В этой статье мы расскажем вам, как настроить обход отказа VPN-соединения с помощью USG FLEX / ATP / VPN Series, используя туннель site-to-site с Trunk Failover и VPN Concentrator. Использование Dual-WAN для выполнения обхода отказа на концентраторной VPN с HQ ZyWALL/USG в качестве концентратора и спицевыми VPN для филиалов A и B.

1) Настройте обход отказа VPN через обход отказа магистрали

Сценарий (обход отказа магистрали)

У клиента есть 2 разных WAN IP с двумя VPN соединениями на сайте филиала. Один из них - динамический IP.

В случае, если соединение WAN1 по какой-либо причине выходит из строя, интерфейс WAN2 должен использоваться в качестве Failover, чтобы сохранить туннель.

Как настроить Failover соединения VPN клиента?

1.1 Настройка обхода отказа WAN через параметры магистрали

В веб-интерфейсе перейдите в меню Конфигурация > Сеть > Интерфейс > Магистраль > Конфигурация пользователя > Добавить .
Установите для WAN2 режим "Пассивный".

1.2 Настройка отключения соединений перед возвратом

Включите функцию "Отключать соединения перед возвратом".

1.3 Настройка VPN-шлюза

Перейдите в раздел Конфигурация > VPN > IPSec VPN > VPN-шлюз.

На стороне филиала:
Установите My Address-> Domain Name/IPvSet4 на "0.0.0.0.0.0.0" (USG сначала подключится к активному интерфейсу WAN).


На стороне штаб-квартиры:
Поскольку IP-адрес интерфейса WAN2 на стороне филиала является динамическим, "Адрес пирингового шлюза" на стороне штаб-квартиры должен быть установлен на "Динамический адрес". В качестве альтернативы можно настроить динамический DNS и использовать его в поле "Статический адрес".

Пожалуйста, убедитесь, что проверка соединения выполняется с обеих сторон:

1.4 Настройка обхода отказа VPN со стороны клиента через SSH

Введите следующую команду через SSH на устройстве:

После этого туннель автоматически вернется к WAN1, как только соединение WAN1 восстановится.

2) Настройка VPN Failover через VPN Concentrator

Сценарий (VPN-концентратор)

Когда VPN-туннель настроен, трафик проходит между филиалами через концентратор (HQ).
Трафик также может проходить между филиалами через концентратор. Если основной WAN-интерфейс недоступен, будет использоваться резервный WAN-интерфейс.
Когда основной WAN-интерфейс снова станет доступен, трафик будет снова использовать этот интерфейс.

2.1 Настройка Hub_HQ-to-Branch_A

1 Перейдите в раздел КОНФИГУРАЦИЯ > VPN > IPSec VPN > VPN Gateway, выберите Включить.
Введите имя VPN-шлюза, используемое для идентификации этого VPN-шлюза.

Настройте IP-адрес первичного шлюза как IP-адрес wan1 филиала A(в примере 172.16.20.1) и IP-адрес вторичного шлюза как IP-адрес wan2 филиала A(в примере 172.100.120.1).
Выберите опцию Fall back to Primary Peer Gateway when possible и установите желаемый интервал проверки Fall Back.

Введите безопасный ключ Pre-Shared Key (8-32 символа), который должен совпадать с ключом Pre-Shared Key вашего филиала A, и нажмите OK.

КОНФИГУРАЦИЯ > VPN > IPSec VPN > VPN Gateway

2 Перейдите в раздел КОНФИГУРАЦИЯ > VPN > IPSec VPN > VPN Connection и выберите Включить.
Введите имя подключения, используемое для идентификации этого VPN-соединения.
Выберите сценарий Site-to-site и VPN Gateway, который был настроен на шаге 1.

КОНФИГУРАЦИЯ > VPN > IPSec VPN > VPN Connection > Общие настройки и VPN Gateway

Нажмите кнопку Создать новый объект, чтобы добавить адрес локальной сети за Hub_HQ и адрес локальной сети за Branch A.

КОНФИГУРАЦИЯ > VPN > IPSec VPN > VPN Connection > Создать новый объект

Установите локальную политику на Hub_HQ и удаленную политику на Branch_A , которые были созданы недавно. Нажмите OK.

КОНФИГУРАЦИЯ > VPN > IPSec VPN > VPN Connection > Policy

2.2 Настройка соединения Hub_HQ с филиалом_B

1 Перейдите в раздел КОНФИГУРАЦИЯ > VPN > IPSec VPN > VPN-шлюз, выберите Включить. Введите имя VPN-шлюза, используемое для идентификации этого VPN-шлюза.

