Den här artikeln visar hur du konfigurerar en VPN-anslutnings failover med USG FLEX / ATP / VPN-serien med hjälp av en plats-till-plats-tunnel med Trunk Failover och VPN Concentrator. Använda Dual-WAN för att utföra failover på en hub-and-spoke VPN med HQ ZyWALL/USG som hub och spoke VPN till filialerna A och B.

1) Konfigurera VPN Failover via Trunk Failover

Scenario (överkoppling av trunk)

Kunden har två olika WAN-IP:n med två VPN-anslutningar på filialplatsen. En av dem är en dynamisk IP.

Om WAN1-anslutningen av någon anledning går ner ska WAN2-gränssnittet användas som Failover för att hålla tunneln vid liv.

Hur konfigurerar man Failover för VPN-klientanslutningen?

1.1 Konfigurera WAN Failover via trunkinställningar

I webbgränssnittet går du till skärmen Konfiguration > Nätverk > Gränssnitt > Trunk > Användarkonfiguration > Lägg till.
Ställ in WAN2:s läge på Passive.

1.2 Konfigurera frånkopplingsanslutningar innan du faller tillbaka

Aktivera "Koppla bort anslutningar innan de faller tillbaka".

1.3 Konfigurera VPN-gatewayen

Gå till Konfiguration > VPN > IPSec VPN > VPN Gateway.

På Branch-sidan:
Ställ in My Address-> Domain Name/IPvSet4 till "0.0.0.0.0.0.0" (USG ansluter först till det aktiva WAN-gränssnittet).


På huvudkontorets sida:
Eftersom IP-adressen för WAN2-gränssnittet på filialsidan är dynamisk måste "Peer Gateway Address" på huvudkontorssidan ställas in på "Dynamic address". Alternativt kan en dynamisk DNS konfigureras och användas i fältet "Static Address".

Se till att använda konnektivitetskontrollen på båda sidor:

1.4 Konfigurera Client-side-VPN-Failover via SSH

Ange följande kommando via SSH på enheten:

Därefter kommer tunneln automatiskt att falla tillbaka till WAN1 när WAN1-anslutningen har återställts.

2) Konfigurera VPN Failover via VPN Concentrator

Scenario (VPN Concentrator)

När VPN-tunneln är konfigurerad passerar trafiken mellan filialerna via navet (HQ).
Trafik kan också passera mellan spoke-and-spoke via hubben. Om det primära WAN-gränssnittet inte är tillgängligt används WAN-gränssnittet i reserv.
När det primära WAN-gränssnittet är tillgängligt igen kommer trafiken att använda det gränssnittet igen.

2.1 Konfigurera Hub_HQ-till-Branch_A

1 Gå till CONFIGURATION > VPN > IPSec VPN > VPN Gateway och välj Enable.
Skriv VPN Gateway Name som används för att identifiera denna VPN-gateway.

Konfigurera IP för Primary Gateway som filial A:s wan1-IP-adress (i exemplet 172.16.20.1) och IP för Secondary Gateway som filial A:s wan2 IP-adress (i exemplet 172.100.120.1).
Välj Fall back to Primary Peer Gateway när det är möjligt och ställ in önskat kontrollintervall för Fall Back.

Skriv en säker Pre-Shared Key (8-32 tecken) som måste matcha din Branch A:s Pre-Shared Key och klicka på OK.

KONFIGURATION > VPN > IPSec VPN > VPN-gateway

2 Gå till KONFIGURATION > VPN > IPSec VPN > VPN-anslutning och välj Aktivera.
Skriv Connection Name som används för att identifiera den här VPN-anslutningen.
Välj scenario som Site-to-site och VPN Gateway som konfigureras i steg 1.

KONFIGURATION > VPN > IPSec VPN > VPN-anslutning > Allmänna inställningar och VPN-gateway

Klicka på Create new Object för att lägga till adressen till det lokala nätverket bakom Hub_HQ och en adress till det lokala nätverket bakom Branch A.

KONFIGURATION > VPN > IPSec VPN > VPN-anslutning > Skapa nytt objekt

Ställ in Local Policy till Hub_HQ och Remote Policy till Branch_A som nyligen har skapats. Klicka på OK.

