Cet article vous montrera comment configurer un basculement de connexion VPN avec USG FLEX / ATP / VPN Series en utilisant un tunnel site à site avec Trunk Failover et VPN Concentrator. Utilisation de Dual-WAN pour effectuer un basculement sur un VPN en étoile avec le ZyWALL/USG du QG en tant que hub et des VPN en étoile vers les branches A et B.

1) Configurer le basculement VPN via Trunk Failover

Scénario (basculement de ligne)

Le client dispose de deux IP WAN différentes avec deux connexions VPN sur le site de la succursale. L'une d'entre elles est une IP dynamique.

Si la connexion WAN1 tombe en panne pour une raison quelconque, l'interface WAN2 doit être utilisée comme Failover pour maintenir le tunnel en vie.

Comment configurer le basculement de la connexion client VPN ?

1.1 Configurer le basculement WAN via les paramètres Trunk

Dans l'interface graphique Web, accédez à l'écran Configuration > Réseau > Interface > Trunk > User configuration > Add.
Réglez le mode de WAN2 sur Passif.

1.2 Configurer les connexions de déconnexion avant le repli

Activez l'option "Disconnect Connections Before Falling Back" (Déconnexion des connexions avant repli).

1.3 Configurer la passerelle VPN

Allez dans Configuration > VPN > IPSec VPN > VPN Gateway.

Du côté de la branche :
Réglez Mon adresse-> Nom de domaine/IPvSet4 sur "0.0.0.0.0.0" (l'USG se connectera d'abord à l'interface WAN active).


Du côté du QG :
L'adresse IP de l'interface WAN2 du côté de la succursale étant dynamique, l'"adresse de la passerelle homologue" du côté du siège doit être réglée sur "adresse dynamique". Il est également possible de configurer un DNS dynamique et de l'utiliser dans le champ "Adresse statique".

Veillez à utiliser le contrôle de connectivité des deux côtés :

1.4 Configurer le basculement VPN côté client via SSH

Entrez la commande suivante via SSH sur l'appareil :

Router(config)# client-side-vpn-failover-fallback activate

Ensuite, le tunnel reviendra automatiquement à WAN1 une fois que la connexion WAN1 aura été rétablie.

2) Configurer le basculement VPN via un concentrateur VPN

Scénario (Concentrateur VPN)

Lorsque le tunnel VPN est configuré, le trafic passe entre les succursales via le concentrateur (HQ).
Le trafic peut également passer entre les branches via le concentrateur. Si l'interface WAN primaire n'est pas disponible, l'interface WAN de secours sera utilisée.
Lorsque l'interface WAN primaire est à nouveau disponible, le trafic utilise à nouveau cette interface.

2.1 Configurer Hub_HQ-to-Branch_A

1 Allez dans CONFIGURATION > VPN > VPN IPSec > VPN Gateway, sélectionnez Enable (Activer).
Saisissez le nom de la passerelle VPN utilisé pour identifier cette passerelle VPN.

Configurez l'IP de la passerelle primaire comme l'adresse IP wan1 de la branche A(dans l'exemple, 172.16.20.1) et l'IP de la passerelle secondaire comme l'adresse IP wan2 de la branche A(dans l'exemple, 172.100.120.1).
Sélectionnez Fall back to Primary Peer Gateway when possible et définissez le Fall Back Check Interval time souhaité.

Saisissez une clé prépartagée sécurisée (8-32 caractères) qui doit correspondre à la clé prépartagée de votre branche Aet cliquez sur OK.

CONFIGURATION > VPN > VPN IPSec > Passerelle VPN

2 Allez dans CONFIGURATION > VPN > IPSec VPN > VPN Connection et sélectionnez Enable (Activer).
Saisissez le nom de la connexion utilisé pour identifier cette connexion VPN.
Sélectionnez le scénario Site-to-site et la passerelle VPN configurée à l'étape 1.

CONFIGURATION > VPN > VPN IPSec > Connexion VPN > Paramètres généraux et Passerelle VPN

Cliquez sur Create new Object (Créer un nouvel objet ) pour ajouter l'adresse du réseau local derrière Hub_HQ et une adresse du réseau local derrière Branch A.

CONFIGURATION > VPN > VPN IPSec > Connexion VPN > Créer un nouvel objet

Définissez la politique locale sur Hub_HQ et la politique distante sur Branch_A qui viennent d'être créées. Cliquez sur OK.

CONFIGURATION > VPN > VPN IPSec > Connexion VPN > Politique

2.2 Configurer Hub_HQ-to-Branch_B

1 Allez dans CONFIGURATION > VPN > VPN IPSec > Passerelle VPN, sélectionnez Activer. Saisissez le nom de la passerelle VPN utilisé pour identifier cette passerelle VPN.

