Dit artikel laat u zien hoe u een failover van een VPN-verbinding kunt configureren met USG FLEX / ATP / VPN Series met behulp van een site-to-site tunnel met Trunk Failover en VPN Concentrator. Dual-WAN gebruiken om fail-over uit te voeren op een hub-and-spoke VPN met de HQ ZyWALL/USG als hub en spoke VPN's naar Branches A en B.

1) Configureer VPN Failover via Trunk Failover

Scenario (Trunk Failover)

De klant heeft 2 verschillende WAN IP's met twee VPN-verbindingen op de nevenvestiging. Eén daarvan is een dynamisch IP.

In het geval dat de WAN1 verbinding om wat voor reden dan ook uitvalt, moet de WAN2 interface gebruikt worden als Failover om de tunnel in leven te houden.

Hoe stel je de VPN-clientverbinding Failover in?

1.1 De WAN Failover configureren via Trunk-instellingen

Ga in de web-GUI naar het scherm Configuratie > Netwerk > Interface > Trunk > Gebruikersconfiguratie > Toevoegen .
Stel de modus van WAN2 in op Passief.

1.2 Verbindingen verbreken voor terugvallen configureren

Schakel "Disconnect Connections Before Falling Back" in.

1.3 De VPN-gateway configureren

Ga naar Configuratie > VPN > IPSec VPN > VPN Gateway.

Aan de kant van de Branch:
Stel Mijn adres-> Domeinnaam/IPvSet4 in op "0.0.0.0.0" (USG maakt eerst verbinding met de actieve WAN-interface).


Aan de kant van het hoofdkwartier:
Aangezien het IP-adres van de WAN2-interface aan de kant van het bijkantoor dynamisch is, moet het "Peer Gateway Adres" aan de kant van het hoofdkwartier worden ingesteld op "Dynamisch adres". Als alternatief kan een Dynamische DNS worden ingesteld en gebruikt in het veld Statisch adres.

Zorg ervoor dat u de connectiviteitscontrole aan beide zijden gebruikt:

1.4 Client-zijde-VPN-Failover via SSH configureren

Voer het volgende commando in via SSH op het apparaat:

Router(config)# client-side-vpn-failover-fallback activate

Daarna zal de tunnel automatisch terugvallen naar WAN1 zodra de WAN1-verbinding hersteld is.

2) VPN Failover via VPN Concentrator configureren

Scenario (VPN-concentrator)

Wanneer de VPN-tunnel is geconfigureerd, gaat het verkeer tussen de filialen via de hub (HQ).
Het verkeer kan ook tussen spoke-and-spoke via de hub lopen. Als de primaire WAN-interface niet beschikbaar is, wordt de back-up WAN-interface gebruikt.
Wanneer de primaire WAN-interface weer beschikbaar is, zal het verkeer die interface weer gebruiken.

2.1 Hub_HQ-naar-Branch_A configureren

1 Ga naar CONFIGURATIE > VPN > IPSec VPN > VPN Gateway, selecteer Inschakelen.
Typ de VPN-gatewaynaam die gebruikt wordt om deze VPN-gateway te identificeren.

Configureer het primaire gateway-IP als het wan1 IP-adres van tak A(in het voorbeeld 172.16.20.1) en het secundaire gateway-IP als het wan2 IP-adres van tak A(in het voorbeeld 172.100.120.1).
Selecteer Terugvallen naar primaire peer gateway indien mogelijk en stel de gewenste intervaltijd voor terugvallen in.

Typ een veilige Pre-Shared Key ( 8-32 tekens) die overeen moet komen met de Pre-Shared Key van uw filiaal Aen klik op OK.

CONFIGURATIE > VPN > IPSec VPN > VPN-gateway

2 Ga naar CONFIGURATIE > VPN > IPSec VPN > VPN-verbinding en selecteer Inschakelen.
Typ de verbindingsnaam die wordt gebruikt om deze VPN-verbinding te identificeren.
Selecteer scenario als Site-to-site en VPN Gateway die in stap 1 is geconfigureerd.

CONFIGURATIE > VPN > IPSec VPN > VPN-verbinding > Algemene instellingen en VPN-gateway

Klik op Nieuw object maken om het adres van het lokale netwerk achter Hub_HQ en een adres van het lokale netwerk achter Tak A toe te voegen.

CONFIGURATIE > VPN > IPSec VPN > VPN-verbinding > Nieuw object maken

Stel Lokaal beleid in op Hub_HQ en Remote beleid op Tak_A die nieuw zijn gemaakt. Klik op OK.

