Настройка резервирования VPN-туннеля в аппаратных шлюзах серии ZyWALL USG

Как в аппаратных шлюзах серии ZyWALL USG настроить резервирование VPN-туннеля?

В данной статье приведем пример настройки резервирования VPN-туннеля IPSec в аппаратных шлюзах безопасности ZyWALL USG.

Рассмотрим следующую схему подключения (топологию сети):

Предположим, что существует Главный офис (в котором используется ZyWALL USG 100 в качестве шлюза для подключения к Интернету) и Филиал (в котором используется ZyWALL USG 50 в качестве шлюза для подключения к Интернету). Главный офис и Филиал соединены между собой через L2-сеть (выделенный канал) одного интернет-провайдера.
В шлюзах ZyWALL USG 100 и ZyWALL USG 50 интерфейс WAN1 используется для VPN-подключения, а интерфейс WAN2 для подключения к Интернету. На обоих шлюзах на интерфейсе WAN2 используется глобальный (внешний) IP-адрес.
Задача: Настроить резервирование VPN-туннеля IPSec при соблюдении следующего условия: при падении основного VPN-туннеля (настроенного через L2-сеть провайдера) нужно поднимать резервный VPN-туннель через Интернет, при этом должен быть доступ в Интернет для пользователей двух офисов.

Решение:

Обращаем ваше внимание, что при использовании аппаратных шлюзов ZyWALL USG 50/20/20W данное решение применимо только для бета-версий v3.00 их микропрограммного обеспечения. Эти версии микропрограмм можно получить у инженеров в нашей Интерактивной системе консультаций.

Настройка резервирования VPN-туннеля в данной топологии осложняется тем, что для перехода на резервный VPN-канал обоим устройствам необходимо сменить не только IP-адрес удаленного VPN-шлюза, но и интерфейс, с которого будет подниматься VPN-туннель. Эта задача может быть решена установкой в поле My Address (в настройке правила VPN Gateway) IP-адреса 0.0.0.0. В этом случае устройство будет подставлять в это поле наименьший по метрике интерфейс. В данной топологии основной VPN-канал проходит через одноранговую сеть провайдера; соответственно интерфейс, через который должен устанавливаться основной VPN-туннель, должен быть наименьший по метрике, но т.к. интернет-подключения в нем нет, вся маршрутизация в Интернет должна быть настроена на больший по метрике канал – это исключает возможность использования Trunk, который будет направлять трафик в первую очередь в наименьший по метрике интерфейс. Для решения этой задачи нужно прописывать правило в Policy Route – маршрутизирующее весь трафик в Интернет через нужный WAN-канал. При этом наличие общего правила в Интернет делает необходимым прописывать маршрутизацию в VPN-туннель, иначе весь трафик будет уходить по этому правилу.

Теперь подробно рассмотрим настройку аппаратных шлюзов серии ZyWALL USG.

1. Настройка интерфейсов

В меню Configuration > Network > Interface > Ethernet настройте интерфейс WAN1 – это основной интерфейс для VPN-подключения, который смотрит в L2-сеть провайдера, на нем можно установить любые локальные (внутренние) IP-адреса. Так как сеть L2 немаршрутизируемая, на обоих устройствах локальные IP-адреса должны быть из одной подсети. Настройте локальный IP-адрес (IP Address), маску (Subnet Mask) и шлюз (Gateway). В качестве шлюза нужно указать WAN IP-адрес удаленного шлюза безопасности. Установите метрику (Metric1 (этот канал будет самый приоритетный – это нужно для обратного перехода туннеля в случае резервирования). Также необходимо включить функцию Connectivity Сheck (установите галочку в поле Enable Connectivity Check) на IP-адрес удаленного шлюза. Параметры нужно выставить в соответствии с реальными параметрами задержек в L2-сети.
Затем настройте интерфейс WAN2 для интернет-подключения. Внешний (глобальный) IP-адрес выдается провайдером вместе с маской и шлюзом. На этом канале не нужен Connectivity Сheck, только в том случае, если схема предполагает резервирование Интернета через VPN-туннель.