Ensuite, configurez l'IP de la passerelle primaire comme l'adresse IP wan1 de la branche B(dans l'exemple, 172.16.30.1) et l'IP de la passerelle secondaire comme l'adresse IP wan2de la branche B(dans l'exemple, 172.100.130.1).
Sélectionnez Fall back to Primary Peer Gateway when possible et définissez l'intervalle de vérification de repli souhaité.

Saisissez une clé prépartagée sécurisée (8-32 caractères) qui doit correspondre à la clé prépartagée de votre branche Aet cliquez sur OK.

CONFIGURATION > VPN > VPN IPSec > Passerelle VPN

2 Allez dans CONFIGURATION > VPN > IPSec VPN > VPN Connection pour activer la connexion VPN. Sélectionnez le scénario Site-to-site et la passerelle VPN configurée à l'étape 1.

CONFIGURATION > VPN > VPN IPSec > Connexion VPN > Paramètres généraux et Passerelle VPN

Cliquez sur Create new Object (Créer un nouvel objet ) pour ajouter une adresse de réseau local derrière Hub_HQ et une adresse de réseau local derrière Branch B.

CONFIGURATION > VPN > VPN IPSec > Connexion VPN > Créer un nouvel objet

Définissez la politique locale comme étant Hub_HQ et la politique distante comme étant Branch_B qui viennent d'être créées. Cliquez sur OK.

CONFIGURATION > VPN > VPN IPSec > Connexion VPN > Politique

2.3 Configurer le concentrateur Hub_HQ

1 Dans le ZyWALL/USG, allez dans CONFIGURATION > VPN > VPN IPSec > Concentrateur, ajoutez une règle de Concentrateur VPN. Sélectionnez Tunnels VPN vers le même groupe membre et cliquez sur Enregistrer.

2.4 Configurer Spoke_Branch_A

1 Allez dans CONFIGURATION > VPN > IPSec VPN > VPN Gateway, sélectionnez Enable (Activer). Saisissez le nom de la passerelle VPN utilisé pour identifier cette passerelle VPN.

Ensuite, configurez l'IP de la passerelle primaire comme l'adresse IP wan1 du Hub_HQ(dans l'exemple, 172.16.10.1) et l'IP de la passerelle secondaire comme l'adresse IP wan2 du Hub_HQ(dans l'exemple, 172.100.110.1). Sélectionnez Fall back to Primary Peer Gateway lorsque c'est possible et définissez l'intervalle de vérification de Fall Back souhaité.

Tapez une clé pré-partagée sécurisée (8-32 caractères) qui doit correspondre à la clé pré-partagée de votre Hub_HQet cliquez sur OK.

CONFIGURATION > VPN > VPN IPSec > Passerelle VPN

2 Allez dans CONFIGURATION > VPN > IPSec VPN > VPN Connection et sélectionnez Enable. Saisissez le nom de la connexion utilisé pour identifier cette connexion VPN. Sélectionnez le scénario Site-to-site et la passerelle VPN configurée à l'étape 1.

CONFIGURATION > VPN > VPN IPSec > Connexion VPN > Paramètres généraux et Passerelle VPN

Cliquez sur Create new Object (Créer un nouvel objet ) pour ajouter l'adresse du réseau local derrière Branch A et une adresse du réseau local derrière Hub_HQ.

CONFIGURATION > VPN > VPN IPSec > Connexion VPN > Créer un nouvel objet

Définissez la politique locale comme étant Spoke_Branch_A_LOCAL et la politique distante comme étant Hub_HQ qui viennent d'être créées. Cliquez sur OK.

CONFIGURATION > VPN > VPN IPSec > Connexion VPN > Politique

3 Allez dans Réseau > Routage > Route de politique pour ajouter une route de politique afin d'autoriser le trafic de Spoke_Branch_A à Spoke_Branch_B.

Cliquez sur Créer un nouvel objet et définissez l'adresse comme étant le réseau local derrière Spoke_Branch_B. Sélectionnez l'adresse source comme étant le réseau local derrière le Spoke_Branch_A. Ensuite, faites défiler la liste des adresses de destination pour choisir l'adresse Spoke_Branch_B_LOCAL nouvellement créée. Cliquez sur OK.

Réseau > Routage > Route de politique

2.5 Configurer Spoke_Branch_B

1 Allez dans CONFIGURATION > VPN > VPN IPSec > Passerelle VPN, sélectionnez Activer. Saisissez le nom de la passerelle VPN utilisé pour identifier cette passerelle VPN.

