Este artículo le mostrará cómo configurar una conmutación por error de conexión VPN con USG FLEX / ATP / VPN Series utilizando un túnel de sitio a sitio con Trunk Failover y VPN Concentrator. Utilizando Dual-WAN para realizar la conmutación por error en una VPN hub-and-spoke con el HQ ZyWALL/USG como hub y VPNs spoke a las ramas A y B.

1) Configurar la conmutación por error de VPN a través de la conmutación por error de tronco

Escenario (Trunk Failover)

El cliente tiene 2 IPs WAN diferentes con dos conexiones VPN en la sucursal. Una de ellas es una IP dinámica.

En caso de que la conexión WAN1 se caiga por cualquier razón, la interfaz WAN2 debe ser utilizada como Failover para mantener el túnel vivo.

¿Cómo configurar la conmutación por error de la conexión cliente VPN?

1.1 Configurar la conmutación por error de la WAN a través de los ajustes del troncal

En la interfaz gráfica de usuario web, vaya a la pantalla Configuración > Red > Interfaz > Troncal > Configuración de usuario > Añadir .
Establezca el modo de WAN2 en Pasivo.

1.2 Configurar las Conexiones de Desconexión Antes de Retroceder

Active la opción "Disconnect Connections Before Falling Back".

1.3 Configurar la pasarela VPN

Vaya a Configuración > VPN > VPN IPSec > Pasarela VPN.

En el lado de la sucursal
Establezca My Address-> Domain Name/IPvSet4 en "0.0.0.0.0" (el USG se conectará primero a la interfaz WAN activa).


En el lado HQ:
Dado que la dirección IP de la interfaz WAN2 en el lado de la sucursal es dinámica, la "Peer Gateway Address" en el lado de la sede central debe ajustarse a "Dynamic address". Alternativamente, se puede configurar y utilizar un DNS dinámico en el campo Dirección estática.

Asegúrese de utilizar la comprobación de conectividad en ambos lados:

1.4 Configurar el Client-side-VPN-Failover vía SSH

Introduzca el siguiente comando a través de SSH en el dispositivo:

Router(config)# client-side-vpn-failover-fallback activate

Después, el túnel volverá a WAN1 automáticamente una vez que la conexión WAN1 se haya recuperado.

2) Configuración de la conmutación por error de VPN a través del concentrador de VPN

Escenario (Concentrador VPN)

Cuando se configura el túnel VPN, el tráfico pasa entre las sucursales a través del concentrador (HQ).
El tráfico también puede pasar entre spoke-and-spoke a través del concentrador. Si la interfaz WAN primaria no está disponible, se utilizará la interfaz WAN de reserva.
Cuando la interfaz WAN primaria vuelva a estar disponible, el tráfico utilizará de nuevo dicha interfaz.

2.1 Configurar Hub_HQ-to-Branch_A

1 Vaya a CONFIGURACIÓN > VPN > VPN IPSec > Pasarela VPN, seleccione Activar.
Escriba el nombre de la puerta de enlace VPN utilizado para identificar esta puerta de enlace VPN.

Configure la IP de la puerta de enlace primaria como la dirección IP wan1 de la sucursal A(en el ejemplo, 172.16.20.1) y la IP de la puerta de enlace secundaria como la dirección IP wan2 de la sucursal A(en el ejemplo, 172.100.120.1).
Seleccione Fall back to Primary Peer Gateway cuando sea posible y establezca el tiempo de Fall Back Check Interval deseado.

Escriba una clave precompartida segura (8-32 caracteres) que debe coincidir con la clave precompartida de la sucursal Ay haga clic en Aceptar.

CONFIGURACIÓN > VPN > VPN IPSec > Puerta de enlace VPN

2 Vaya a CONFIGURACIÓN > VPN > VPN IPSec > Conexión VPN y seleccione Activar.
Escriba el Nombre de conexión utilizado para identificar esta conexión VPN.
Seleccione el escenario como Site-to-site y VPN Gateway que se configura en el Paso 1.

CONFIGURACIÓN > VPN > VPN IPSec > Conexión VPN > Configuración general y Puerta de enlace VPN

Haga clic en Create new Object (Crear nuevo objeto) para añadir la dirección de la red local detrás de Hub_HQ y una dirección de la red local detrás de Branch A.

CONFIGURACIÓN > VPN > VPN IPSec > Conexión VPN > Crear nuevo objeto

Establezca la política local en Hub_HQ y la política remota en Branch_A , que se acaban de crear. Haga clic en OK.

