to Primary Peer Gateway, når det er muligt , og indstil det ønskede Fall Back Check Interval.

Skriv en sikker Pre-Shared Key (8-32 tegn), som skal matche din Hub_HQ's Pre-Shared Key, og klik på OK.

KONFIGURATION > VPN > IPSec VPN > VPN-gateway

2 Gå til CONFIGURATION > VPN > IPSec VPN > VPN Connection, og vælg Enable. Skriv det forbindelsesnavn, der bruges til at identificere denne VPN-forbindelse. Vælg scenarie som Site-to-site og VPN Gateway, som er konfigureret i trin 1.

KONFIGURATION > VPN > IPSec VPN > VPN-forbindelse > Generelle indstillinger og VPN-gateway

Klik på Create new Object for at tilføje adressen på det lokale netværk bag Branch B og en adresse på det lokale netværk bag Hub_HQ.

KONFIGURATION > VPN > IPSec VPN > VPN-forbindelse > Opret nyt objekt

Indstil lokal politik til at være Spoke_Branch_B_LOCAL og fjernpolitik til Hub_HQ , som er nyoprettet. Klik på OK.

KONFIGURATION > VPN > IPSec VPN > VPN-forbindelse > Politik

3 Gå til Netværk > Routing > Politikrute for at tilføje en politikrute, der tillader trafik fra Spoke_Branch_B til Spoke_Branch_A.

Klik på Opret nyt objekt, og indstil adressen til at være det lokale netværk bag Spoke_Branch_A. Vælg Source Address til at være det lokale netværk bag Spoke_Branch_B. Rul derefter ned ad listen Destination Address for at vælge den nyoprettede Spoke_Branch_A_LOCAL-adresse . Klik på OK.

Netværk > Routing > Politisk rute

2.6 Test IPSec VPN-tunnelen

1 Gå til ZyWALL/USG CONFIGURATION > VPN > IPSec VPN > VPN Connection, og klik på Connect i den øverste bjælke. Statusforbindelsesikonet lyser, når grænsefladen er forbundet.

Hub_HQ > KONFIGURATION > VPN > IPSec VPN > VPN-forbindelse

Spoke_Branch_A > KONFIGURATION > VPN > IPSec VPN > VPN-forbindelse

Spoke_Branch_B > KONFIGURATION > VPN > IPSec VPN > VPN-forbindelse

2 Gå til ZyWALL/USG MONITOR > VPN Monitor > IPSec, og kontrollér tunnelens Up Time og den indgående(Bytes)/udgående ( Bytes) trafik. Klik på Connectivity Check for at verificere resultatet af ICMP Connectivity.

Hub_HQ > MONITOR > VPN Monitor > IPSec > Hub_HQ-til-Branch_A

Hub_HQ > MONITOR > VPN Monitor > IPSec > Hub_HQ-to-Branch_B

Spoke_Branch_B > MONITOR > VPN Monitor > IPSec

Spoke_Branch_A > MONITOR > VPN Monitor > IPSec

2.7 Hvad kan gå galt?

1 Hvis du ser en [info]- eller [error]-logmeddelelse som nedenfor, skal du kontrollere ZyWALL/USG fase 1-indstillingerne. Alle ZyWALL/USG-enheder skal bruge den samme forhåndsdelte nøgle, kryptering, godkendelsesmetode, DH-nøglegruppe og ID-type til at etablere IKE SA.

2 Hvis du ser, at fase 1 IKE SA-processen er færdig, men stadig får [info]-logmeddelelsen som nedenfor, skal du kontrollere ZyWALL/USG fase 2-indstillingerne. Alle ZyWALL/USG-enheder skal bruge den samme protokol, indkapsling, kryptering, godkendelsesmetode og PFS til at etablere IKE SA.

3 Sørg for, at alle ZyWALL/USG-enheders sikkerhedspolitikker tillader IPSec VPN-trafik. IKE bruger UDP-port 500, AH bruger IP-protokol 51, og ESP bruger IP-protokol 50.

4 Som standard er NAT-traversal aktiveret på ZyWALL/USG, så sørg for, at den eksterne IPSec-enhed også har NAT-traversal aktiveret.