Ez a cikk bemutatja, hogyan lehet konfigurálni a VPN-kapcsolat meghibásodását az USG FLEX / ATP / VPN sorozatú USG FLEX / ATP / VPN sorozatú VPN-kapcsolatokkal egy hely-hely közötti alagút segítségével, Trunk Failover és VPN Concentrator segítségével. A Dual-WAN használata a hibaelhárítás végrehajtásához egy hub-and-spoke VPN-en, ahol a HQ ZyWALL/USG a hub és a küllős VPN-ek az A és B ágakhoz.

1) VPN-hibaelhárítás konfigurálása Trunk Failover segítségével

Szcenárió (törzshálózati átállás)

Az ügyfélnek 2 különböző WAN IP-je van két VPN-kapcsolattal a fióktelepen. Az egyik egy dinamikus IP.

Ha a WAN1 kapcsolat bármilyen okból kiesik, a WAN2 interfészt kell Failover-ként használni az alagút életben tartásához.

Hogyan kell beállítani a VPN-ügyfélkapcsolat Failover funkcióját?

1.1 A WAN Failover konfigurálása a Trunk-beállításokon keresztül

A webes felhasználói felületen lépjen a Konfiguráció > Hálózat > Hálózat > Interfész > Trunk > Felhasználói konfiguráció > Hozzáadás képernyőre.
Állítsa a WAN2 üzemmódját passzívra.

1.2 A visszaesés előtti kapcsolatmegszakítás konfigurálása

Engedélyezze a "Disconnect Connections Before Falling Back" (Kapcsolatok megszakítása a visszalépés előtt) opciót.

1.3 A VPN átjáró konfigurálása

Válassza a Konfiguráció > VPN > IPSec VPN > VPN átjáró menüpontot .

A fióktelep oldalán:
A Saját cím-> Tartománynév/IPvSet4 beállítása "0.0.0.0.0.0.0.0" (az USG először az aktív WAN-interfészhez csatlakozik).


A központ oldalán:
Mivel a Branch oldalon a WAN2 interfész IP-címe dinamikus, a HQ oldalon a "Peer Gateway Address" (Peer átjáró címe) értéket "Dynamic address" (dinamikus cím) értékre kell állítani. Alternatívaként a Statikus cím mezőben dinamikus DNS is beállítható és használható.

Kérjük, győződjön meg róla, hogy mindkét oldalon használja a csatlakozási ellenőrzést:

1.4 Az ügyféloldali VPN-áthagyás beállítása SSH-n keresztül

Adja meg a következő parancsot SSH-n keresztül az eszközön:

Ezt követően az alagút automatikusan visszaáll a WAN1-re, amint a WAN1-kapcsolat helyreállt.

2) VPN Failover konfigurálása VPN-koncentrátoron keresztül

Forgatókönyv (VPN-koncentrátor)

A VPN-alagút konfigurálásakor a forgalom a központon (HQ) keresztül halad a fióktelepek között.
A forgalom a hubon keresztül a küllők és a küllők között is haladhat. Ha az elsődleges WAN-interfész nem érhető el, a tartalék WAN-interfész kerül használatba.
Amikor az elsődleges WAN-interfész ismét elérhetővé válik, a forgalom ismét ezt az interfészt használja.

2.1 A Hub_HQ-to-Branch_A konfigurálása

1 Válassza a KONFIGURÁCIÓ > VPN > IPSec VPN > VPN átjáró menüpontot, és válassza az Engedélyezés lehetőséget.
Írja be a VPN átjáró azonosítására használt VPN átjáró nevét.

Konfigurálja az elsődleges átjáró IP-címét az A fióktelep wan1 IP-címeként (a példában 172.16.20.1) és a másodlagos átjáró IP-címét az A fióktelep wan2 IP-címeként (a példában 172.100.120.1).
Válassza a Fall back to Primary Peer Gateway (Visszaesés az elsődleges átjáróhoz ) lehetőséget, és állítsa be a kívánt Fall Back Check Interval (Visszaesés-ellenőrzési időköz ) időt.

