In diesem Artikel erfahren Sie, wie Sie ein Failover für eine VPN-Verbindung mit USG FLEX / ATP / VPN Series unter Verwendung eines Site-to-Site-Tunnels mit Trunk Failover und VPN Concentrator konfigurieren. Verwendung von Dual-WAN zur Durchführung von Failover in einem Hub-and-Spoke-VPN mit der HQ ZyWALL/USG als Hub und Spoke-VPNs zu den Zweigen A und B.

1) Konfigurieren Sie VPN-Failover über Trunk Failover

Szenario (Trunk Failover)

Der Kunde hat 2 verschiedene WAN-IPs mit zwei VPN-Verbindungen in der Zweigstelle. Eine davon ist eine dynamische IP.

Für den Fall, dass die WAN1-Verbindung aus irgendeinem Grund ausfällt, sollte die WAN2-Schnittstelle als Failover verwendet werden, um den Tunnel am Leben zu erhalten.

Wie richtet man die VPN-Client-Verbindung Failover ein?

1.1 Konfigurieren Sie das WAN-Failover über die Trunk-Einstellungen

Rufen Sie in der Web-GUI den Bildschirm Konfiguration > Netzwerk > Schnittstelle > Trunk > Benutzerkonfiguration > Hinzufügen auf.
Setzen Sie den Modus von WAN2 auf Passiv.

1.2 Konfigurieren von Verbindungsabbau vor Rückfall

Aktivieren Sie "Disconnect Connections Before Falling Back" (Verbindungen vor dem Rückfall trennen).

1.3 Konfigurieren Sie das VPN-Gateway

Gehen Sie zu Konfiguration > VPN > IPSec VPN > VPN-Gateway.

Auf der Zweigstellenseite:
Setzen Sie Meine Adresse-> Domänenname/IPvSet4 auf "0.0.0.0.0.0" (USG verbindet sich zuerst mit der aktiven WAN-Schnittstelle).


Auf der HQ-Seite:
Da die IP-Adresse der WAN2-Schnittstelle auf der Zweigstellenseite dynamisch ist, muss die "Peer-Gateway-Adresse" auf der HQ-Seite auf "Dynamische Adresse" eingestellt werden. Alternativ kann auch ein dynamischer DNS eingerichtet und im Feld "Statische Adresse" verwendet werden.

Bitte stellen Sie sicher, dass Sie die Konnektivitätsprüfung auf beiden Seiten verwenden:

1.4 Client-seitigen VPN-Failover über SSH konfigurieren

Geben Sie den folgenden Befehl über SSH auf dem Gerät ein:

Router(config)# client-side-vpn-failover-fallback activate

Danach wird der Tunnel automatisch auf WAN1 zurückfallen, sobald die WAN1-Verbindung wiederhergestellt ist.

2) VPN-Failover über VPN-Konzentrator konfigurieren

Szenario (VPN-Konzentrator)

Wenn der VPN-Tunnel konfiguriert ist, läuft der Verkehr zwischen den Zweigstellen über den Hub (HQ).
Der Verkehr kann auch zwischen Spoke-and-Spoke über den Hub geleitet werden. Wenn die primäre WAN-Schnittstelle nicht verfügbar ist, wird die Backup-WAN-Schnittstelle verwendet.
Wenn die primäre WAN-Schnittstelle wieder verfügbar ist, wird der Verkehr wieder über diese Schnittstelle abgewickelt.

2.1 Konfigurieren von Hub_HQ-to-Branch_A

1 Gehen Sie zu KONFIGURATION > VPN > IPSec VPN > VPN Gateway und wählen Sie Aktivieren.
Geben Sie den VPN-Gateway-Namen ein, der zur Identifizierung dieses VPN-Gateways verwendet wird.

Konfigurieren Sie die IP des primären Gateways als wan1-IP-Adresse der Zweigstelle A(im Beispiel 172.16.20.1) und die IP des sekundären Gateways als wan2-IP-Adresse der Zweigstelle A(im Beispiel 172.100.120.1).
Wählen Sie Fallback zum primären Peer-Gateway, wenn möglich , und legen Sie das gewünschte Intervall für die Fallback-Prüfung fest.

