В данном примере рассматривается реализация следующей задачи:
Подключить удаленные офисы (Spoke_Branch A и Spoke_Branch B) к главному шлюзу (Hub_HQ) через VPN туннели и иметь доступ с локальной сети любой из сторон к локальным сетям всех других задействованных сторон. Удаленные стороны (Spoke_Branch A и Spoke_Branch B) должны иметь доступ между собой через шлюз в главном офисе (Hub_HQ). В случае падания одного из основных подключений WAN, туннели должны продолжать работу по резервным каналам. Когда основной интернет канал снова станет доступным, туннели должны возобновить работу по основному каналу связи.
Пошаговая настройка:
Настройте IPSec VPN-туннель на ZyWALL/USG с главного офиса (Hub_HQ) к филиалу (Branch_A):
1 Перейдите в CONFIGURATION > VPN > IPSec VPN > VPN Gateway и нажмите Enable. Укажите имя VPN шлюза в поле VPN Gateway Name.
Укажите основной и резервный IP-адрес шлюза удалённой стороны в поле Primary и Secondary (Peer Gateway Address) - IP-адрес wan1 стороны Branch_A (в примере, 172.16.20.1) и IP-адрес wan2 стороны Branch_A (в примере, 172.100.120.1). Включите Fall back to Primary Peer Gateway when possible и установите желаемое время Fall Back Check Interval.
Введите ключ безопасности (пароль) в поле Pre-Shared Key (8–32 символа), который должен совпадать с настроенным ключом на стороне удаленного филиала (Branch A) и нажмите ОК.
CONFIGURATION > VPN > IPSec VPN > VPN Gateway
2 Перейдите в CONFIGURATION > VPN > IPSec VPN > VPN Connection и нажмите Enable. Укажите имя VPN соединения в поле Connection Name. Выберите сценарий Site-to-site и укажите название VPN-шлюза, созданного в шаге 1.
CONFIGURATION > VPN > IPSec VPN > VPN Connection > General Settings and VPN Gateway
Нажмите Create new Object и добавьте объект-адрес с локальной подсетью стороны центрального офиса (Hub_HQ) и объект с адресом локальной сети за удаленным филиалом (Branch_A).
CONFIGURATION > VPN > IPSec VPN > VPN Connection > Create new Object
Укажите созданные объекты в полях Local Policy (подсеть Hub_HQ) и Remote Policy (подсеть Branch_A). Нажмите ОК.
CONFIGURATION > VPN > IPSec VPN > VPN Connection > Policy
Настройте IPSec VPN с главного офиса (Hub_HQ) к филиалу (Branch_B):
1 Перейдите в CONFIGURATION > VPN > IPSec VPN > VPN Gateway и нажмите Enable. Укажите имя VPN шлюза в поле VPN Gateway Name.
Укажите основной и резервный IP-адрес шлюза удалённой стороны в поле Primary и Secondary (Peer Gateway Address) - IP-адрес wan1 стороны Branch_B (в примере, 172.16.30.1) и IP-адрес wan2 стороны Branch_B (в примере, 172.100.130.1). Включите Fall back to Primary Peer Gateway when possible и установите желаемое время Fall Back Check Interval.
Введите ключ безопасности (пароль) в поле Pre-Shared Key (8–32 символа), который должен совпадать с настроенным ключом на стороне удаленного филиала (Branch A) и нажмите ОК.
CONFIGURATION > VPN > IPSec VPN > VPN Gateway
2 Перейдите в CONFIGURATION > VPN > IPSec VPN > VPN Connection и нажмите Enable. Укажите имя VPN соединения в поле Connection Name. Выберите сценарий Site-to-site и укажите название VPN-шлюза, созданного в шаге 1.
CONFIGURATION > VPN > IPSec VPN > VPN Connection > General Settings and VPN Gateway
Нажмите Create new Object и добавьте объект-адрес с локальной подсетью стороны центрального офиса (Hub_HQ) и объект с адресом локальной сети за удаленным филиалом (Branch_B).