Írjon be egy biztonságos előzetes megosztott kulcsot (8-32 karakter), amelynek meg kell egyeznie az A fióktelepelőzetes megosztott kulcsával, és kattintson az OK gombra.

KONFIGURÁCIÓ > VPN > IPSec VPN > VPN átjáró

2 Válassza a KONFIGURÁCIÓ > VPN > IPSec VPN > VPN-kapcsolat menüpontot, és válassza az Engedélyezés lehetőséget.
Írja be a VPN-kapcsolat azonosítására használt kapcsolati nevet.
Válassza ki a Site-to-site forgatókönyvet és az 1. lépésben konfigurált VPN átjárót.

KONFIGURÁCIÓ > VPN > IPSec VPN > VPN kapcsolat > Általános beállítások és VPN átjáró

Kattintson az Új objektum létrehozása gombra a Hub_HQ mögötti helyi hálózat címének és az A fióktelep mögötti helyi hálózat címének hozzáadásához.

KONFIGURÁCIÓ > VPN > IPSec VPN > VPN kapcsolat > Új objektum létrehozása

Állítsa be a helyi házirendnek a Hub_HQ-t, a távoli házirendnek pedig az újonnan létrehozott Branch_A-t . Kattintson az OK gombra.

KONFIGURÁCIÓ > VPN > IPSec VPN > VPN kapcsolat > Házirend

2.2 A Hub_HQ-Branch_B konfigurálása

1 Válassza a KONFIGURÁCIÓ > VPN > IPSec VPN > VPN átjáró menüpontot, és válassza az Engedélyezés lehetőséget. Írja be a VPN átjáró azonosítására használt VPN átjáró nevét.

Ezután konfigurálja az elsődleges átjáró IP-címét a Branch B wan1 IP-címeként (a példában 172.16.30.1) és a másodlagos átjáró IP-címét a Branch B wan2IP-címeként(a példában 172.100.130.1).
Válassza a Fall back to Primary Peer Gateway (Visszaesés az elsődleges átjáróhoz ) lehetőséget, és állítsa be a kívánt Fall Back Check Interval (Visszaesés-ellenőrzési időköz ) időt.

Írjon be egy biztonságos előzetes megosztott kulcsot (8-32 karakter), amelynek meg kell egyeznie az A fióktelepelőzetes megosztott kulcsával, majd kattintson az OK gombra.

KONFIGURÁCIÓ > VPN > IPSec VPN > VPN átjáró

2 Válassza a KONFIGURÁCIÓ > VPN > IPSec VPN > VPN-kapcsolat menüpontot a VPN-kapcsolat engedélyezéséhez. Válassza ki a Site-to-site forgatókönyvet és az 1. lépésben konfigurált VPN átjárót.

KONFIGURÁCIÓ > VPN > IPSec VPN > VPN kapcsolat > Általános beállítások és VPN átjáró

Kattintson az Új objektum létrehozása gombra a Hub_HQ mögötti helyi hálózat címének és a Branch B mögötti helyi hálózat címének hozzáadásához.

KONFIGURÁCIÓ > VPN > IPSec VPN > VPN kapcsolat > Új objektum létrehozása

Állítsa be a helyi házirendnek a Hub_HQ-t, a távoli házirendnek pedig az újonnan létrehozott Branch_B-t . Kattintson az OK gombra.

KONFIGURÁCIÓ > VPN > IPSec VPN > VPN kapcsolat > Házirend

2.3 A Hub_HQ koncentrátor konfigurálása

1 A ZyWALL/USG-ben válassza a CONFIGURATION > VPN > IPSec VPN > Concentrator menüpontot, és adjon hozzá egy VPN Concentrator szabályt. Válassza ki az azonos tagcsoporthoz tartozó VPN-alagutakat, és kattintson a Mentés gombra.

2.4 A Spoke_Branch_A konfigurálása

1 Válassza a KONFIGURÁCIÓ > VPN > IPSec VPN > VPN átjáró menüpontot, és válassza az Engedélyezés lehetőséget. Írja be a VPN átjáró azonosítására használt VPN átjáró nevét.

