Denne artikkelen vil vise deg hvordan du konfigurerer en VPN-tilkoblings failover med USG FLEX / ATP / VPN-serien ved hjelp av en sted-til-sted-tunnel med Trunk Failover og VPN Concentrator. Bruke Dual-WAN for å utføre failover på en hub-and-spoke VPN med HQ ZyWALL/USG som hub og spoke VPN-er til filialene A og B.

1) Konfigurer VPN Failover via Trunk Failover

Scenario (Trunk Failover)

Kunden har to forskjellige WAN-IP-er med to VPN-tilkoblinger på filialstedet. En av dem er en dynamisk IP.

Hvis WAN1-tilkoblingen av en eller annen grunn går ned, skal WAN2-grensesnittet brukes som Failover for å holde tunnelen i live.

Hvordan konfigurerer jeg VPN-klienttilkoblingen Failover?

1.1 Konfigurer WAN Failover via Trunk-innstillinger

Gå til skjermbildet Konfigurasjon > Nettverk > Grensesnitt > Trunk > Brukerkonfigurasjon > Legg til i web-GUI.
Sett WAN2s modus til Passiv.

1.2 Konfigurere frakobling av tilkoblinger før tilbakefall

Aktiver "Koble fra tilkoblinger før tilbakefall".

1.3 Konfigurer VPN-gatewayen

Gå til Konfigurasjon > VPN > IPSec VPN > VPN-gateway.

På filialsiden:
Sett Min adresse-> Domenenavn/IPvSet4 til "0.0.0.0.0.0.0" (USG vil koble til det aktive WAN-grensesnittet først).


På HQ-siden:
Siden IP-adressen til WAN2-grensesnittet på Branch-siden er dynamisk, må "Peer Gateway Address" på HQ-siden settes til "Dynamic address". Alternativt kan en dynamisk DNS konfigureres og brukes i feltet Statisk adresse.

Sørg for å bruke tilkoblingskontrollen på begge sider:

1.4 Konfigurere Client-side-VPN-Failover via SSH

Skriv inn følgende kommando via SSH på enheten:

Etterpå vil tunnelen automatisk falle tilbake til WAN1 når WAN1-tilkoblingen er gjenopprettet.

2) Konfigurere VPN Failover via VPN Concentrator

Scenario (VPN-konsentrator)

Når VPN-tunnelen er konfigurert, går trafikken mellom filialer via huben (HQ).
Trafikk kan også passere mellom spoke-and-spoke gjennom huben. Hvis det primære WAN-grensesnittet ikke er tilgjengelig, vil WAN-grensesnittet for reserve brukes.
Når det primære WAN-grensesnittet er tilgjengelig igjen, vil trafikken bruke det grensesnittet igjen.

2.1 Konfigurere Hub_HQ-to-Branch_A

1 Gå til KONFIGURASJON > VPN > IPSec VPN > VPN-gateway, og velg Aktiver.
Skriv inn VPN-gatewaynavnet som brukes til å identifisere denne VPN-gatewayen.

Konfigurer den primære gateway-IP-en som filial A's wan1-IP-adresse (i eksempelet 172.16.20.1) og den sekundære gateway-IP-en som filial A's wan2-IP-adresse (i eksempelet 172.100.120.1).
Velg Fall back to Primary Peer Gateway når det er mulig , og angi ønsket Fall Back Check Interval-tid.

Skriv inn en sikker forhåndsdelt nøkkel (8-32 tegn) som må samsvare med den forhåndsdelte nøkkelen til filial A, og klikk OK.

KONFIGURASJON > VPN > IPSec VPN > VPN-gateway

2 Gå til KONFIGURASJON > VPN > IPSec VPN > VPN-tilkobling, og velg Aktiver.
Skriv inn tilkoblingsnavnet som brukes til å identifisere denne VPN-tilkoblingen.
Velg scenario som Site-to-site og VPN Gateway som er konfigurert i trinn 1.

KONFIGURASJON > VPN > IPSec VPN > VPN-tilkobling > Generelle innstillinger og VPN-gateway

Klikk på Create new Object for å legge til adressen til det lokale nettverket bak Hub_HQ og en adresse til det lokale nettverket bak Branch A.

KONFIGURASJON > VPN > IPSec VPN > VPN-tilkobling > Opprett nytt objekt

Angi at lokal policy skal være Hub_HQ og ekstern policy skal være Branch_A , som nylig er opprettet. Klikk på OK.

