W tym artykule pokazano, jak skonfigurować przełączanie awaryjne połączenia VPN z USG FLEX / ATP / VPN Series przy użyciu tunelu site-to-site z przełączaniem awaryjnym Trunk i koncentratorem VPN. Korzystanie z Dual-WAN do przełączania awaryjnego w sieci VPN typu hub-and-spoke z centralą ZyWALL / USG jako koncentratorem i szprychowymi sieciami VPN do oddziałów A i B.

1) Skonfiguruj przełączanie awaryjne VPN przez przełączanie awaryjne pnia

Scenariusz (Trunk Failover)

Klient ma 2 różne adresy IP WAN z dwoma połączeniami VPN w oddziale. Jeden z nich to dynamiczny adres IP.

W przypadku awarii połączenia WAN1 z jakiegokolwiek powodu, interfejs WAN2 powinien być używany jako Failover, aby utrzymać tunel przy życiu.

Jak skonfigurować awaryjne połączenie klienta VPN?

1.1 Konfiguracja przełączania awaryjnego WAN za pomocą ustawień Trunk

W internetowym interfejsie GUI przejdź do ekranu Konfiguracja > Sieć > Interfejs > Trunk > Konfiguracja użytkownika > Dodaj .
Ustaw tryb WAN2 na Pasywny.

1.2 Konfiguracja rozłączania połączeń przed powrotem

Włącz opcję "Rozłącz połączenia przed powrotem".

1.3 Konfiguracja bramy VPN

Przejdź do Configuration > VPN > IPSec VPN > VPN Gateway.

Po stronie oddziału:
Ustaw My Address-> Domain Name/IPvSet4 na "0.0.0.0.0" (USG połączy się najpierw z aktywnym interfejsem WAN).


Po stronie centrali:
Ponieważ adres IP interfejsu WAN2 po stronie oddziału jest dynamiczny, "Adres bramy równorzędnej" po stronie centrali musi być ustawiony na "Adres dynamiczny". Alternatywnie można skonfigurować dynamiczny DNS i użyć go w polu adresu statycznego.

Upewnij się, że sprawdzasz łączność po obu stronach:

1.4 Konfiguracja przełączania awaryjnego VPN po stronie klienta przez SSH

Wprowadź następujące polecenie przez SSH na urządzeniu:

Następnie tunel automatycznie powróci do WAN1 po odzyskaniu połączenia WAN1.

2) Konfiguracja przełączania awaryjnego VPN przez koncentrator VPN

Scenariusz (koncentrator VPN)

Gdy tunel VPN jest skonfigurowany, ruch przechodzi między oddziałami za pośrednictwem koncentratora (HQ).
Ruch może również przechodzić między szprychami i szprychami przez koncentrator. Jeśli podstawowy interfejs WAN jest niedostępny, używany jest zapasowy interfejs WAN.
Gdy podstawowy interfejs WAN będzie ponownie dostępny, ruch będzie ponownie korzystał z tego interfejsu.

2.1 Konfiguracja Hub_HQ-to-Branch_A

1 Przejdź do CONFIGURATION > VPN > IPSec VPN > VPN Gateway, wybierz Enable.
Wpisz nazwę bramy VPN używaną do identyfikacji tej bramy VPN.

Skonfiguruj Primary Gateway IP jako adres IP wan1 oddziału A(w przykładzie 172.16.20.1) i Secondary Gateway IP jako adres IP wan2 oddziałuA (w przykładzie 172.100.120.1).
Wybierz opcję Fall back to Primary Peer Gateway when possible i ustaw żądany czas Fall Back Check Interval.

Wpisz bezpieczny klucz wstępny (8-32 znaki), który musi być zgodny z kluczem wstępnym oddziału Ai kliknij OK.

KONFIGURACJA > VPN > IPSec VPN > Brama VPN

2 Przejdź do CONFIGURATION > VPN > IPSec VPN > VPN Connection i wybierz Enable.
Wpisz nazwę połączenia używaną do identyfikacji tego połączenia VPN.
Wybierz scenariusz jako Site-to-site i VPN Gateway, który został skonfigurowany w kroku 1.

KONFIGURACJA > VPN > IPSec VPN > Połączenie VPN > Ustawienia ogólne i Brama VPN

Kliknij Create new Object, aby dodać adres sieci lokalnej za Hub_HQ i adres sieci lokalnej za Branch A.

KONFIGURACJA > VPN > IPSec VPN > Połączenie VPN > Utwórz nowy obiekt

Ustaw Local Policy na Hub_HQ i Remote Policy na Branch_A , które zostały nowo utworzone. Kliknij OK.