CONFIGURACIÓN > VPN > VPN IPSec > Conexión VPN > Política

2.2 Configuración de Hub_HQ a Sucursal_B

1 Vaya a CONFIGURACIÓN > VPN > VPN IPSec > Puerta de enlace VPN y seleccione Activar. Escriba el Nombre de la puerta de enlace VPN utilizado para identificar esta puerta de enlace VPN.

A continuación, configure la IP de la puerta de enlace primaria como la dirección IP wan1de la sucursal B(en el ejemplo, 172.16.30.1) y la IP de la puerta de enlace secundaria como la dirección IP wan2de la sucursal B(en el ejemplo, 172.100.130.1).
Seleccione Fall back to Primary Peer Gateway cuando sea posible y establezca el tiempo de Fall Back Check Interval deseado.

Escriba una clave precompartida segura (8-32 caracteres) que debe coincidir con la clave precompartida de la sucursal Ay haga clic en Aceptar.

CONFIGURACIÓN > VPN > VPN IPSec > Puerta de enlace VPN

2 Vaya a CONFIGURACIÓN > VPN > VPN IPSec > Conexión VPN para activar la Conexión VPN. Seleccione el escenario como Site-to-site y VPN Gateway que está configurado en el Paso 1.

CONFIGURACIÓN > VPN > VPN IPSec > Conexión VPN > Configuración general y Puerta de enlace VPN

Haga clic en Create new Object (Crear nuevo objeto) para añadir una dirección de red local detrás de Hub_HQ y una dirección de red local detrás de Branch B.

CONFIGURACIÓN > VPN > VPN IPSec > Conexión VPN > Crear nuevo objeto

Establezca la Política local en Hub_HQ y la Política remota en Branch_B , que se acaban de crear. Haga clic en Aceptar.

CONFIGURACIÓN > VPN > VPN IPSec > Conexión VPN > Política

2.3 Configuración del concentrador Hub_HQ

1 En el ZyWALL/USG, vaya a CONFIGURACIÓN > VPN > VPN IPSec > Concentrador, añada una regla de Concentrador VPN. Seleccione VPN tunnels to the same member group y haga clic en Save.

2.4 Configurar Spoke_Branch_A

1 Vaya a CONFIGURACIÓN > VPN > VPN IPSec > Puerta de enlace VPN y seleccione Activar. Escriba el Nombre de la puerta de enlace VPN utilizado para identificar esta puerta de enlace VPN.

A continuación, configure la IP de la puerta de enlace primaria como la dirección IP wan1 del Hub_HQ(en el ejemplo, 172.16.10.1) y la IP de la puerta de enlace secundaria como la dirección IP wan2 del Hub_HQ(en el ejemplo, 172.100.110.1). Seleccione Fall back to Primary Peer Gateway cuando sea posible y establezca el tiempo de Fall Back Check Interval deseado.

Escriba una clave precompartida segura (8-32 caracteres) que debe coincidir con la clave precompartida de su Hub_HQy haga clic en Aceptar.

CONFIGURACIÓN > VPN > VPN IPSec > Puerta de enlace VPN

2 Vaya a CONFIGURACIÓN > VPN > VPN IPSec > Conexión VPN y seleccione Activar. Escriba el Nombre de conexión utilizado para identificar esta conexión VPN. Seleccione el escenario como Site-to-site y VPN Gateway que se configura en el Paso 1.

CONFIGURACIÓN > VPN > VPN IPSec > Conexión VPN > Configuración general y Puerta de enlace VPN

Haga clic en Create new Object (Crear nuevo objeto) para añadir la dirección de la red local detrás de la sucursal A y una dirección de la red local detrás de Hub_HQ.

CONFIGURACIÓN > VPN > VPN IPSec > Conexión VPN > Crear nuevo objeto

Establezca la política local en Spoke_Branch_A_LOCAL y la política remota en Hub_HQ , que se acaban de crear. Haga clic en OK.

CONFIGURACIÓN > VPN > VPN IPSec > Conexión VPN > Política

3 Vaya a Red > Enrutamiento > Ruta de Política para añadir una Ruta de Política para permitir el tráfico desde Spoke_Branch_A a Spoke_Branch_B.

Haga clic en Crear nuevo objeto y configure la dirección para que sea la red local detrás del Spoke_Branch_B. Seleccione Dirección de Origen para que sea la red local detrás del Spoke_Branch_A. A continuación, desplácese hacia abajo en la lista Dirección de Destino para elegir la dirección Spoke_Branch_B_LOCAL recién creada. Haga clic en Aceptar.

Red > Enrutamiento > Ruta de política

2.5 Configurar Spoke_Branch_B

1 Vaya a CONFIGURACIÓN > VPN > VPN IPSec > Puerta de enlace VPN, seleccione Activar. Escriba el Nombre de la puerta de enlace VPN utilizado para identificar esta puerta de enlace VPN.