CONFIGURATION > VPN > IPSec VPN > VPN Connection > Create new Object
Укажите созданные объекты в полях Local Policy (подсеть Hub_HQ) и Remote Policy (подсеть Branch_B). Нажмите ОК.
CONFIGURATION > VPN > IPSec VPN > VPN Connection > Policy
Создание концентратора в центральном офисе Hub_HQ:
1 Перейдите в CONFIGURATION > VPN > IPSec VPN > Concentrator и создайте новое правило VPN концентратора. Переместите настроенные VPN туннели в список Member и нажмите Save.
Настройка IPSec VPN на стороне филиала (Branch_A):
1 Перейдите в CONFIGURATION > VPN > IPSec VPN > VPN Gateway и нажмите Enable. Укажите имя VPN шлюза в поле VPN Gateway Name.
Укажите основной и резервный IP-адрес шлюза удалённой стороны в поле Primary и Secondary (Peer Gateway Address) - IP-адрес wan1 стороны Hub_HQ (в примере, 172.16.10.1) и IP-адрес wan2 стороны Hub_HQ (в примере, 172.100.110.1). Включите Fall back to Primary Peer Gateway when possible и установите желаемое время Fall Back Check Interval.
Введите ключ безопасности (пароль) в поле Pre-Shared Key (8–32 символа), который должен совпадать с настроенным ключом на стороне удаленного филиала (Hub_HQ) и нажмите кнопку ОК.
CONFIGURATION > VPN > IPSec VPN > VPN Gateway
2 Перейдите в CONFIGURATION > VPN > IPSec VPN > VPN Connection и нажмите Enable. Укажите имя VPN соединения в поле Connection Name. Выберите сценарий Site-to-site и укажите название VPN-шлюза, созданного в шаге 1.
CONFIGURATION > VPN > IPSec VPN > VPN Connection > General Settings and VPN Gateway
Нажмите Create new Object и добавьте объект с адресом локальной сети филиала (Branch_A) и объект-адрес с локальной подсетью стороны центрального офиса (Hub_HQ).
CONFIGURATION > VPN > IPSec VPN > VPN Connection > Create new Object
Укажите созданные объекты в полях Local Policy (подсеть Branch_A) и Remote Policy (подсеть Hub_HQ). Нажмите ОК.
CONFIGURATION > VPN > IPSec VPN > VPN Connection > Policy
3 Перейдите в Network > Routing > Policy Route и добавьте правило маршрутизации, по которому трафик c локальной подсети филиала, при назначении на подсеть удаленного филиала, будет заворачиваться в созданный туннель (с Branch_A на Branch_B).
Нажмите на Create new Object и создайте адрес-объект для локальной сети за филиалом Branch_B. В поле Source Address укажите локальную подсеть стороны Branch_A. В поле Destination Address укажите только что созданный адрес-объект для локальной сети Branch_B. В поле Next-Hop укажите созданный туннель к центральному офису. Нажмите ОК.
Network > Routing > Policy Route
Настройка IPSec VPN на стороне филиала (Branch_B):
1 Перейдите в CONFIGURATION > VPN > IPSec VPN > VPN Gateway и нажмите Enable. Укажите имя VPN шлюза в поле VPN Gateway Name.
Укажите основной и резервный IP-адрес шлюза удалённой стороны в поле Primary и Secondary (Peer Gateway Address) - IP-адрес wan1 стороны Hub_HQ (в примере, 172.16.10.1) и IP-адрес wan2 стороны Hub_HQ (в примере, 172.100.110.1). Включите Fall back to Primary Peer Gateway when possible и установите желаемое время Fall Back Check Interval.
Введите ключ безопасности (пароль) в поле Pre-Shared Key (8–32 символа), который должен совпадать с настроенным ключом на стороне удаленного филиала (Hub_HQ) и нажмите кнопку ОК.