Ezután konfigurálja az elsődleges átjáró IP-címét a Hub_HQ wan1 IP-címeként (a példában 172.16.10.1) és a másodlagos átjáró IP-címét a Hub_HQ wan2 IP-címeként (a példában 172.100.110.1). Válassza a Fall back to Primary Peer Gateway (Visszaesés az elsődleges átjáróhoz ) lehetőséget, és állítsa be a kívánt Fall Back Check Interval (Visszaesés-ellenőrzési időköz ) időt.

Írjon be egy biztonságos előzetes megosztott kulcsot (8-32 karakter), amelynek meg kell egyeznie a Hub_HQelőzetes megosztott kulcsával, és kattintson az OK gombra.

KONFIGURÁCIÓ > VPN > IPSec VPN > VPN átjáró

2 Válassza a KONFIGURÁCIÓ > VPN > IPSec VPN > VPN-kapcsolat menüpontot, és válassza az Engedélyezés lehetőséget. Írja be a VPN-kapcsolat azonosítására használt kapcsolati nevet. Válassza ki a Site-to-site forgatókönyvet és az 1. lépésben konfigurált VPN átjárót.

KONFIGURÁCIÓ > VPN > IPSec VPN > VPN kapcsolat > Általános beállítások és VPN átjáró

Kattintson az Új objektum létrehozása gombra az A fióktelep mögötti helyi hálózat címének és a Hub_HQ mögötti helyi hálózat címének hozzáadásához .

KONFIGURÁCIÓ > VPN > IPSec VPN > VPN kapcsolat > Új objektum létrehozása

Állítsa be a helyi házirendnek az újonnan létrehozott Spoke_Branch_A_LOCAL, a távoli házirendnek pedig a Hub_HQ értéket. Kattintson az OK gombra.

KONFIGURÁCIÓ > VPN > IPSec VPN > VPN kapcsolat > Házirend

3 Válassza a Hálózat > Útválasztás > Házirend útvonal menüpontot egy házirend útvonal hozzáadásához, amely engedélyezi a Spoke_Branch_A és Spoke_Branch_B közötti forgalmat.

Kattintson az Új objektum létrehozása gombra, és állítsa be a címet a Spoke_Branch_B mögötti helyi hálózatnak. Válassza ki a Source Address (Forráscím ) beállítást, hogy az a Spoke_Branch_A mögötti helyi hálózat legyen. Ezután görgesse lefelé a Célcím listát, és válassza ki az újonnan létrehozott Spoke_Branch_B_LOCAL címet. Kattintson az OK gombra.

Hálózat > Útválasztás > Házirend útvonal

2.5 A Spoke_Branch_B konfigurálása

1 Válassza a KONFIGURÁCIÓ > VPN > IPSec VPN > VPN átjáró menüpontot, és válassza az Engedélyezés lehetőséget. Írja be a VPN átjáró azonosítására használt VPN átjáró nevét.

Ezután konfigurálja az elsődleges átjáró IP-címét a Hub_HQ wan1 IP-címeként (a példában 172.16.10.1) és a másodlagos átjáró IP-címét a Hub_HQ wan2 IP-címeként (a példában 172.100.110.1). Válassza a Fall back to Primary Peer Gateway (Visszaesés az elsődleges átjáróhoz ) lehetőséget, és állítsa be a kívánt Fall Back Check Interval (Visszaesés-ellenőrzési időköz ) időt.

Írjon be egy biztonságos előzetes megosztott kulcsot (8-32 karakter), amelynek meg kell egyeznie a Hub_HQelőzetes megosztott kulcsával, és kattintson az OK gombra.

KONFIGURÁCIÓ > VPN > IPSec VPN > VPN átjáró

2 Válassza a KONFIGURÁCIÓ > VPN > IPSec VPN > VPN-kapcsolat menüpontot, és válassza az Engedélyezés lehetőséget. Írja be a VPN-kapcsolat azonosítására használt kapcsolati nevet. Válassza ki a Site-to-site forgatókönyvet és az 1. lépésben konfigurált VPN átjárót.