Geben Sie einen sicheren Pre-Shared Key ein (8-32 Zeichen), der mit dem Pre-Shared Key der Zweigstelle Aübereinstimmen muss, und klicken Sie auf OK.

KONFIGURATION > VPN > IPSec VPN > VPN-Gateway

2 Gehen Sie zu KONFIGURATION > VPN > IPSec VPN > VPN-Verbindung und wählen Sie Aktivieren.
Geben Sie den Verbindungsnamen ein, der zur Identifizierung dieser VPN-Verbindung verwendet wird.
Wählen Sie als Szenario Site-to-Site und das in Schritt 1 konfigurierte VPN-Gateway.

KONFIGURATION > VPN > IPSec VPN > VPN-Verbindung > Allgemeine Einstellungen und VPN-Gateway

Klicken Sie auf Neues Objekt erstellen, um die Adresse des lokalen Netzwerks hinter Hub_HQ und eine Adresse des lokalen Netzwerks hinter Branch A hinzuzufügen.

KONFIGURATION > VPN > IPSec VPN > VPN-Verbindung > Neues Objekt erstellen

Legen Sie die lokale Richtlinie auf Hub_HQ und die entfernte Richtlinie auf Branch_A fest, die neu erstellt wurden. Klicken Sie auf OK.

KONFIGURATION > VPN > IPSec VPN > VPN-Verbindung > Richtlinie

2.2 Konfigurieren Sie Hub_HQ-zu-Zweigstelle_B

1 Gehen Sie zu KONFIGURATION > VPN > IPSec VPN > VPN Gateway, wählen Sie Aktivieren. Geben Sie den VPN-Gateway-Namen ein, der zur Identifizierung dieses VPN-Gateways verwendet wird.

Konfigurieren Sie dann die primäre Gateway-IP als wan1-IP-Adresse der Zweigstelle B(im Beispiel 172.16.30.1) und die sekundäre Gateway-IP als wan2-IP-Adresseder Zweigstelle B(im Beispiel 172.100.130.1).
Wählen Sie Fallback zum primären Peer-Gateway, wenn möglich , und legen Sie das gewünschte Intervall für die Fallback-Prüfung fest.

Geben Sie einen sicheren Pre-Shared Key ein (8-32 Zeichen), der mit dem Pre-Shared Key von Zweigstelle Aübereinstimmen muss, und klicken Sie auf OK.

KONFIGURATION > VPN > IPSec VPN > VPN-Gateway

2 Gehen Sie zu KONFIGURATION > VPN > IPSec VPN > VPN-Verbindung, um die VPN-Verbindung zu aktivieren. Wählen Sie als Szenario Site-to-Site und das in Schritt 1 konfigurierte VPN-Gateway aus.

KONFIGURATION > VPN > IPSec VPN > VPN-Verbindung > Allgemeine Einstellungen und VPN-Gateway

Klicken Sie auf Neues Objekt erstellen, um eine Adresse des lokalen Netzwerks hinter Hub_HQ und eine Adresse des lokalen Netzwerks hinter Branch B hinzuzufügen.

KONFIGURATION > VPN > IPSec VPN > VPN-Verbindung > Neues Objekt erstellen

Legen Sie die lokale Richtlinie auf Hub_HQ und die entfernte Richtlinie auf Branch_B fest, die neu erstellt wurden. Klicken Sie auf OK.

KONFIGURATION > VPN > IPSec VPN > VPN-Verbindung > Richtlinie

2.3 Hub_HQ-Konzentrator konfigurieren

1 Gehen Sie in der ZyWALL/USG zu CONFIGURATION > VPN > IPSec VPN > Concentrator und fügen Sie eine VPN Concentrator Regel hinzu. Wählen Sie VPN-Tunnel zur gleichen Mitgliedergruppe und klicken Sie auf Speichern.

2.4 Konfigurieren Sie Spoke_Branch_A

1 Gehen Sie zu KONFIGURATION > VPN > IPSec VPN > VPN Gateway, wählen Sie Aktivieren. Geben Sie den VPN-Gateway-Namen ein, der zur Identifizierung dieses VPN-Gateways verwendet wird.

