Questo articolo illustra come configurare una connessione VPN failover con USG FLEX / ATP / VPN Series utilizzando un tunnel site-to-site con Trunk Failover e VPN Concentrator. Utilizzando Dual-WAN per eseguire il fail-over su una VPN hub-and-spoke con lo ZyWALL/USG HQ come hub e le VPN spoke alle filiali A e B.

1) Configurazione del failover VPN tramite Trunk Failover

Scenario (Trunk Failover)

Il cliente dispone di due IP WAN diversi con due connessioni VPN presso la filiale. Uno di essi è un IP dinamico.

Nel caso in cui la connessione WAN1 si interrompa per qualsiasi motivo, l'interfaccia WAN2 deve essere utilizzata come Failover per mantenere in vita il tunnel.

Come impostare la connessione client VPN Failover?

1.1 Configurazione del Failover WAN tramite le impostazioni del trunk

Nella GUI web, accedere alla schermata Configurazione > Rete > Interfaccia > Trunk > Configurazione utente > Aggiungi .
Impostare la modalità di WAN2 su Passivo.

1.2 Configurazione delle connessioni di disconnessione prima del rientro

Abilitare "Disconnetti connessioni prima di ripiegare".

1.3 Configurazione del gateway VPN

Accedere a Configurazione > VPN > IPSec VPN > Gateway VPN.

Sul lato Branch:
Impostare My Address-> Domain Name/IPvSet4 su "0.0.0.0.0.0" (l'USG si connetterà prima all'interfaccia WAN attiva).


Lato HQ:
Poiché l'indirizzo IP dell'interfaccia WAN2 sul lato Branch è dinamico, il "Peer Gateway Address" sul lato HQ deve essere impostato su "Dynamic address". In alternativa, è possibile impostare e utilizzare un DNS dinamico nel campo Indirizzo statico.

Assicurarsi di utilizzare il controllo della connettività su entrambi i lati:

1.4 Configurazione del client-side-VPN-Failover via SSH

Immettere il seguente comando tramite SSH sul dispositivo:

Router(config)# client-side-vpn-failover-fallback activate

In seguito, il tunnel tornerà automaticamente alla WAN1 una volta ripristinata la connessione WAN1.

2) Configurazione del Failover VPN tramite concentratore VPN

Scenario (Concentratore VPN)

Quando il tunnel VPN è configurato, il traffico passa tra le filiali attraverso l'hub (HQ).
Il traffico può passare anche tra spoke e spoke attraverso l'hub. Se l'interfaccia WAN primaria non è disponibile, viene utilizzata l'interfaccia WAN di backup.
Quando l'interfaccia WAN primaria sarà di nuovo disponibile, il traffico utilizzerà nuovamente tale interfaccia.

2.1 Configurazione di Hub_HQ-to-Branch_A

1 Accedere a CONFIGURAZIONE > VPN > IPSec VPN > Gateway VPN, selezionare Abilita.
Digitare il nome del gateway VPN utilizzato per identificare questo gateway VPN.

Configurare l'IP del gateway primario come indirizzo IP wan1 della filiale A(nell'esempio, 172.16.20.1) e l'IP del gateway secondario come indirizzo IP wan2 della filiale A(nell'esempio, 172.100.120.1).
Selezionare Ricaduta sul gateway peer primario quando possibile e impostare l'intervallo di controllo di ricaduta desiderato.

Digitare una chiave precondivisa sicura (8-32 caratteri) che deve corrispondere alla chiave precondivisa della filiale Ae fare clic su OK.

CONFIGURAZIONE > VPN > IPSec VPN > Gateway VPN

2 Accedere a CONFIGURAZIONE > VPN > IPSec VPN > Connessione VPN e selezionare Abilita.
Digitare il nome della connessione utilizzato per identificare questa connessione VPN.
Selezionate lo scenario da sito a sito e il gateway VPN configurato al punto 1.

CONFIGURAZIONE > VPN > IPSec VPN > Connessione VPN > Impostazioni generali e Gateway VPN

Fare clic su Crea nuovo oggetto per aggiungere l'indirizzo della rete locale dietro l'Hub_HQ e l'indirizzo della rete locale dietro la filiale A.

CONFIGURAZIONE > VPN > IPSec VPN > Connessione VPN > Crea nuovo oggetto

Impostare il criterio locale su Hub_HQ e il criterio remoto su Branch_A , appena creati. Fare clic su OK.

CONFIGURAZIONE > VPN > IPSec VPN > Connessione VPN > Criteri

2.2 Configurazione di Hub_HQ a Branch_B

1 Accedere a CONFIGURAZIONE > VPN > IPSec VPN > Gateway VPN, selezionare Abilita. Digitare il nome del gateway VPN utilizzato per identificare questo gateway VPN.