KONFIGURASJON > VPN > IPSec VPN > VPN-tilkobling > Policy

2.2 Konfigurere Hub_HQ-til-gren_B

1 Gå til KONFIGURASJON > VPN > IPSec VPN > VPN-gateway, og velg Aktiver. Skriv inn VPN-gatewaynavnet som brukes til å identifisere denne VPN-gatewayen.

Konfigurer deretter Primær gateway-IP som filial Bs wan1-IP-adresse (i eksempelet 172.16.30.1) og Sekundær gateway-IP som filial Bs wan2-IP-adresse(i eksempelet 172.100.130.1).
Velg Fall back to Primary Peer Gateway når det er mulig , og angi ønsket Fall Back Check Interval-tid.

Skriv inn en sikker forhåndsdelt nøkkel (8-32 tegn) som må samsvare med den forhåndsdelte nøkkelen til filial A, og klikk OK.

KONFIGURASJON > VPN > IPSec VPN > VPN-gateway

2 Gå til KONFIGURASJON > VPN > IPSec VPN > VPN-tilkobling for å aktivere VPN-tilkobling. Velg scenario som Site-to-site og VPN Gateway som er konfigurert i trinn 1.

KONFIGURASJON > VPN > IPSec VPN > VPN-tilkobling > Generelle innstillinger og VPN-gateway

Klikk på Create new Object for å legge til en adresse for det lokale nettverket bak Hub_HQ og en adresse for det lokale nettverket bak Branch B.

KONFIGURASJON > VPN > IPSec VPN > VPN-tilkobling > Opprett nytt objekt

Angi at lokal policy skal være Hub_HQ og ekstern policy skal være Branch_B som nylig er opprettet. Klikk på OK.

KONFIGURASJON > VPN > IPSec VPN > VPN-tilkobling > Policy

2.3 Konfigurer Hub_HQ-konsentrator

1 I ZyWALL/USG går du til KONFIGURASJON > VPN > IPSec VPN > Konsentrator, og legger til en VPN-konsentratorregel. Velg VPN-tunneler til samme medlemsgruppe og klikk på Lagre.

2.4 Konfigurere Spoke_Branch_A

1 Gå til KONFIGURASJON > VPN > IPSec VPN> VPN-gateway, og velg Aktiver. Skriv inn VPN-gatewaynavnet som brukes til å identifisere denne VPN-gatewayen.

Konfigurer deretter primær gateway-IP som Hub_HQs wan1-IP-adresse (i eksempelet 172.16.10.1) og sekundær gateway-IP som Hub_HQs wan2-IP-adresse (i eksempelet 172.100.110.1). Velg Fall back to Primary Peer Gateway når det er mulig , og angi ønsket Fall Back Check Interval-tid.

Skriv inn en sikker forhåndsdelt nøkkel (8-32 tegn) som må samsvare med Hub_HQsforhåndsdelte nøkkel, og klikk OK.

KONFIGURASJON > VPN > IPSec VPN > VPN-gateway

2 Gå til KONFIGURASJON > VPN > IPSec VPN > VPN-tilkobling, og velg Aktiver. Skriv inn tilkoblingsnavnet som brukes til å identifisere denne VPN-tilkoblingen. Velg scenario som Site-to-site og VPN Gateway som er konfigurert i trinn 1.

KONFIGURASJON > VPN > IPSec VPN > VPN-tilkobling > Generelle innstillinger og VPN-gateway

Klikk på Create new Object for å legge til adressen til det lokale nettverket bak Branch A og en adresse til det lokale nettverket bak Hub_HQ

KONFIGURASJON > VPN > IPSec VPN > VPN-tilkobling > Opprett nytt objekt

Angi at lokal policy skal være Spoke_Branch_A_LOCAL og ekstern policy skal være Hub_HQ , som nylig er opprettet. Klikk på OK.

KONFIGURASJON > VPN > IPSec VPN > VPN-tilkobling > Policy

3 Gå til Nettverk > Routing > Policy Route for å legge til en policyrute som tillater trafikk fra Spoke_Branch_A til Spoke_Branch_B.

Klikk på Opprett nytt objekt, og angi at adressen skal være det lokale nettverket bak Spoke_Branch_B. Velg Kildeadresse som det lokale nettverket bak Spoke_Branch_A. Bla deretter nedover i listen Destinasjonsadresse for å velge den nyopprettede adressen Spoke_Branch_B_LOCAL . Klikk på OK.

Nettverk > Routing > Policy Route

2.5 Konfigurere Spoke_Branch_B

1 Gå til KONFIGURASJON > VPN > IPSec VPN> VPN-gateway, og velg Aktiver. Skriv inn VPN-gatewaynavnet som brukes til å identifisere denne VPN-gatewayen.