Konfigurieren Sie dann die primäre Gateway-IP als wan1-IP-Adresse des Hub_HQ(im Beispiel 172.16.10.1) und die sekundäre Gateway-IP als wan2-IP-Adresse des Hub_HQ(im Beispiel 172.100.110.1). Wählen Sie Fallback zum primären Peer-Gateway, wenn möglich , und legen Sie das gewünschte Intervall für die Fallback-Prüfung fest.

Geben Sie einen sicheren Pre-Shared Key ein (8-32 Zeichen), der mit dem Pre-Shared Key Ihres Hub_HQübereinstimmen muss, und klicken Sie auf OK.

KONFIGURATION > VPN > IPSec VPN > VPN-Gateway

2 Gehen Sie zu KONFIGURATION > VPN > IPSec VPN > VPN-Verbindung und wählen Sie Aktivieren. Geben Sie den Verbindungsnamen ein, der zur Identifizierung dieser VPN-Verbindung verwendet wird. Wählen Sie als Szenario Site-to-Site und das in Schritt 1 konfigurierte VPN-Gateway.

KONFIGURATION > VPN > IPSec VPN > VPN-Verbindung > Allgemeine Einstellungen und VPN-Gateway

Klicken Sie auf Neues Objekt erstellen, um die Adresse des lokalen Netzwerks hinter Zweigstelle A und eine Adresse des lokalen Netzwerks hinter Hub_HQ hinzuzufügen.

KONFIGURATION > VPN > IPSec VPN > VPN-Verbindung > Neues Objekt erstellen

Setzen Sie die neu erstellte lokale Richtlinie auf Spoke_Branch_A_LOCAL und die entfernte Richtlinie auf Hub_HQ . Klicken Sie auf OK.

KONFIGURATION > VPN > IPSec VPN > VPN-Verbindung > Richtlinie

3 Gehen Sie zu Netzwerk > Routing > Richtlinienroute, um eine Richtlinienroute hinzuzufügen, die den Verkehr von Spoke_Branch_A zu Spoke_Branch_B erlaubt.

Klicken Sie auf Neues Objekt erstellen und legen Sie als Adresse das lokale Netzwerk hinter Spoke_Branch_B fest. Wählen Sie als Quelladresse das lokale Netzwerk hinter der Spoke_Branch_A. Blättern Sie dann in der Liste Zieladresse nach unten, um die neu erstellte Adresse Spoke_Branch_B_LOCAL auszuwählen. Klicken Sie auf OK.

Netzwerk > Routing > Richtlinie Route

2.5 Konfigurieren Sie Spoke_Branch_B

1 Gehen Sie zu KONFIGURATION > VPN > IPSec VPN > VPN Gateway und wählen Sie Aktivieren. Geben Sie den VPN-Gateway-Namen ein, der zur Identifizierung dieses VPN-Gateways verwendet wird.

Konfigurieren Sie dann die primäre Gateway-IP als wan1-IP-Adresse des Hub_HQ(im Beispiel 172.16.10.1) und die sekundäre Gateway-IP als wan2-IP-Adresse des Hub_HQ(im Beispiel 172.100.110.1). Wählen Sie Fallback zum primären Peer-Gateway, wenn möglich , und legen Sie das gewünschte Intervall für die Fallback-Prüfung fest.

Geben Sie einen sicheren Pre-Shared Key (8-32 Zeichen) ein, der mit dem Pre-Shared Key Ihres Hub_HQübereinstimmen muss, und klicken Sie auf OK.

KONFIGURATION > VPN > IPSec VPN > VPN-Gateway

2 Gehen Sie zu KONFIGURATION > VPN > IPSec VPN > VPN-Verbindung und wählen Sie Aktivieren. Geben Sie den Verbindungsnamen ein, der zur Identifizierung dieser VPN-Verbindung verwendet wird. Wählen Sie als Szenario Site-to-Site und das in Schritt 1 konfigurierte VPN-Gateway.

KONFIGURATION > VPN > IPSec VPN > VPN-Verbindung > Allgemeine Einstellungen und VPN-Gateway

Klicken Sie auf Neues Objekt erstellen, um die Adresse des lokalen Netzwerks hinter Zweigstelle B und eine Adresse des lokalen Netzwerks hinter Hub_HQ hinzuzufügen.

