(!) Тройное резервирование туннеля VPN IPSec с возвратом на основной канал

Как в шлюзах безопасности серии ZyWALL USG настроить последовательное тройное резервирование туннеля VPN IPSec (WAN1>WAN2>3G) и обратное переключение на интерфейсы WAN1 или WAN2 в случае их восстановления?

Как правило, к подключению в центральном офисе предъявляют повышенные требования к ширине канала и стабильности работы. Обычно используют корпоративное подключение с гарантированными параметрами стабильности. В небольших удаленных офисах подключения часто бывают нестабильными, т.к. иногда нет возможности подключить корпоративный контракт (например, это слишком дорого) и используются контракты для домашних пользователей. Если есть задача поддерживать туннель VPN IPSec до центрального офиса всегда в рабочем состоянии и есть возможность подключить несколько провайдеров, имеет смысл разработать и настроить схему резервирования туннеля VPN IPSec. В данной статье и представлена такая схема.

Рассмотрим пример тройного резервирования туннеля VPN IPSec с возвратом на основной канал, когда тот снова будет доступен.

Предположим, имеется следующая схема:

Есть центральный офис, где установлен ZyWALL USG 100, который подключен к Интернету на стабильном высокопроизводительном канале с глобальным внешним IP-адресом. Локальная подсеть центрального офиса настроена на LAN1-интерфейсе (192.168.20.0/24). К ней же будет подключаться удаленный офис через туннель VPN IPSec.
Есть удаленный офис, в котором установлен ZyWALL USG 50. В удаленном офисе имеется подключение к двум Ethernet-провайдерам, которые подключены к интерфейсам WAN1 и WAN2 соответственно, а также 3g-подключение через USB-модем оператора мобильной связи (список поддерживаемых 3g-модемов можно посмотреть в характеристиках для любой модели ZyWALL USG на нашем сайте в Каталоге продукции). Локальная сеть удаленного офиса на интерфейсе LAN1 (192.168.10.0/24) подключается через туннель VPN IPSec к сети центрального офиса. 

Задача: Настроить тройное последовательное резервирование туннеля VPN IPSec (WAN1>WAN2>3G) и обратное переключение на интерфейсы WAN1/WAN2 в случае их восстановления.

Настройка аппаратного шлюза ZyWALL USG 100 центрального офиса

1. Настройка интерфейсов на ZyWALL USG 100. Для настройки интерфейсов зайдите в веб-конфигуратор устройства в меню Configuration > Network > Interface > закладка Ethernet.

2. Настройка туннеля VPN IPSec на ZyWALL USG 100. Зайдите в меню Configuration > VPN > IPSec > закладка VPNGateway для настройки VPN Gateway (фаза 1).

В настройках VPNGateway в разделе Gateway Settings IP-адресудаленного шлюза безопасности Peer Gateway Address не указывается, вместо этого установлено значение Dynamic Address (это необходимо,так как удаленный офис должен будет подключаться с разных внешних каналов с разными внешними IP-адресами, которые еще могут динамически меняться в рамках одного подключения).

Перейдите на закладку VPN Connection для настройки VPN Сonnection (фаза 2).

Так как внешний IP-адрес при резервировании в удаленном офисе будет меняться, в настройках VPN Сonnection в разделе VPN Gateway в поле Application Scenario нужно выбрать значение Site-to-sitewithDynamicPeer (в этом режиме ZyWALL USG 100 будет принимать подключения от удаленного офиса с любого внешнего IP-адреса). В разделе Policy нужно указать локальную (Local) и удаленную (Remote) подсеть.

Настройка аппаратного шлюза ZyWALL USG 50 удаленного офиса

1. Для настройки интерфейсов ZyWALL USG 50 зайдите в меню Configuration > Network > Interface > закладка Ethernet.

Для настройки 3g-интерфейса зайдите в меню Configuration > Network > Interface > закладка Cellular.

2. Зайдите в меню Configuration > Network > Interface > закладка Trunk для настройки транка.

Здесь нужно создать свой собственный транк (в нашем примере это TEST1) и включить в него интерфейсы wan1 иwan2 в режиме Active, а также 3g-интерфейс cellularв режиме Passive.
Внимание! В один транк можно включить только один пассивный интерфейс.

Дополнительную информацию по настройкам транка можно найти в статьях: «Настройка балансировки внешних интерфейсов в аппаратном шлюзе серии ZyWALL USG» и KB-2292
Также необходимо установить галочку в поле DisconnectConnectionsBeforeFallingBack (это нужно для того, чтобы VPN-туннель отключался от рабочего 3g-подключения и переходил на интерфейсы WAN1/WAN2, когда они восстанавливают свою работоспособность).

3. Настройка VPN IPSec на ZyWALL USG 50. Зайдите в меню Configuration > VPN > IPSec > закладка VPNGateway для настройки VPN Gateway (фаза 1).

Для того чтобы происходило последовательное переключение с одного интерфейса на другой во время резервирования, в разделе Gateway Settings в поле My Address нужно выбрать значение Domain Name / IP и указать 0.0.0.0. В этом случае устройство будет подставлять наименьший по метрике (наиболее приоритетный) интерфейс и таким образом в случае потери работы основного интерфейса будет пытаться поднять VPN-туннель со следующего по приоритетности интерфейса, пока не дойдет до последнего резервного 3g-подключения. Так как в центральном офисе на ZyWALL USG используется статический публичный IP-адрес, его нужно указать в поле Peer Gateway Address, выбрав Static Address.

Перейдите на закладку VPN Connection для настройки VPN Connection (фаза 2).

Здесь настраивается обычное подключение типа Site-to-site (в разделе VPN Gateway в поле Application Scenario), в поле VPN Gateway указывается настроенный ранее VPN Gateway, в разделе Policy прописываются локальная (Local) и удаленная (Remote) подсети.