CONFIGURATIE > VPN > IPSec VPN > VPN-verbinding > Beleid

2.2 Hub_HQ-naar-Branch_B configureren

1 Ga naar CONFIGURATION > VPN > IPSec VPN > VPN Gateway, selecteer Enable (Inschakelen). Typ de VPN-gatewaynaam die wordt gebruikt om deze VPN-gateway te identificeren.

Configureer vervolgens het Primary Gateway IP als het wan1 IP-adres van tak B(in het voorbeeld 172.16.30.1) en het Secondary Gateway IP als het wan2IP-adresvan tak B(in het voorbeeld 172.100.130.1).
Selecteer Terugvallen naar primaire peer gateway indien mogelijk en stel de gewenste intervaltijd voor terugvallen in.

Typ een veilige vooraf gedeelde sleutel ( 8-32 tekens) die moet overeenkomen met de vooraf gedeelde sleutel van filiaal Aen klik op OK.

CONFIGURATIE > VPN > IPSec VPN > VPN-gateway

2 Ga naar CONFIGURATIE > VPN > IPSec VPN > VPN-verbinding om VPN-verbinding in te schakelen. Selecteer scenario als Site-to-site en VPN Gateway die in stap 1 is geconfigureerd.

CONFIGURATIE > VPN > IPSec VPN > VPN-verbinding > Algemene instellingen en VPN-gateway

Klik op Nieuw object maken om een adres van het lokale netwerk achter Hub_HQ en een adres van het lokale netwerk achter Tak B toe te voegen.

CONFIGURATIE > VPN > IPSec VPN > VPN-verbinding > Nieuw object maken

Stel Lokaal beleid in op Hub_HQ en Extern beleid op Tak_B die nieuw zijn gemaakt. Klik op OK.

CONFIGURATIE > VPN > IPSec VPN > VPN-verbinding > Beleid

2.3 Hub_HQ Concentrator configureren

1 Ga in de ZyWALL/USG naar CONFIGURATION > VPN > IPSec VPN > Concentrator, voeg een VPN Concentrator regel toe. Selecteer VPN-tunnels naar dezelfde ledengroep en klik op Opslaan.

2.4 Spoke_Branch_A configureren

1 Ga naar CONFIGURATIE > VPN > IPSec VPN > VPN Gateway, selecteer Inschakelen. Typ de VPN-gatewaynaam die wordt gebruikt om deze VPN-gateway te identificeren.

Configureer vervolgens het Primaire Gateway IP als het wan1 IP-adres van het Hub_HQ(in het voorbeeld 172.16.10.1) en het Secundaire Gateway IP als het wan2 IP-adres van het Hub_HQ(in het voorbeeld 172.100.110.1). Selecteer Terugvallen naar primaire peer gateway indien mogelijk en stel de gewenste intervaltijd voor terugvallen in.

Typ een veilige Pre-Shared Key ( 8-32 tekens) die overeen moet komen met de Pre-Shared Key van je Hub_HQen klik op OK.

CONFIGURATIE > VPN > IPSec VPN > VPN Gateway

2 Ga naar CONFIGURATIE > VPN > IPSec VPN > VPN-verbinding en selecteer Inschakelen. Typ de naam van de verbinding die wordt gebruikt om deze VPN-verbinding te identificeren. Selecteer scenario als Site-to-site en VPN Gateway die in stap 1 is geconfigureerd.

CONFIGURATIE > VPN > IPSec VPN > VPN-verbinding > Algemene instellingen en VPN-gateway

Klik op Nieuw object maken om het adres van het lokale netwerk achter Tak A en een adres van het lokale netwerk achter Hub_HQ toe te voegen.

CONFIGURATIE > VPN > IPSec VPN > VPN-verbinding > Nieuw object maken

Stel Lokaal beleid in op Spoke_Branch_A_LOCAL en Remote beleid op Hub_HQ die nieuw zijn gemaakt. Klik op OK.

CONFIGURATIE > VPN > IPSec VPN > VPN-verbinding > Beleid

3 Ga naar Network > Routing > Policy Route om een Policy Route toe te voegen om verkeer van Spoke_Branch_A naar Spoke_Branch_B toe te staan.

Klik op Create new Object (Nieuw object maken) en stel het adres in als het lokale netwerk achter Spoke_Branch_B. Selecteer Source Address als het lokale netwerk achter Spoke_Branch_A. Scroll vervolgens naar beneden in de lijst Destination Address en kies het nieuw aangemaakte adres Spoke_Branch_B_LOCAL . Klik op OK.

Netwerk > Routing > Beleidsroute

2.5 Spoke_Branch_B configureren

1 Ga naar CONFIGURATIE > VPN > IPSec VPN > VPN Gateway, selecteer Inschakelen. Typ de VPN-gatewaynaam die wordt gebruikt om deze VPN-gateway te identificeren.