KONFIGURÁCIÓ > VPN > IPSec VPN > VPN kapcsolat > Általános beállítások és VPN átjáró

Kattintson az Új objektum létrehozása gombra a B ág mögötti helyi hálózat címének és a Hub_HQ mögötti helyi hálózat címének hozzáadásához.

KONFIGURÁCIÓ > VPN > IPSec VPN > VPN kapcsolat > Új objektum létrehozása

Állítsa be a helyi házirendnek az újonnan létrehozott Spoke_Branch_B_LOCAL, a távoli házirendnek pedig a Hub_HQ értéket. Kattintson az OK gombra.

KONFIGURÁCIÓ > VPN > IPSec VPN > VPN kapcsolat > Házirend

3 Válassza a Hálózat > Útválasztás > Házirend útvonal menüpontot egy házirend útvonal hozzáadásához, amely engedélyezi a Spoke_Branch_B-től a Spoke_Branch_A felé irányuló forgalmat.

Kattintson az Új objektum létrehozása gombra, és állítsa be a címet a Spoke_Branch_A mögötti helyi hálózatnak. Válassza a Source Address (Forráscím ) beállítást a Spoke_Branch_B mögötti helyi hálózatnak. Ezután görgesse lefelé a Célcím listát, és válassza ki az újonnan létrehozott Spoke_Branch_A_LOCAL címet. Kattintson az OK gombra.

Hálózat > Útválasztás > Házirend útvonal

2.6 Az IPSec VPN-alagút tesztelése

1 Válassza a ZyWALL/USG KONFIGURÁCIÓ > VPN > IPSec VPN > VPN kapcsolat menüpontot, majd kattintson a felső sávban a Csatlakozás gombra. A Status connect ikon világít, ha az interfész csatlakozik.

Hub_HQ > KONFIGURÁCIÓ > VPN > IPSec VPN > VPN kapcsolat

Spoke_Branch_A > KONFIGURÁCIÓ > VPN > IPSec VPN > VPN kapcsolat

Spoke_Branch_B > CONFIGURATION > VPN > IPSec VPN > VPN kapcsolat

2 Válassza a ZyWALL/USG MONITOR > VPN Monitor > IPSec menüpontot, és ellenőrizze az alagút Up Time és a bejövő(Bytes)/kimenő(Bytes ) forgalmat. Kattintson a Connectivity Check (Csatlakozás ellenőrzése ) gombra az ICMP Connectivity (ICMP-csatlakozás) eredményének ellenőrzéséhez.

Hub_HQ > MONITOR > VPN Monitor > IPSec > Hub_HQ-to-Branch_A

Hub_HQ > MONITOR > VPN Monitor > IPSec > Hub_HQ-to-Branch_B

Spoke_Branch_B > MONITOR > VPN Monitor > IPSec

Spoke_Branch_A > MONITOR > VPN Monitor > IPSec

2.7 Mi romolhat el?

1 Ha az alábbi [info] vagy [error] naplóüzenetet látja, ellenőrizze a ZyWALL/USG Phase 1 beállításait. Az IKE SA létrehozásához minden ZyWALL/USG egységnek ugyanazt a megosztott kulcs előtti kulcsot, titkosítást, hitelesítési módszert, DH kulcscsoportot és ID típust kell használnia.

2 Ha úgy látja, hogy az 1. fázisú IKE SA folyamat befejeződött, de még mindig az alábbi [info] naplóüzenetet kapja, ellenőrizze a ZyWALL/USG 2. fázisú beállításait. Minden ZyWALL/USG egységnek ugyanazt a protokollt, kapszulázást, titkosítást, hitelesítési módszert és PFS-t kell használnia az IKE SA létrehozásához.

3 Győződjön meg arról, hogy az összes ZyWALL/USG egység biztonsági házirendje engedélyezi az IPSec VPN forgalmat. Az IKE az 500-as UDP-portot, az AH az 51-es IP-protokollt, az ESP pedig az 50-es IP-protokollt használja.

4 Alapértelmezés szerint a ZyWALL/USG-n engedélyezve van a NAT-traversal, ezért győződjön meg arról, hogy a távoli IPSec-eszközön is engedélyezve van a NAT-traversal.