4. Включение функции переключения VPN-туннеля при резервировании и его возвращение на основной канал через режим командной строки устройства.

Router> configureterminal      ---- включение режима конфигурирования

Router(config)# client-side-vpn-failover-fallback activate     ---- командавключающаяфункцию резервирования VPN (Внимание! Если после ввода команды устройство не переходит на следующую строку а выводит сообщение "ERROR: Parse error/command not found!" - это значит, что команда введена неверно) 

Router(config)# write     ---- сохранение настроек в текущий файл конфигурации (если этого не сделать, команда перестанет работать после перезагрузки устройства)


Выполним проверку тройного резервирования VPN-туннеля и последующего его возвращения на основной канал.

Для проверки со стороны локальной сети удаленного офиса (ZyWALL USG 50) был запущен постоянный пинг на хост из локальной сети центрального офиса с хоста 192.168.10.34 на хост 192.168.20.34, по которому виден весь процесс работы резервирования:

Pinging 192.168.20.34 with 32 bytes of data:

Reply from 192.168.20.34: bytes=32 time=14ms TTL=124
Reply from 192.168.20.34: bytes=32 time=4ms TTL=124
Reply from 192.168.20.34: bytes=32 time=4ms TTL=124
Reply from 192.168.20.34: bytes=32 time=4ms TTL=124
Reply from 192.168.20.34: bytes=32 time=4ms TTL=124
Reply from 192.168.20.34: bytes=32 time=4ms TTL=124
Reply from 192.168.20.34: bytes=32 time=4ms TTL=124
Reply from 192.168.20.34: bytes=32 time=4ms TTL=124
Reply from 192.168.20.34: bytes=32 time=4ms TTL=124
Reply from 192.168.20.34: bytes=32 time=4ms TTL=124
Reply from 192.168.20.34: bytes=32 time=4ms TTL=124
Reply from 192.168.20.34: bytes=32 time=4ms TTL=124
Reply from 192.168.20.34: bytes=32 time=4ms TTL=124
Reply from 192.168.20.34: bytes=32 time=4ms TTL=124
Reply from 192.168.20.34: bytes=32 time=4ms TTL=124
Reply from 192.168.20.34: bytes=32 time=4ms TTL=124
Reply from 192.168.20.34: bytes=32 time=3ms TTL=124
Reply from 192.168.20.34: bytes=32 time=3ms TTL=124
Reply from 192.168.20.34: bytes=32 time=3ms TTL=124

Request timed out.    ---- Отключение основного канала (WAN1)
Request timed out.

Reply from 192.168.20.34: bytes=32 time=5ms TTL=124     ---- Переход на резервный канал (WAN2)
Reply from 192.168.20.34: bytes=32 time=3ms TTL=124
Reply from 192.168.20.34: bytes=32 time=4ms TTL=124
Reply from 192.168.20.34: bytes=32 time=4ms TTL=124
Reply from 192.168.20.34: bytes=32 time=4ms TTL=124
Reply from 192.168.20.34: bytes=32 time=4ms TTL=124
Reply from 192.168.20.34: bytes=32 time=3ms TTL=124
Reply from 192.168.20.34: bytes=32 time=3ms TTL=124
Reply from 192.168.20.34: bytes=32 time=4ms TTL=124
Reply from 192.168.20.34: bytes=32 time=4ms TTL=124
Reply from 192.168.20.34: bytes=32 time=3ms TTL=124

Request timed out.     ---- Отключение резервного канала (WAN2)
Request timed out.

Reply from 192.168.20.34: bytes=32 time=259ms TTL=124     ---- Переход на резервный 3g-канал
Reply from 192.168.20.34: bytes=32 time=270ms TTL=124
Reply from 192.168.20.34: bytes=32 time=257ms TTL=124
Reply from 192.168.20.34: bytes=32 time=266ms TTL=124
Reply from 192.168.20.34: bytes=32 time=275ms TTL=124
Reply from 192.168.20.34: bytes=32 time=235ms TTL=124
Reply from 192.168.20.34: bytes=32 time=594ms TTL=124
Reply from 192.168.20.34: bytes=32 time=283ms TTL=124
Reply from 192.168.20.34: bytes=32 time=234ms TTL=124
Reply from 192.168.20.34: bytes=32 time=234ms TTL=124
Reply from 192.168.20.34: bytes=32 time=283ms TTL=124
Reply from 192.168.20.34: bytes=32 time=233ms TTL=124
Reply from 192.168.20.34: bytes=32 time=233ms TTL=124
Reply from 192.168.20.34: bytes=32 time=233ms TTL=124

Request timed out.     ---- Подключение основного канала (WAN1)

Reply from 192.168.20.34: bytes=32 time=4ms TTL=124     ---- Переход с резервного 3g-канала на WAN1-WAN2 (в зависимости от того, какой канал поднялся)
Reply from 192.168.20.34: bytes=32 time=4ms TTL=124
Reply from 192.168.20.34: bytes=32 time=4ms TTL=124
Reply from 192.168.20.34: bytes=32 time=13ms TTL=124
Reply from 192.168.20.34: bytes=32 time=4ms TTL=124
Reply from 192.168.20.34: bytes=32 time=4ms TTL=124
Reply from 192.168.20.34: bytes=32 time=4ms TTL=124
Reply from 192.168.20.34: bytes=32 time=4ms TTL=124


По задержкам пинга видно, что VPN-туннель последовательно переходит на 3g-подключение (WAN1>WAN2>3G) и затем происходит возврат на основной канал.

KB-2987

Была ли эта статья полезной?
Пользователи, считающие этот материал полезным: 0 из 0