KONFIGURACJA > VPN > IPSec VPN > Połączenie VPN > Polityka

2.2 Konfiguracja Hub_HQ-to-Branch_B

1 Przejdź do CONFIGURATION > VPN > IPSec VPN > VPN Gateway, wybierz Enable. Wpisz nazwę bramy VPN używaną do identyfikacji tej bramy VPN.

Następnie skonfiguruj Primary Gateway IP jako adres IP wan1 oddziału B(w przykładzie 172.16.30.1) i Secondary Gateway IP jako adres IP wan2oddziału B (w przykładzie 172.100.130.1).
Wybierz opcję Fall back to Primary Peer Gateway when possible i ustaw żądany czas Fall Back Check Interval.

Wpisz bezpieczny klucz wstępny (8-32 znaki), który musi być zgodny z kluczem wstępnym oddziału Ai kliknij OK.

KONFIGURACJA > VPN > IPSec VPN > Brama VPN

2 Przejdź do CONFIGURATION > VPN > IPSec VPN > VPN Connection, aby włączyć VPN Connection. Wybierz scenariusz jako Site-to-site i VPN Gateway, który został skonfigurowany w kroku 1.

CONFIGURATION > VPN > IPSec VPN > VPN Connection > General Settings i VPN Gateway.

Kliknij Create new Object, aby dodać adres sieci lokalnej za Hub_HQ i adres sieci lokalnej za Branch B.

KONFIGURACJA > VPN > IPSec VPN > Połączenie VPN > Utwórz nowy obiekt

Ustaw Local Policy na Hub_HQ i Remote Policy na Branch_B , które zostały nowo utworzone. Kliknij przycisk OK.

KONFIGURACJA > VPN > IPSec VPN > Połączenie VPN > Polityka

2.3 Konfiguracja koncentratora Hub_HQ

1 W ZyWALL/USG przejdź do CONFIGURATION > VPN > IPSec VPN > Concentrator, dodaj regułę VPN Concentrator. Wybierz tunele VPN do tej samej grupy członkowskiej i kliknij Zapisz.

2.4 Konfiguracja Spoke_Branch_A

1 Przejdź do CONFIGURATION > VPN > IPSec VPN > VPN Gateway, wybierz Enable. Wpisz nazwę bramy VPN używaną do identyfikacji tej bramy VPN.

Następnie skonfiguruj Primary Gateway IP jako adres IP wan1 Hub_HQ(w przykładzie 172.16.10.1) i Secondary Gateway IP jako adres IP wan2 Hub_HQ(w przykładzie 172.100.110.1). Wybierz opcję Fall back to Primary Peer Gateway when possible i ustaw żądany czas Fall Back Check Interval.

Wpisz bezpieczny klucz wstępny (8-32 znaki), który musi być zgodny z kluczem wstępnym centrali Hub_HQi kliknij OK.

KONFIGURACJA > VPN > IPSec VPN > Brama VPN

2 Przejdź do CONFIGURATION > VPN > IPSec VPN > VPN Connection i wybierz Enable. Wpisz nazwę połączenia używaną do identyfikacji tego połączenia VPN. Wybierz scenariusz jako Site-to-site i VPN Gateway, który został skonfigurowany w kroku 1.

KONFIGURACJA > VPN > IPSec VPN > Połączenie VPN > Ustawienia ogólne i Brama VPN

Kliknij Utwórz nowy obiekt, aby dodać adres sieci lokalnej za Oddziałem A i adres sieci lokalnej za Hub_HQ.

KONFIGURACJA > VPN > IPSec VPN > Połączenie VPN > Utwórz nowy obiekt

Ustaw Local Policy na Spoke_Branch_A_LOCAL i Remote Policy na Hub_HQ , które zostały nowo utworzone. Kliknij przycisk OK.

KONFIGURACJA > VPN > IPSec VPN > Połączenie VPN > Polityka

3 Przejdź do Network > Routing > Policy Route, aby dodać Policy Route zezwalającą na ruch z Spoke_Branch_A do Spoke_Branch_B.

Kliknij Create new Object i ustaw adres jako sieć lokalną za Spoke_Branch_B. Wybierz Source Address, aby była to sieć lokalna za Spoke_Branch_A. Następnie przewiń listę Destination Address, aby wybrać nowo utworzony adres Spoke_Branch_B_LOCAL . Kliknij przycisk OK.

Network > Routing > Policy Route

2.5 Konfiguracja Spoke_Branch_B

1 Przejdź do CONFIGURATION > VPN > IPSec VPN > VPN Gateway, wybierz Enable. Wpisz nazwę bramy VPN używaną do identyfikacji tej bramy VPN.