Quindi, configurare l'IP del gateway primario come indirizzo IP wan1 della filiale B(nell'esempio, 172.16.30.1) e l'IP del gateway secondario come indirizzo IP wan2della filiale B(nell'esempio, 172.100.130.1).
Selezionare Ricaduta sul gateway peer primario quando possibile e impostare l'intervallo di controllo di ricaduta desiderato.

Digitare una chiave precondivisa sicura (8-32 caratteri) che deve corrispondere alla chiave precondivisa della filiale Ae fare clic su OK.

CONFIGURAZIONE > VPN > IPSec VPN > Gateway VPN

2 Andare a CONFIGURAZIONE > VPN > IPSec VPN > Connessione VPN per abilitare la connessione VPN. Selezionare lo scenario Site-to-site e il gateway VPN configurato al punto 1.

CONFIGURAZIONE > VPN > IPSec VPN > Connessione VPN > Impostazioni generali e Gateway VPN

Fare clic su Crea nuovo oggetto per aggiungere l'indirizzo della rete locale dietro Hub_HQ e l'indirizzo della rete locale dietro la filiale B.

CONFIGURAZIONE > VPN > IPSec VPN > Connessione VPN > Crea nuovo oggetto

Impostare il criterio locale su Hub_HQ e il criterio remoto su Branch_B , appena creati. Fare clic su OK.

CONFIGURAZIONE > VPN > IPSec VPN > Connessione VPN > Criteri

2.3 Configurazione del concentratore Hub_HQ

1 Nello ZyWALL/USG, andare su CONFIGURAZIONE > VPN > IPSec VPN > Concentratore, aggiungere una regola VPN Concentratore. Selezionare i tunnel VPN verso lo stesso gruppo membro e fare clic su Salva.

2.4 Configurazione di Spoke_Branch_A

1 Accedere a CONFIGURAZIONE > VPN > IPSec VPN > Gateway VPN, selezionare Abilita. Digitare il nome del gateway VPN utilizzato per identificare questo gateway VPN.

Quindi, configurare l'IP del Gateway primario come indirizzo IP wan1 dell'Hub_HQ(nell'esempio, 172.16.10.1) e l'IP del Gateway secondario come indirizzo IP wan2 dell' Hub_HQ(nell'esempio, 172.100.110.1). Selezionare Ricaduta sul gateway peer primario quando possibile e impostare l'intervallo di controllo di ricaduta desiderato.

Digitare una chiave precondivisa sicura (8-32 caratteri) che deve corrispondere alla chiave precondivisa dell'Hub_HQe fare clic su OK.

CONFIGURAZIONE > VPN > IPSec VPN > Gateway VPN

2 Accedere a CONFIGURAZIONE > VPN > IPSec VPN > Connessione VPN e selezionare Abilita. Digitare il nome della connessione utilizzato per identificare questa connessione VPN. Selezionate lo scenario Site-to-site e il gateway VPN configurato al punto 1.

CONFIGURAZIONE > VPN > IPSec VPN > Connessione VPN > Impostazioni generali e Gateway VPN

Fare clic su Crea nuovo oggetto per aggiungere l'indirizzo della rete locale dietro la filiale A e l'indirizzo della rete locale dietro Hub_HQ.

CONFIGURAZIONE > VPN > IPSec VPN > Connessione VPN > Crea nuovo oggetto

Impostare il criterio locale su Spoke_Branch_A_LOCAL e il criterio remoto su Hub_HQ , appena creati. Fare clic su OK.

CONFIGURAZIONE > VPN > IPSec VPN > Connessione VPN > Criteri

3 Passare a Rete > Routing > Rotta criteri per aggiungere una rotta criteri per consentire il traffico da Spoke_Branch_A a Spoke_Branch_B.

Fare clic su Crea nuovo oggetto e impostare l'indirizzo della rete locale dietro lo Spoke_Branch_B. Selezionare l'indirizzo di origine come rete locale dietro lo Spoke_Branch_A. Quindi, scorrere l'elenco Indirizzo di destinazione per scegliere l'indirizzo Spoke_Branch_B_LOCAL appena creato. Fare clic su OK.

Rete > Instradamento > Rotta di criterio

2.5 Configurazione di Spoke_Branch_B

1 Accedere a CONFIGURAZIONE > VPN > IPSec VPN > Gateway VPN, selezionare Abilita. Digitare il nome del gateway VPN utilizzato per identificare questo gateway VPN.