CONFIGURATION > VPN > IPSec VPN > VPN Gateway
2 Перейдите в CONFIGURATION > VPN > IPSec VPN > VPN Connection и нажмите Enable. Укажите имя VPN соединения в поле Connection Name. Выберите сценарий Site-to-site и укажите название VPN-шлюза, созданного в шаге 1.
CONFIGURATION > VPN > IPSec VPN > VPN Connection > General Settings and VPN Gateway
Нажмите Create new Object и добавьте объект с адресом локальной сети филиала (Branch_B) и объект-адрес с локальной подсетью стороны центрального офиса (Hub_HQ).
CONFIGURATION > VPN > IPSec VPN > VPN Connection > Create new Object
Укажите созданные объекты в полях Local Policy (подсеть Branch_B) и Remote Policy (подсеть Hub_HQ). Нажмите ОК.
CONFIGURATION > VPN > IPSec VPN > VPN Connection > Policy
3 Перейдите в Network > Routing > Policy Route и добавьте правило маршрутизации, по которому трафик c локальной подсети филиала, при назначении на подсеть удаленного филиала, будет заворачиваться в созданный туннель (с Branch_B на Branch_A).
Нажмите на Create new Object и создайте адрес-объект для локальной сети за филиалом Branch_A. В поле Source Address укажите локальную подсеть стороны Branch_B. В поле Destination Address укажите только что созданный адрес-объект для локальной сети Branch_A. В поле Next-Hop укажите созданный туннель к центральному офису. Нажмите ОК.
Network > Routing > Policy Route
Проверка работы туннелей IPSec VPN:
1 Перейдите в CONFIGURATION > VPN > IPSec VPN > VPN Connection и нажмите Connect. В поле Status должен появится знак подключенного VPN туннеля, как показано в скриншотах ниже.
Hub_HQ > CONFIGURATION > VPN > IPSec VPN > VPN Connection
Branch_A > CONFIGURATION > VPN > IPSec VPN > VPN Connection
Branch_B > CONFIGURATION > VPN > IPSec VPN > VPN Connection
2 Перейдите в MONITOR > VPN Monitor > IPSec и убедитесь, что туннель работает (по параметрам времени его жизни Up Time и количеству полученного и посланного трафика Inbound(Bytes)/Outbound(Bytes)). Завершите проверку кнопкой Connectivity Check, чтобы убедиться в том, что до удаленного шлюза идут пинги.
Hub_HQ > MONITOR > VPN Monitor > IPSec > Hub_HQ-to-Branch_A
Hub_HQ > MONITOR > VPN Monitor > IPSec > Hub_HQ-to-Branch_B
Branch_B> MONITOR> VPN Monitor> IPSec
Branch_A> MONITOR> VPN Monitor> IPSec
Что может пойти не так?
1 Если в журнале событий появляются сообщения типа [info] или [error] (как в скриншоте ниже), проверьте настройки фазы 1. Чтобы фаза 1 успешно прошла, оба устройства должны использовать один и тот же ключ Pre-Shared Key. Оба устройства должны иметь одну и туже настройку шифрования, метода аутентификации, ключей DH группы и ID.
2 Если видно, что фаза 1 успешно завершается, но по-прежнему отображается сообщение [info] (как в скриншоте ниже), проверьте настройки фазы 2. Чтобы фаза 2 успешно прошла, оба устройства должны использовать один и тот же протокол, инкапсуляцию, шифрование, метод аутентификации и PFS.
3 Убедитесь, что в политиках безопасности есть разрешающие правила для трафика IPSec VPN. IKE использует порт-UDP 500, AH использует межсетевой протокол 51 и ESP использует межсетевой протокол 50.
4 По умолчанию, в ZyWALL/USG включена функция NAT Traversal, поэтому убедитесь, что на удаленном устройстве эта функция так же включена.
Комментарии
0 комментариев
Войдите в службу, чтобы оставить комментарий.