KONFIGURATION > VPN > IPSec VPN > VPN-Verbindung > Neues Objekt erstellen

Setzen Sie die neu erstellte lokale Richtlinie auf Spoke_Branch_B_LOCAL und die entfernte Richtlinie auf Hub_HQ . Klicken Sie auf OK.

KONFIGURATION > VPN > IPSec VPN > VPN-Verbindung > Richtlinie

3 Gehen Sie zu Netzwerk > Routing > Richtlinienroute, um eine Richtlinienroute hinzuzufügen, die den Verkehr von Spoke_Branch_B zu Spoke_Branch_A erlaubt.

Klicken Sie auf Neues Objekt erstellen und legen Sie als Adresse das lokale Netzwerk hinter Spoke_Branch_A fest. Wählen Sie als Quelladresse das lokale Netzwerk hinter der Spoke_Branch_B. Blättern Sie dann in der Liste Zieladresse nach unten, um die neu erstellte Adresse Spoke_Branch_A_LOCAL auszuwählen. Klicken Sie auf OK.

Netzwerk > Routing > Richtlinie Route

2.6 Testen Sie den IPSec-VPN-Tunnel

1 Gehen Sie zu ZyWALL/USG CONFIGURATION > VPN > IPSec VPN > VPN Connection und klicken Sie in der oberen Leiste auf Connect. Das Symbol für den Verbindungsstatus leuchtet, wenn die Schnittstelle verbunden ist.

Hub_HQ > KONFIGURATION > VPN > IPSec VPN > VPN-Verbindung

Spoke_Branch_A > KONFIGURATION > VPN > IPSec VPN > VPN-Verbindung

Spoke_Branch_B > KONFIGURATION > VPN > IPSec VPN > VPN-Verbindung

2 Gehen Sie zu ZyWALL/USG MONITOR > VPN-Monitor > IPSec und überprüfen Sie die Up-Time des Tunnels und den eingehenden (Bytes)/ausgehenden (Bytes) Verkehr. Klicken Sie auf Connectivity Check, um das Ergebnis der ICMP-Konnektivität zu überprüfen.

Hub_HQ > MONITOR > VPN-Monitor > IPSec > Hub_HQ-zu-Filiale_A

Hub_HQ > MONITOR > VPN-Monitor > IPSec > Hub_HQ-zu-Abzweig_B

Spoke_Branch_B > MONITOR > VPN-Monitor > IPSec

Spoke_Branch_A > ÜBERWACHUNG > VPN-Monitor > IPSec

2.7 Was kann schief gehen?

1 Wenn Sie eine [info]- oder [error]-Protokollmeldung wie die folgende sehen, überprüfen Sie bitte die ZyWALL/USG Phase 1-Einstellungen. Alle ZyWALL/USG-Einheiten müssen denselben Pre-Shared Key, dieselbe Verschlüsselung, dieselbe Authentifizierungsmethode, dieselbe DH-Schlüsselgruppe und denselben ID-Typ verwenden, um die IKE SA zu erstellen.

2 Wenn Sie sehen, dass Phase 1 des IKE SA-Prozesses abgeschlossen ist, aber immer noch die unten stehende [info]-Protokollmeldung erhalten, überprüfen Sie bitte die ZyWALL/USG-Einstellungen für Phase 2. Alle ZyWALL/USG-Einheiten müssen dasselbe Protokoll, dieselbe Verkapselung, dieselbe Verschlüsselung, dieselbe Authentifizierungsmethode und dasselbe PFS verwenden, um die IKE SA einzurichten.

3 Stellen Sie sicher, dass die Sicherheitsrichtlinien aller ZyWALL/USG-Einheiten IPSec VPN-Verkehr zulassen. IKE verwendet den UDP-Port 500, AH das IP-Protokoll 51 und ESP das IP-Protokoll 50.

4 Standardmäßig ist NAT-Traversal auf ZyWALL/USG aktiviert. Stellen Sie daher sicher, dass NAT-Traversal auch auf dem entfernten IPSec-Gerät aktiviert ist.