Quindi, configurare l'IP del Gateway primario come indirizzo IP wan1 dell'Hub_HQ(nell'esempio, 172.16.10.1) e l'IP del Gateway secondario come indirizzo IP wan2 dell' Hub_HQ(nell'esempio, 172.100.110.1). Selezionare Ricaduta sul gateway peer primario quando possibile e impostare l'intervallo di controllo di ricaduta desiderato.

Digitare una chiave precondivisa sicura (8-32 caratteri) che deve corrispondere alla chiave precondivisa dell'Hub_HQe fare clic su OK.

CONFIGURAZIONE > VPN > IPSec VPN > Gateway VPN

2 Accedere a CONFIGURAZIONE > VPN > IPSec VPN > Connessione VPN e selezionare Abilita. Digitare il nome della connessione utilizzato per identificare questa connessione VPN. Selezionate lo scenario Site-to-site e il gateway VPN configurato al punto 1.

CONFIGURAZIONE > VPN > IPSec VPN > Connessione VPN > Impostazioni generali e Gateway VPN

Fare clic su Crea nuovo oggetto per aggiungere l'indirizzo della rete locale dietro la filiale B e l'indirizzo della rete locale dietro Hub_HQ.

CONFIGURAZIONE > VPN > IPSec VPN > Connessione VPN > Crea nuovo oggetto

Impostare il criterio locale su Spoke_Branch_B_LOCAL e il criterio remoto su Hub_HQ , appena creati. Fare clic su OK.

CONFIGURAZIONE > VPN > IPSec VPN > Connessione VPN > Criteri

3 Passare a Rete > Routing > Rotta criteri per aggiungere una rotta criteri per consentire il traffico da Spoke_Branch_B a Spoke_Branch_A.

Fare clic su Crea nuovo oggetto e impostare l'indirizzo della rete locale dietro lo Spoke_Branch_A. Selezionare l'indirizzo di origine come rete locale dietro lo Spoke_Branch_B. Quindi, scorrere l'elenco Indirizzo di destinazione per scegliere l'indirizzo Spoke_Branch_A_LOCAL appena creato. Fare clic su OK.

Rete > Instradamento > Criterio di rotta

2.6 Testare il tunnel VPN IPSec

1 Accedere a CONFIGURAZIONE ZyWALL/USG > VPN > IPSec VPN > Connessione VPN, fare clic su Connetti nella barra superiore. L'icona di stato della connessione è accesa quando l'interfaccia è connessa.

Hub_HQ > CONFIGURAZIONE > VPN > IPSec VPN > Connessione VPN

Spoke_Branch_A > CONFIGURAZIONE > VPN > IPSec VPN > Connessione VPN

Spoke_Branch_B > CONFIGURAZIONE > VPN > IPSec VPN > Connessione VPN

2 Accedere a ZyWALL/USG MONITOR > VPN Monitor > IPSec e verificare il tempo di attività del tunnel e il traffico in entrata (Bytes)/in uscita (Bytes). Fare clic su Controllo connettività per verificare il risultato della connettività ICMP.

Hub_HQ > MONITOR > VPN Monitor > IPSec > Hub_HQ-to-Branch_A

Hub_HQ > MONITOR > Monitor VPN > IPSec > Hub_HQ-to-Branch_B

Spoke_Branch_B > MONITOR > Monitor VPN > IPSec

Spoke_Branch_A > MONITOR > Monitor VPN > IPSec

2.7 Cosa può andare storto?

1 Se viene visualizzato un messaggio di log [info] o [error] come quello riportato di seguito, controllare le impostazioni della fase 1 di ZyWALL/USG. Tutte le unità ZyWALL/USG devono utilizzare la stessa chiave precondivisa, crittografia, metodo di autenticazione, gruppo di chiavi DH e tipo di ID per stabilire il SA IKE.

2 Se si vede che il processo di Fase 1 IKE SA è stato completato ma si ottiene ancora il messaggio di log [info] come di seguito, controllare le impostazioni di Fase 2 di ZyWALL/USG. Tutte le unità ZyWALL/USG devono utilizzare lo stesso protocollo, incapsulamento, crittografia, metodo di autenticazione e PFS per stabilire l'IKE SA.

3 Assicurarsi che i criteri di sicurezza di tutte le unità ZyWALL/USG consentano il traffico IPSec VPN. IKE utilizza la porta UDP 500, AH utilizza il protocollo IP 51 e ESP utilizza il protocollo IP 50.

4 Per impostazione predefinita, il NAT traversal è abilitato su ZyWALL/USG, quindi assicurarsi che anche il dispositivo IPSec remoto abbia il NAT traversal abilitato.