Configureer vervolgens het Primaire Gateway IP als het wan1 IP-adres van het Hub_HQ(in het voorbeeld 172.16.10.1) en het Secundaire Gateway IP als het wan2 IP-adres van het Hub_HQ(in het voorbeeld 172.100.110.1). Selecteer Terugvallen naar primaire peer gateway wanneer mogelijk en stel de gewenste intervaltijd voor terugvallen in.

Typ een veilige Pre-Shared Key ( 8-32 tekens) die overeen moet komen met de Pre-Shared Key van je Hub_HQen klik op OK.

CONFIGURATIE > VPN > IPSec VPN > VPN Gateway

2 Ga naar CONFIGURATIE > VPN > IPSec VPN > VPN-verbinding en selecteer Inschakelen. Typ de verbindingsnaam die wordt gebruikt om deze VPN-verbinding te identificeren. Selecteer scenario als Site-to-site en VPN Gateway die in stap 1 is geconfigureerd.

CONFIGURATIE > VPN > IPSec VPN > VPN-verbinding > Algemene instellingen en VPN-gateway

Klik op Nieuw object maken om het adres van het lokale netwerk achter Tak B en een adres van het lokale netwerk achter Hub_HQ toe te voegen.

CONFIGURATIE > VPN > IPSec VPN > VPN-verbinding > Nieuw object maken

Stel Lokaal beleid in op Spoke_Branch_B_LOCAL en Remote beleid op Hub_HQ die nieuw zijn gemaakt. Klik op OK.

CONFIGURATIE > VPN > IPSec VPN > VPN-verbinding > Beleid

3 Ga naar Network > Routing > Policy Route om een Policy Route toe te voegen om verkeer van Spoke_Branch_B naar Spoke_Branch_A toe te staan.

Klik op Create new Object (Nieuw object maken) en stel het adres in als het lokale netwerk achter Spoke_Branch_A. Selecteer Source Address als het lokale netwerk achter Spoke_Branch_B. Blader vervolgens naar beneden in de lijst Destination Address en kies het nieuw aangemaakte adres Spoke_Branch_A_LOCAL . Klik op OK.

Netwerk > Routebepaling > Beleidsroute

2.6 Test de IPSec VPN Tunnel

1 Ga naar ZyWALL/USG CONFIGURATION > VPN > IPSec VPN > VPN Connection, klik op Connect op de bovenste balk. Het statusverbindingspictogram brandt wanneer de interface verbonden is.

Hub_HQ > CONFIGURATIE > VPN > IPSec VPN > VPN-verbinding

Spoke_Branch_A > CONFIGURATION > VPN > IPSec VPN > VPN-verbinding

Spoke_Branch_B > CONFIGURATION > VPN > IPSec VPN > VPN-verbinding

2 Ga naar ZyWALL/USG MONITOR > VPN Monitor > IPSec en controleer de tunnel Up Time en het Inkomend(Bytes)/Uitgaand(Bytes) verkeer. Klik op Connectivity Check om het resultaat van ICMP Connectivity te controleren.

Hub_HQ > MONITOR > VPN Monitor > IPSec > Hub_HQ-naar-Branch_A

Hub_HQ > MONITOR > VPN Monitor > IPSec > Hub_HQ-to-Branch_B

Spoke_Branch_B > MONITOR > VPN Monitor > IPSec

Spoke_Branch_A > MONITOR > VPN-monitor > IPSec

2.7 Wat kan er fout gaan?

1 Als u [info] of [error] logbericht ziet zoals hieronder, controleer dan de ZyWALL/USG Fase 1 Instellingen. Alle ZyWALL/USG-eenheden moeten dezelfde Pre-Shared Key, Encryptie, Authenticatiemethode, DH-sleutelgroep en ID Type gebruiken om de IKE SA op te zetten.

2 Als u ziet dat Fase 1 IKE SA-proces is voltooid, maar nog steeds [info] logbericht krijgt zoals hieronder, controleer dan de ZyWALL/USG Fase 2-instellingen. Alle ZyWALL/USG-eenheden moeten hetzelfde Protocol, Encapsulatie, Encryptie, Authenticatiemethode en PFS gebruiken om de IKE SA tot stand te brengen.

3 Zorg ervoor dat het beveiligingsbeleid van alle ZyWALL/USG-eenheden IPSec VPN-verkeer toestaat. IKE gebruikt UDP-poort 500, AH gebruikt IP-protocol 51 en ESP gebruikt IP-protocol 50.

4 NAT traversal is standaard ingeschakeld op de ZyWALL/USG, dus zorg ervoor dat het IPSec-apparaat op afstand ook NAT traversal heeft ingeschakeld.