Ensuite, configurez l'IP de la passerelle primaire comme l'adresse IP wan1 du Hub_HQ(dans l'exemple, 172.16.10.1) et l'IP de la passerelle secondaire comme l'adresse IP wan2 du Hub_HQ(dans l'exemple, 172.100.110.1). Sélectionnez Fall back to Primary Peer Gateway lorsque c'est possible et définissez l'intervalle de vérification de Fall Back souhaité.

Tapez une clé pré-partagée sécurisée (8-32 caractères) qui doit correspondre à la clé pré-partagée de votre Hub_HQet cliquez sur OK.

CONFIGURATION > VPN > VPN IPSec > Passerelle VPN

2 Allez dans CONFIGURATION > VPN > IPSec VPN > VPN Connection et sélectionnez Enable. Saisissez le nom de la connexion utilisé pour identifier cette connexion VPN. Sélectionnez le scénario Site-to-site et la passerelle VPN configurée à l'étape 1.

CONFIGURATION > VPN > VPN IPSec > Connexion VPN > Paramètres généraux et Passerelle VPN

Cliquez sur Create new Object (Créer un nouvel objet ) pour ajouter l'adresse du réseau local derrière Branch B et une adresse du réseau local derrière Hub_HQ.

CONFIGURATION > VPN > VPN IPSec > Connexion VPN > Créer un nouvel objet

Définissez la politique locale comme étant Spoke_Branch_B_LOCAL et la politique distante comme étant Hub_HQ qui viennent d'être créées. Cliquez sur OK.

CONFIGURATION > VPN > VPN IPSec > Connexion VPN > Politique

3 Allez dans Réseau > Routage > Route de politique pour ajouter une route de politique afin d'autoriser le trafic de Spoke_Branch_B à Spoke_Branch_A.

Cliquez sur Créer un nouvel objet et définissez l'adresse comme étant le réseau local derrière Spoke_Branch_A. Sélectionnez l'adresse source comme étant le réseau local derrière le Spoke_Branch_B. Ensuite, faites défiler la liste des adresses de destination pour choisir l'adresse Spoke_Branch_A_LOCAL nouvellement créée. Cliquez sur OK.

Réseau > Routage > Route de politique

2.6 Tester le tunnel VPN IPSec

1 Allez dans CONFIGURATION ZyWALL/USG > VPN > VPN IPSec > Connexion VPN, cliquez sur Connecter dans la barre supérieure. L'icône de connexion d'état est allumée lorsque l'interface est connectée.

Hub_HQ > CONFIGURATION > VPN > VPN IPSec > Connexion VPN

Branche_A > CONFIGURATION > VPN > VPN IPSec > Connexion VPN

Branche_B > CONFIGURATION > VPN > VPN IPSec > Connexion VPN

2 Allez dans ZyWALL/USG MONITOR > VPN Monitor > IPSec et vérifiez le temps de disponibilité du tunnel et le trafic entrant (octets)/sortant (octets). Cliquez sur Connectivity Check pour vérifier le résultat de la connectivité ICMP.

Hub_HQ > MONITEUR > Moniteur VPN > IPSec > Hub_HQ-to-Branch_A

Hub_HQ > MONITEUR > Moniteur VPN > IPSec > Hub_HQ-to-Branch_B

Spoke_Branch_B > MONITEUR > Moniteur VPN > IPSec

Spoke_Branch_A > MONITEUR > Moniteur VPN > IPSec

2.7 Qu'est-ce qui peut mal se passer ?

1 Si vous voyez un message [info] ou [error] tel que ci-dessous, veuillez vérifier les paramètres de la phase 1 du ZyWALL/USG. Toutes les unités ZyWALL/USG doivent utiliser la même clé pré-partagée, le même cryptage, la même méthode d'authentification, le même groupe de clés DH et le même type d'ID pour établir la SA IKE.

2 Si vous voyez que la phase 1 du processus IKE SA est terminée mais que vous obtenez toujours le message [info] comme ci-dessous, veuillez vérifier les paramètres de la phase 2 du ZyWALL/USG. Toutes les unités ZyWALL/USG doivent utiliser le même protocole, la même encapsulation, le même cryptage, la même méthode d'authentification et le même PFS pour établir la SA IKE.

3 Assurez-vous que les politiques de sécurité de toutes les unités ZyWALL/USG autorisent le trafic VPN IPSec. IKE utilise le port UDP 500, AH utilise le protocole IP 51 et ESP utilise le protocole IP 50.

4 Par défaut, la traversée NAT est activée sur le ZyWALL/USG, assurez-vous donc que la traversée NAT est également activée sur le dispositif IPSec distant.