Настройка интерфейса WAN1 в ZyWALL USG 100:

Включите интерфейс, установив галочку в поле Enable Interface. В поле Interface Name впишите название интерфейса. В разделе IP Address Assignment укажите локальный IP-адрес (IP Address), маску (Subnet Mask) и шлюз (Gateway). В качестве шлюза нужно указать WAN IP-адрес удаленного шлюза безопасности. Установите метрику (Metric1 и включите функцию Connectivity Сheck (установите галочку в поле Enable Connectivity Check) на IP-адрес удаленного шлюза.

Настройка интерфейса WAN2 в ZyWALL USG 100:

Включите интерфейс, установив галочку в поле Enable Interface. В поле Interface Name впишите название интерфейса. В разделе IP Address Assignment установите значение Get Automatically, если IP-адрес, маску подсети и шлюз ZyWALL USG получает автоматически от интернет-провайдера. Установите метрику (Metric) 2 для этого интерфейса и не включайте функцию Connectivity Сheck.

Настройка интерфейса WAN1 в ZyWALL USG 50:

Включите интерфейс, установив галочку в поле Enable Interface. В поле Interface Name впишите название интерфейса. В разделе IP Address Assignment укажите локальный IP-адрес (IP Address), маску (Subnet Mask) и шлюз (Gateway). В качестве шлюза нужно указать WAN IP-адрес удаленного шлюза безопасности. Установите метрику (Metric1 и включите функцию Connectivity Сheck (установите галочку в поле Enable Connectivity Check) на IP-адрес удаленного шлюза.

Настройка интерфейса WAN2 в ZyWALL USG 50:

Включите интерфейс, установив галочку в поле Enable Interface. В поле Interface Name впишите название интерфейса. В разделе IP Address Assignment установите значение Get Automatically, если IP-адрес, маску подсети и шлюз ZyWALL USG получает автоматически от интернет-провайдера. Установите метрику (Metric) 2 для этого интерфейса и не включайте функцию Connectivity Сheck.

2. Настройка Trunk

В меню Configuration > Network > Interface > Trunk нажмите Show Advanced Settings для просмотра дополнительных параметров и снимите галочку в поле Enable Default SNAT. Так как Интернет существет только на одном канале, балансировка или резервирование через транк не нужны и могут только мешать.

Настройка Trunk в ZyWALL USG 100:

Нажмите Show Advanced Settings для просмотра дополнительных параметров и в разделе Default WAN Trunk снимите галочку в поле Enable Default SNAT.

Настройка Trunk в ZyWALL USG 50:

Нажмите Show Advanced Settings для просмотра дополнительных параметров и в разделе Default WAN Trunk снимите галочку в поле Enable Default SNAT.

3. Настройка VPN-туннеля IPSec

В меню Configuration > IPSec VPN > VPN Gateway создайте правило, где в поле My Address установите значение 0.0.0.0 – это нужно для перехода на другой интерфейс в случае резервирования. При установке в поле My Address IP-адреса 0.0.0.0 устройство использует наибольший по метрике интерфейс, а метрика интерфейса зависит от результата работы функции Connectivity Check. Если проверка доступности удаленного адреса не проходит, то интерфейсу назначается наибольшая метрика и трафик туда уже не направляется. Соответственно значение 0.0.0.0 в правиле VPN Gateway преобразуется в IP-адрес следующего по значению метрики интерфейса.
В качестве IP-адреса основного удаленного шлюза (Primary) указывается основной локальный адрес WAN1 удаленного шлюза безопасности, а в качестве резервного – глобальный WAN2.
Обязательно включите функцию Fall back to Primary Peer Gateway when possible для возвращения туннеля на исходный канал. После такого переключения он вернется в выделенный канал, когда тот станет доступным и будет снова направлять трафик на IP-адрес в выделенном канале.