KONFIGURATION > VPN > IPSec VPN > VPN-anslutning > Policy

2.2 Konfigurera Hub_HQ-till-Branch_B

1 Gå till KONFIGURATION > VPN > IPSec VPN> VPN Gateway och välj Aktivera. Skriv VPN Gateway Name som används för att identifiera denna VPN-gateway.

Konfigurera sedan Primary Gateway IP som filial B:s wan1 IP-adress (i exemplet 172.16.30.1) och Secondary Gateway IP som filial B:s wan2IP-adress(i exemplet 172.100.130.1).
Välj Fall back to Primary Peer Gateway när det är möjligt och ställ in önskat kontrollintervall för Fall Back.

Skriv en säker Pre-Shared Key (8-32 tecken) som måste matcha din Branch A:s Pre-Shared Key och klicka på OK.

KONFIGURATION > VPN > IPSec VPN > VPN-gateway

2 Gå till KONFIGURATION > VPN > IPSec VPN > VPN -anslutning för att aktivera VPN-anslutning. Välj scenario som Site-to-site och VPN Gateway som konfigureras i steg 1.

KONFIGURATION > VPN > IPSec VPN > VPN-anslutning > Allmänna inställningar och VPN Gateway

Klicka på Create new Object för att lägga till en adress för det lokala nätverket bakom Hub_HQ och en adress för det lokala nätverket bakom Branch B.

KONFIGURATION > VPN > IPSec VPN > VPN-anslutning > Skapa nytt objekt

Ange att lokal policy ska vara Hub_HQ och fjärrpolicy ska vara Branch_B som nyligen skapats. Klicka på OK.

KONFIGURATION > VPN > IPSec VPN > VPN-anslutning > Policy

2.3 Konfigurera Hub_HQ Concentrator

1 I ZyWALL/USG, gå till KONFIGURATION > VPN > IPSec VPN > Concentrator, lägg till en VPN Concentrator-regel. Välj VPN-tunnlar till samma medlemsgrupp och klicka på Spara.

2.4 Konfigurera Spoke_Branch_A

1 Gå till KONFIGURATION > VPN > IPSec VPN > VPN Gateway och välj Aktivera. Skriv VPN Gateway Name som används för att identifiera den här VPN-gatewayen.

Konfigurera sedan Primary Gateway IP som Hub_HQ:s wan1 IP-adress (i exemplet 172.16.10.1) och Secondary Gateway IP som Hub_HQ:s wan2 IP-adress (i exemplet 172.100.110.1). Välj Fall back to Primary Peer Gateway när det är möjligt och ställ in önskat kontrollintervall för Fall Back.

Skriv en säker Pre-Shared Key (8-32 tecken) som måste matcha din Hub_HQ:s Pre-Shared Key och klicka på OK.

KONFIGURATION > VPN > IPSec VPN > VPN-gateway

2 Gå till KONFIGURATION > VPN > IPSec VPN > VPN-anslutning och välj Aktivera. Skriv Connection Name som används för att identifiera den här VPN-anslutningen. Välj scenario som Site-to-site och VPN Gateway som konfigureras i steg 1.

KONFIGURATION > VPN > IPSec VPN > VPN-anslutning > Allmänna inställningar och VPN-gateway

Klicka på Create new Object för att lägga till adressen till det lokala nätverket bakom Branch A och en adress till det lokala nätverket bakom Hub_HQ

KONFIGURATION > VPN > IPSec VPN > VPN-anslutning > Skapa nytt objekt

Ställ in lokal policy till Spoke_Branch_A_LOCAL och fjärrpolicy till Hub_HQ som nyligen skapats. Klicka på OK.

KONFIGURATION > VPN > IPSec VPN > VPN-anslutning > Policy

3 Gå till Nätverk > Routning > Policyväg för att lägga till en policyväg som tillåter trafik från Spoke_Branch_A till Spoke_Branch_B.

Klicka på Skapa nytt objekt och ange att adressen ska vara det lokala nätverket bakom Spoke_Branch_B. Välj Source Address så att det blir det lokala nätverket bakom Spoke_Branch_A. Bläddra sedan nedåt i listan Destination Address för att välja den nyskapade adressen Spoke_Branch_B_LOCAL . Klicka på OK.

Nätverk > Routning > Policyväg

2.5 Konfigurera Spoke_Branch_B

1 Gå till KONFIGURATION > VPN > IPSec VPN > VPN Gateway och välj Aktivera. Skriv VPN Gateway Name som används för att identifiera den här VPN-gatewayen.