Konfigurer deretter primær gateway-IP som Hub_HQs wan1-IP-adresse (i eksempelet 172.16.10.1) og sekundær gateway-IP som Hub_HQs wan2-IP-adresse (i eksempelet 172.100.110.1). Velg Fall back to Primary Peer Gateway når det er mulig , og angi ønsket Fall Back Check Interval-tid.

Skriv inn en sikker forhåndsdelt nøkkel (8-32 tegn) som må samsvare med Hub_HQsforhåndsdelte nøkkel, og klikk OK.

KONFIGURASJON > VPN > IPSec VPN > VPN-gateway

2 Gå til KONFIGURASJON > VPN > IPSec VPN > VPN-tilkobling, og velg Aktiver. Skriv inn tilkoblingsnavnet som brukes til å identifisere denne VPN-tilkoblingen. Velg scenario som Site-to-site og VPN Gateway som er konfigurert i trinn 1.

KONFIGURASJON > VPN > IPSec VPN > VPN-tilkobling > Generelle innstillinger og VPN-gateway

Klikk på Create new Object for å legge til adressen til det lokale nettverket bak Branch B og en adresse til det lokale nettverket bak Hub_HQ.

KONFIGURASJON > VPN > IPSec VPN > VPN-tilkobling > Opprett nytt objekt

Angi lokal policy til å være Spoke_Branch_B_LOCAL og ekstern policy til Hub_HQ som nylig er opprettet. Klikk på OK.

KONFIGURASJON > VPN > IPSec VPN > VPN-tilkobling > Policy

3 Gå til Nettverk > Routing > Policy Route for å legge til en policyrute som tillater trafikk fra Spoke_Branch_B til Spoke_Branch_A.

Klikk på Opprett nytt objekt, og angi at adressen skal være det lokale nettverket bak Spoke_Branch_A. Velg Source Address som det lokale nettverket bak Spoke_Branch_B. Bla deretter nedover i listen Destinasjonsadresse for å velge den nyopprettede Spoke_Branch_A_LOCAL-adressen . Klikk på OK.

Nettverk > Routing > Policy Route

2.6 Test IPSec VPN-tunnelen

1 Gå til ZyWALL/USG KONFIGURASJON > VPN > IPSec VPN > VPN-tilkobling, klikk på Koble til på den øvre linjen. Statustilkoblingsikonet lyser når grensesnittet er tilkoblet.

Hub_HQ > KONFIGURASJON > VPN > IPSec VPN > VPN-tilkobling

Spoke_Branch_A > KONFIGURASJON > VPN > IPSec VPN > VPN-tilkobling

Spoke_Branch_B > KONFIGURASJON > VPN > IPSec VPN > VPN-tilkobling

2 Gå til ZyWALL/USG MONITOR > VPN Monitor > IPSec og bekreft tunnelens oppetid og innkommende (Bytes)/utgående (Bytes) trafikk. Klikk på Tilkoblingskontroll for å verifisere resultatet av ICMP-tilkobling.

Hub_HQ > MONITOR > VPN Monitor > IPSec > Hub_HQ-to-Branch_A

Hub_HQ > MONITOR > VPN-overvåking > IPSec > Hub_HQ-til-gren_B

Spoke_Branch_B > MONITOR > VPN Monitor > IPSec

Spoke_Branch_A > MONITOR > VPN Monitor > IPSec

2.7 Hva kan gå galt?

1 Hvis du ser [info] eller [feil] loggmelding som nedenfor, vennligst sjekk ZyWALL/USG fase 1-innstillinger. Alle ZyWALL/USG-enheter må bruke samme forhåndsdelte nøkkel, kryptering, autentiseringsmetode, DH-nøkkelgruppe og ID-type for å etablere IKE SA.

2 Hvis du ser at fase 1 IKE SA-prosessen er ferdig, men fortsatt får [info] loggmelding som nedenfor, vennligst sjekk ZyWALL/USG fase 2-innstillinger. Alle ZyWALL/USG-enheter må bruke samme protokoll, innkapsling, kryptering, autentiseringsmetode og PFS for å etablere IKE SA.

3 Sørg for at alle ZyWALL/USG-enhetenes sikkerhetspolicyer tillater IPSec VPN-trafikk. IKE bruker UDP-port 500, AH bruker IP-protokoll 51, og ESP bruker IP-protokoll 50.

4 Som standard er NAT-traversering aktivert på ZyWALL/USG, så sørg for at den eksterne IPSec-enheten også har NAT-traversering aktivert.