A continuación, configure la IP de la puerta de enlace primaria como la dirección IP wan1 del Hub_HQ(en el ejemplo, 172.16.10.1) y la IP de la puerta de enlace secundaria como la dirección IP wan2 del Hub_HQ(en el ejemplo, 172.100.110.1). Seleccione Fall back to Primary Peer Gateway cuando sea posible y establezca el tiempo de Fall Back Check Interval deseado.

Escriba una Clave Pre compartida segura (8-32 caracteres) que debe coincidir con la Clave Precompartida de su Hub_HQy haga clic en OK.

CONFIGURACIÓN > VPN > VPN IPSec > Puerta de enlace VPN

2 Vaya a CONFIGURACIÓN > VPN > VPN IPSec > Conexión VPN y seleccione Activar. Escriba el Nombre de conexión utilizado para identificar esta conexión VPN. Seleccione el escenario como Site-to-site y VPN Gateway que se configura en el Paso 1.

CONFIGURACIÓN > VPN > VPN IPSec > Conexión VPN > Configuración general y Puerta de enlace VPN

Haga clic en Create new Object para añadir la dirección de la red local detrás de Branch B y una dirección de la red local detrás de Hub_HQ.

CONFIGURACIÓN > VPN > VPN IPSec > Conexión VPN > Crear nuevo objeto

Establezca la Política local como Spoke_Branch_B_LOCAL y la Política remota como Hub_HQ , que se acaban de crear. Haga clic en OK.

CONFIGURACIÓN > VPN > VPN IPSec > Conexión VPN > Política

3 Vaya a Red > Enrutamiento > Ruta de Política para añadir una Ruta de Política para permitir el tráfico desde Spoke_Branch_B a Spoke_Branch_A.

Haga clic en Crear nuevo objeto y configure la dirección para que sea la red local detrás del Spoke_Branch_A. Seleccione Dirección de Origen para que sea la red local detrás del Spoke_Branch_B. Luego, desplácese hacia abajo en la lista Dirección de Destino para elegir la dirección Spoke_Branch_A_LOCAL recién creada. Haga clic en OK.

Red > Enrutamiento > Ruta de política

2.6 Probar el túnel VPN IPSec

1 Vaya a CONFIGURACIÓN ZyWALL/USG > VPN > VPN IPSec > Conexión VPN, haga clic en Conectar en la barra superior. El icono Status connect se ilumina cuando la interfaz está conectada.

Hub_HQ > CONFIGURACIÓN > VPN > VPN IPSec > Conexión VPN

Spoke_Branch_A > CONFIGURACIÓN > VPN > VPN IPSec > Conexión VPN

Spoke_Branch_B > CONFIGURACIÓN > VPN > VPN IPSec > Conexión VPN

2 Vaya a ZyWALL/USG MONITOR > VPN Monitor > IPSec y compruebe el tiempo de actividad del túnel y el tráfico de entrada (bytes) y salida (bytes ). Haga clic en Connectivity Check para comprobar el resultado de la conectividad ICMP.

Hub_HQ > MONITOR > VPN Monitor > IPSec > Hub_HQ-to-Branch_A

Hub_HQ > MONITOR > Monitor VPN > IPSec > Hub_HQ-to-Branch_B

Spoke_Branch_B > MONITOR > VPN Monitor > IPSec

Spoke_Branch_A > MONITOR > VPN Monitor > IPSec

2.7 ¿Qué puede ir mal?

1 Si ve un mensaje de registro [info] o [error] como el siguiente, compruebe la configuración de fase 1 de ZyWALL/USG. Todas las unidades ZyWALL/USG deben utilizar la misma clave precompartida, cifrado, método de autenticación, grupo de claves DH y tipo de ID para establecer la SA IKE.

2 Si ve que el proceso IKE SA de fase 1 ha finalizado pero sigue recibiendo el mensaje de registro [info] que se muestra a continuación, compruebe la configuración de fase 2 de ZyWALL/USG. Todas las unidades ZyWALL/USG deben utilizar el mismo protocolo, encapsulación, cifrado, método de autenticación y PFS para establecer IKE SA.

3 Asegúrese de que las políticas de seguridad de todas las unidades ZyWALL/USG permiten el tráfico VPN IPSec. IKE utiliza el puerto UDP 500, AH utiliza el protocolo IP 51, y ESP utiliza el protocolo IP 50.

4 Por defecto, NAT traversal está activado en ZyWALL/USG, así que asegúrese de que el dispositivo IPSec remoto también tiene activado NAT traversal.