Konfigurera sedan Primary Gateway IP som Hub_HQ:s wan1 IP-adress (i exemplet 172.16.10.1) och Secondary Gateway IP som Hub_HQ:s wan2 IP-adress (i exemplet 172.100.110.1). Välj Fall back to Primary Peer Gateway när det är möjligt och ställ in önskat kontrollintervall för Fall Back.

Ange en säker Pre-Shared Key (8-32 tecken) som måste matcha din Hub_HQ:s Pre-Shared Key och klicka på OK.

KONFIGURATION > VPN > IPSec VPN > VPN-gateway

2 Gå till KONFIGURATION > VPN > IPSec VPN > VPN-anslutning och välj Aktivera. Skriv Connection Name som används för att identifiera den här VPN-anslutningen. Välj scenario som Site-to-site och VPN Gateway som konfigureras i steg 1.

KONFIGURATION > VPN > IPSec VPN > VPN-anslutning > Allmänna inställningar och VPN-gateway

Klicka på Create new Object för att lägga till adressen till det lokala nätverket bakom Branch B och en adress till det lokala nätverket bakom Hub_HQ.

KONFIGURATION > VPN > IPSec VPN > VPN-anslutning > Skapa nytt objekt

Ställ in lokal policy till Spoke_Branch_B_LOCAL och fjärrpolicy till Hub_HQ som nyligen har skapats. Klicka på OK.

KONFIGURATION > VPN > IPSec VPN > VPN-anslutning > Policy

3 Gå till Nätverk > Routning > Policy väg för att lägga till en policyväg som tillåter trafik från Spoke_Branch_B till Spoke_Branch_A.

Klicka på Skapa nytt objekt och ange att adressen ska vara det lokala nätverket bakom Spoke_Branch_A. Välj Source Address till att vara det lokala nätverket bakom Spoke_Branch_B. Bläddra sedan nedåt i listan Destination Address för att välja den nyskapade adressen Spoke_Branch_A_LOCAL . Klicka på OK.

Nätverk > Routning > Policyväg

2.6 Testa IPSec VPN-tunneln

1 Gå till ZyWALL/USG CONFIGURATION > VPN > IPSec VPN > VPN Connection, klicka på Connect i det övre fältet. Statusanslutningsikonen är tänd när gränssnittet är anslutet.

Hub_HQ > KONFIGURATION > VPN > IPSec VPN > VPN-anslutning

Spoke_Branch_A > KONFIGURATION > VPN > IPSec VPN > VPN-anslutning

Spoke_Branch_B > KONFIGURATION > VPN > IPSec VPN > VPN-anslutning

2 Gå till ZyWALL/USG MONITOR > VPN Monitor > IPSec och verifiera tunnelns upptid och den inkommande (Bytes)/utgående (Bytes) trafiken. Klicka på Connectivity Check för att verifiera resultatet av ICMP Connectivity.

Hub_HQ > MONITOR > VPN Monitor > IPSec > Hub_HQ-till-Branch_A

Hub_HQ > MONITOR > VPN Monitor > IPSec > Hub_HQ-till-Branch_B

Spoke_Branch_B > MONITOR > VPN-monitor > IPSec

Spoke_Branch_A > MONITOR > VPN Monitor > IPSec

2.7 Vad kan gå fel?

1 Om du ser [info] eller [fel] loggmeddelande som nedan, kontrollera ZyWALL/USG fas 1-inställningar. Alla ZyWALL/USG-enheter måste använda samma Pre-Shared Key, kryptering, autentiseringsmetod, DH-nyckelgrupp och ID-typ för att upprätta IKE SA.

2 Om du ser att fas 1 IKE SA-processen är klar men fortfarande får [info] loggmeddelande enligt nedan, kontrollera ZyWALL/USG fas 2-inställningar. Alla ZyWALL/USG-enheter måste använda samma protokoll, inkapsling, kryptering, autentiseringsmetod och PFS för att upprätta IKE SA.

3 Kontrollera att alla ZyWALL/USG-enheters säkerhetspolicyer tillåter IPSec VPN-trafik. IKE använder UDP-port 500, AH använder IP-protokoll 51 och ESP använder IP-protokoll 50.

4 Som standard är NAT-traversering aktiverad på ZyWALL/USG, så se till att den avlägsna IPSec-enheten också har NAT-traversering aktiverad.