Następnie skonfiguruj Primary Gateway IP jako adres IP wan1 Hub_HQ(w przykładzie 172.16.10.1) i Secondary Gateway IP jako adres IP wan2 Hub_HQ(w przykładzie 172.100.110.1). Wybierz opcję Fall back to Primary Peer Gateway when possible i ustaw żądany czas Fall Back Check Interval.

Wpisz bezpieczny klucz wstępny (8-32 znaki), który musi być zgodny z kluczem wstępnym centrali Hub_HQi kliknij OK.

KONFIGURACJA > VPN > IPSec VPN > Brama VPN

2 Przejdź do CONFIGURATION > VPN > IPSec VPN > VPN Connection i wybierz Enable. Wpisz nazwę połączenia używaną do identyfikacji tego połączenia VPN. Wybierz scenariusz jako Site-to-site i VPN Gateway, który został skonfigurowany w kroku 1.

KONFIGURACJA > VPN > IPSec VPN > Połączenie VPN > Ustawienia ogólne i Brama VPN

Kliknij Utwórz nowy obiekt, aby dodać adres sieci lokalnej za Oddziałem B i adres sieci lokalnej za Hub_HQ.

KONFIGURACJA > VPN > IPSec VPN > Połączenie VPN > Utwórz nowy obiekt

Ustaw Local Policy na Spoke_Branch_B_LOCAL i Remote Policy na Hub_HQ , które zostały nowo utworzone. Kliknij przycisk OK.

KONFIGURACJA > VPN > IPSec VPN > Połączenie VPN > Polityka

3 Przejdź do Network > Routing > Policy Route, aby dodać Policy Route zezwalającą na ruch z Spoke_Branch_B do Spoke_Branch_A.

Kliknij Create new Object i ustaw adres jako sieć lokalną za Spoke_Branch_A. Wybierz Source Address, aby była to sieć lokalna za Spoke_Branch_B. Następnie przewiń listę Destination Address, aby wybrać nowo utworzony adres Spoke_Branch_A_LOCAL . Kliknij OK.

Network > Routing > Policy Route

2.6 Testowanie tunelu IPSec VPN

1 Przejdź do ZyWALL/USG CONFIGURATION > VPN > IPSec VPN > VPN Connection, kliknij Connect na górnym pasku. Ikona Status connect świeci się, gdy interfejs jest podłączony.

Hub_HQ > CONFIGURATION > VPN > IPSec VPN > VPN Connection

Spoke_Branch_A > CONFIGURATION > VPN > IPSec VPN > VPN Connection

Spoke_Branch_B > CONFIGURATION > VPN > IPSec VPN > VPN Connection.

2 Przejdź do ZyWALL/USG MONITOR > VPN Monitor > IPSec i zweryfikuj czas działania tunelu oraz ruch przychodzący (bajty) / wychodzący (bajty). Kliknij Connectivity Check, aby zweryfikować wynik ICMP Connectivity.

Hub_HQ > MONITOR > VPN Monitor > IPSec > Hub_HQ-to-Branch_A

Hub_HQ > MONITOR > VPN Monitor > IPSec > Hub_HQ-to-Branch_B

Spoke_Branch_B > MONITOR > Monitor VPN > IPSec

Spoke_Branch_A > MONITOR > VPN Monitor > IPSec

2.7 Co może pójść nie tak?

1 Jeśli zobaczysz komunikat dziennika [info] lub [error], taki jak poniżej, sprawdź ustawienia ZyWALL/USG Phase 1. Wszystkie urządzenia ZyWALL/USG muszą używać tego samego klucza wstępnego, szyfrowania, metody uwierzytelniania, grupy kluczy DH i typu identyfikatora w celu ustanowienia IKE SA.

2 Jeśli widzisz, że proces fazy 1 IKE SA został zakończony, ale nadal otrzymujesz komunikat dziennika [info], jak poniżej, sprawdź ustawienia fazy 2 ZyWALL / USG. Wszystkie urządzenia ZyWALL/USG muszą używać tego samego protokołu, enkapsulacji, szyfrowania, metody uwierzytelniania i PFS do ustanowienia IKE SA.

3 Upewnij się, że zasady bezpieczeństwa wszystkich urządzeń ZyWALL / USG zezwalają na ruch IPSec VPN. IKE używa portu UDP 500, AH używa protokołu IP 51, a ESP używa protokołu IP 50.

4 Domyślnie NAT traversal jest włączony w ZyWALL / USG, więc upewnij się, że zdalne urządzenie IPSec również ma włączone NAT traversal.