Затем настройте IP-адрес первичного шлюза как IP-адрес wan1 филиала B(в примере 172.16.30.1) и IP-адрес вторичного шлюза как IP-адрес wan2 филиала B(в примере 172.100.130.1).
Выберите "Возврат к первичному пиринговому шлюзу", когда это возможно , и установите желаемое время интервала проверки возврата.

Введите безопасный ключ Pre-Shared Key (8-32 символа), который должен совпадать с ключом Pre-Shared Key вашего филиала A, и нажмите OK.

КОНФИГУРАЦИЯ > VPN > IPSec VPN > VPN Gateway

2 Перейдите в раздел КОНФИГУРАЦИЯ > VPN > IPSec VPN > VPN Connection, чтобы включить VPN Connection. Выберите сценарий Site-to-site и VPN Gateway, который был настроен на шаге 1.

КОНФИГУРАЦИЯ > VPN > IPSec VPN > VPN Connection > Общие настройки и VPN Gateway

Нажмите кнопку Создать новый объект, чтобы добавить адрес локальной сети за Hub_HQ и адрес локальной сети за Branch B.

КОНФИГУРАЦИЯ > VPN > IPSec VPN > VPN Connection > Создать новый объект

Установите локальную политику на Hub_HQ и удаленную политику на Branch_B , которые были созданы недавно. Нажмите OK.

КОНФИГУРАЦИЯ > VPN > IPSec VPN > VPN Connection > Policy

2.3 Настройка концентратора Hub_HQ

1 В ZyWALL/USG перейдите в раздел КОНФИГУРАЦИЯ > VPN > IPSec VPN > Концентратор, добавьте правило VPN-концентратора. Выберите VPN-туннели к одной группе участников и нажмите Сохранить.

2.4 Настройка Spoke_Branch_A

1 Перейдите в раздел КОНФИГУРАЦИЯ > VPN > IPSec VPN > VPN Gateway, выберите Включить. Введите имя VPN-шлюза, используемое для идентификации этого VPN-шлюза.

Затем настройте IP-адрес первичного шлюза как IP-адрес wan1 центрального узла(в примере 172.16.10.1) и IP-адрес вторичного шлюза как IP-адрес wan2 центрального узла(в примере 172.100.110.1). Выберите "Возврат к первичному пиринговому шлюзу", когда это возможно , и установите желаемое время интервала проверки возврата.

Введите безопасный ключ Pre-Shared Key (8-32 символа), который должен совпадать с ключом Pre-Shared Key вашего Hub_HQ, и нажмите OK.

КОНФИГУРАЦИЯ > VPN > IPSec VPN > VPN Gateway

2 Перейдите в раздел КОНФИГУРАЦИЯ > VPN > IPSec VPN > VPN Connection и выберите Включить. Введите имя подключения, используемое для идентификации этого VPN-соединения. Выберите сценарий Site-to-site и VPN Gateway, который был настроен на шаге 1.

КОНФИГУРАЦИЯ > VPN > IPSec VPN > VPN Connection > Общие настройки и VPN Gateway

Нажмите кнопку Создать новый объект, чтобы добавить адрес локальной сети за филиалом A и адрес локальной сети за Hub_HQ.

КОНФИГУРАЦИЯ > VPN > IPSec VPN > VPN-соединение > Создать новый объект

Установите локальную политику на Spoke_Branch_A_LOCAL и удаленную политику на Hub_HQ , которые были недавно созданы. Нажмите OK.

КОНФИГУРАЦИЯ > VPN > IPSec VPN > VPN Connection > Policy

3 Перейдите в раздел Сеть > Маршрутизация > Маршрут политики, чтобы добавить маршрут политики для разрешения трафика от Spoke_Branch_A к Spoke_Branch_B.

Нажмите кнопку Создать новый объект и задайте адрес локальной сети за Spoke_Branch_B. Выберите Source Address в качестве локальной сети за Spoke_Branch_A. Затем прокрутите вниз список Destination Address, чтобы выбрать только что созданный адрес Spoke_Branch_B_LOCAL . Нажмите OK.

Сеть > Маршрутизация > Маршрут политики

2.5 Настройка Spoke_Branch_B

1 Перейдите в раздел КОНФИГУРАЦИЯ > VPN > IPSec VPN > VPN Gateway, выберите Включить. Введите имя VPN-шлюза, используемое для идентификации этого VPN-шлюза.