Настройка VPN Gateway в ZyWALL USG 100:

В поле Enable установите галочку для активации VPN-шлюза. В поле VPN Gateway Name впишите название VPN-шлюза. В разделе Gateway Settings в поле My Address установите значение 0.0.0.0 для перехода на другой интерфейс в случае резервирования. В поле Peer Gateway Address в качестве IP-адреса основного удаленного шлюза (Primary) укажите основной локальный адрес WAN1 удаленного шлюза безопасности, а в качестве резервного – глобальный WAN2. Обязательно включите функцию Fall back to Primary Peer Gateway when possible для возвращения туннеля на исходный канал. В поле Pre-Shared Key укажите предварительно-согласованный ключ, который должен совпадать на обоих сторонах VPN-туннеля.

Настройка VPN Gateway в ZyWALL USG 50:

В поле Enable установите галочку для активации VPN-шлюза. В поле VPN Gateway Name впишите название VPN-шлюза. В разделе Gateway Settings в поле My Address установите значение 0.0.0.0 для перехода на другой интерфейс в случае резервирования. В поле Peer Gateway Address в качестве IP-адреса основного удаленного шлюза (Primary) укажите основной локальный адрес WAN1 удаленного шлюза безопасности, а в качестве резервного – глобальный WAN2. Обязательно включите функцию Fall back to Primary Peer Gateway when possible для возвращения туннеля на исходный канал. В поле Pre-Shared Key укажите предварительно-согласованный ключ, который должен совпадать на обоих сторонах VPN-туннеля.

В меню Configuration > IPSec VPN > VPN Сonnection нажмите Show Advanced Settings для просмотра дополнительных параметров и включите Nailed-Up для постоянных попыток подключения. Включите Enable Connectivity Check на локальный IP-адрес шлюза или (лучше) на хост в удаленной сети (это нужно, чтобы туннель вовремя отключался во время резервирования и не возникало зомби-туннеля). Connectivity Check можно настроить либо на ICMP-запросы (пинг), либо на проверку TCP-порта (дополнительная информация по настройке Connectivity Check представлена в статье «Настройка Connectivity Check в аппаратных шлюзах серии ZyWALL USG»).

Настройка VPN Connection в ZyWALL USG 100:

В поле Enable установите галочку для активации VPN-подключения. В поле Connection Name впишите название VPN-подключения. В разделе VPN Gateway установите значение Site-to-site. В поле VPN Gateway укажите название созданного ранее VPN-шлюза. В разделе Policy укажите локальную (Local) и удаленную (Remote) подсеть. Включите Enable Connectivity Check на локальный IP-адрес шлюза или (лучше) на хост в удаленной сети.

Настройка VPN Connection в ZyWALL USG 50:

В поле Enable установите галочку для активации VPN-подключения. В поле Connection Name впишите название VPN-подключения. В разделе VPN Gateway установите значение Site-to-site. В поле VPN Gateway укажите название созданного ранее VPN-шлюза. В разделе Policy укажите локальную (Local) и удаленную (Remote) подсеть. Включите Enable Connectivity Check на локальный IP-адрес шлюза или (лучше) на хост в удаленной сети.

4. Настройка маршрутизации

В меню Configuration > Network > Routing нажмите кнопку Add для создания политики маршрутизации.
Правило 1: Все запросы на удаленную VPN-подсеть должны маршрутизироваться через настроенный VPN-туннель. В правиле можно указывать интерфейс и/или подсети адресов источников для определения локальных хостов, если это необходимо. В принципе, это маршрутизация, фильтровать и блокировать трафик можно на уровне межсетевого экрана Firewall.
Правило 2: Маршрутизация трафика в Интернет через WAN2. Это нужно, т.к. транк был отключен и основной канал сделан для VPN-туннеля, поэтому направить трафик в Интернет через WAN2 нужно явно в политике.

Настройка Policy Route в ZyWALL USG 100:

Настройка Policy Route в ZyWALL USG 50:

Обращаем ваше внимание, что в данной статье не указываются настройки межсетевого экрана Firewall. Фильтр настраивается в соответствии с параметрами безопасности конкретной сети. При тестировании нашей топологии Firewall и все системы Anti-X были отключены (кроме ADP, он по умолчанию включен).

KB-2267

Была ли эта статья полезной?
Пользователи, считающие этот материал полезным: 0 из 0

Комментарии

0 комментариев