Затем настройте IP-адрес первичного шлюза как IP-адрес wan1 центрального узла(в примере 172.16.10.1) и IP-адрес вторичного шлюза как IP-адрес wan2 центрального узла(в примере 172.100.110.1). Выберите "Возврат к первичному пиринговому шлюзу", когда это возможно , и установите желаемое время интервала проверки возврата.

Введите безопасный ключ Pre-Shared Key (8-32 символа), который должен совпадать с ключом Pre-Shared Key вашего Hub_HQ, и нажмите OK.

КОНФИГУРАЦИЯ > VPN > IPSec VPN > VPN Gateway

2 Перейдите в раздел КОНФИГУРАЦИЯ > VPN > IPSec VPN > VPN Connection и выберите Включить. Введите имя подключения, используемое для идентификации этого VPN-соединения. Выберите сценарий Site-to-site и VPN Gateway, который был настроен на шаге 1.

КОНФИГУРАЦИЯ > VPN > IPSec VPN > VPN Connection > Общие настройки и VPN Gateway

Нажмите кнопку Создать новый объект, чтобы добавить адрес локальной сети за филиалом B и адрес локальной сети за Hub_HQ.

КОНФИГУРАЦИЯ > VPN > IPSec VPN > VPN Connection > Создать новый объект

Установите локальную политику на Spoke_Branch_B_LOCAL и удаленную политику на Hub_HQ , которые были недавно созданы. Нажмите OK.

КОНФИГУРАЦИЯ > VPN > IPSec VPN > VPN Connection > Policy

3 Перейдите в раздел Сеть > Маршрутизация > Маршрут политики, чтобы добавить маршрут политики для разрешения трафика от Spoke_Branch_B к Spoke_Branch_A.

Нажмите кнопку Создать новый объект и задайте адрес локальной сети за Spoke_Branch_A. Выберите Source Address в качестве локальной сети за Spoke_Branch_B. Затем прокрутите вниз список Destination Address, чтобы выбрать только что созданный адрес Spoke_Branch_A_LOCAL . Нажмите OK.

Сеть > Маршрутизация > Маршрут политики

2.6 Проверка VPN-туннеля IPSec

1 Перейдите в раздел КОНФИГУРАЦИЯ ZyWALL/USG > VPN > IPSec VPN > VPN Connection, нажмите Connect на верхней панели. Значок Status connect светится, когда интерфейс подключен.

Hub_HQ > CONFIGURATION > VPN > IPSec VPN > VPN Connection

Spoke_Branch_A > CONFIGURATION > VPN > IPSec VPN > VPN Connection

Spoke_Branch_B > CONFIGURATION > VPN > IPSec VPN > VPN Connection

2 Перейдите в ZyWALL/USG MONITOR > VPN Monitor > IPSec и проверьте время работы туннеля и входящий(байты)/исходящий(байты) трафик. Нажмите Connectivity Check, чтобы проверить результат ICMP Connectivity.

Hub_HQ > MONITOR > VPN Monitor > IPSec > Hub_HQ-to-Branch_A

Hub_HQ > MONITOR > VPN Monitor > IPSec > Hub_HQ-to-Branch_B

Spoke_Branch_B > MONITOR > VPN Monitor > IPSec

Spoke_Branch_A > MONITOR > VPN Monitor > IPSec

2.7 Что может пойти не так?

1 Если вы видите сообщение [info] или [error] в журнале, как показано ниже, проверьте настройки ZyWALL/USG Phase 1. Все устройства ZyWALL/USG должны использовать одинаковые Pre-Shared Key, Encryption, Authentication method, DH key group и ID Type для создания IKE SA.

2 Если вы видите, что процесс IKE SA фазы 1 завершен, но все еще получаете сообщение журнала [info], как показано ниже, проверьте настройки фазы 2 ZyWALL/USG. Все устройства ZyWALL/USG должны использовать один и тот же протокол, инкапсуляцию, шифрование, метод аутентификации и PFS для создания IKE SA.

3 Убедитесь, что политики безопасности всех устройств ZyWALL/USG разрешают IPSec VPN трафик. IKE использует UDP-порт 500, AH - IP-протокол 51, а ESP - IP-протокол 50.

4 По умолчанию на ZyWALL/USG включен обход NAT, поэтому убедитесь, что на удаленном IPSec-устройстве также включен обход NAT.