(!) Использование Redund.GW в ZyWALL VPN Client

Можно ли использовать функцию резервирования основного шлюза VPN в программном VPN-клиенте ZyWALL VPN Client?


Да, программный VPN-клиент ZyWALL VPN Client имеет поддержку функции резервирования основного шлюза VPN.


Приведем пример использования данной функции в ZyWALL VPN Client.


Топология сети:



Описание задачи:

1. Пользователь имеет компьютер (PC) с установленным на нем программным VPN-клиентом ZyWALL IPsec VPN Client. Пользователь хочет организовать удаленный доступ к серверу (Server), который находится в локальной сети аппаратного шлюза ZyWALL 35. Для этого нужно установить туннель VPN между VPN-клиентом ZyWALL VPN Client и аппаратным шлюзом ZyWALL 35.
2. ZyWALL 35 имеет два WAN-интерфейса WAN1 и WAN2. ZyWALL IPsec VPN Сlient устанавливает туннель VPN с интерфейсом WAN1, но в случае если WAN1 становится недоступен, то ZyWALL IPsec VPN Client должен автоматически установить туннель VPN с интерфейсом WAN2.

Основные особенности данной задачи:

1. В ZyWALL IPsec VPN Client нужно будет использовать опцию Redund.GW для выполнения резервирования удаленного шлюза.
2. На ZyWALL 35 нужно установить в поле My Address значение 0.0.0.0 для выполнения резервирования на WAN-интерфейсе. 

Для решения поставленной задачи нужно выполнить указанные ниже действия.

Настройка ZyWALL IPsec VPN Client 

Шаг 1. Настройка Phase1 (Фаза1).



В поле Remote Gateway (Удаленный шлюз) укажите IP-адрес интерфейса WAN1 аппаратного шлюза ZyWALL 35.

Шаг 2. Настройка Advanced Settings... (Ф1 Дополнительно...)



В поле Redund.GW укажите IP-адрес интерфейса WAN2 аппаратного шлюза ZyWALL 35, который будет являться резервным, в случае если интерфейс WAN1 будет недоступен по какой-то причине.

Опция Redund.GW позволяет ZyWALL IPsec VPN Client устанавливать туннель IPSec с резервным (дублируемым) шлюзом, в случае если основной шлюз будет недоступен. Введите IP-адрес или доменнное имя (URL) резервного шлюза Redundant Gateway (например, router.dyndns.com).

(1) ZyWALL IPsec VPN Client будет использовать основной шлюз (WAN1) для установки VPN-туннеля. Если он станет недоступен, то будет использован резервный шлюз Redundant Gateway в качестве новой конечной точки VPN-туннеля.
(2) В случае если существует доступ к основному шлюзу (WAN1), но VPN-туннель при этом не устанавливается (например, проблема с настройками VPN), то VPN-клиент не будет пытаться установить VPN-туннель с резервным шлюзом. В этом случае нужно проверить настройки VPN.
(3) Если VPN-туннель установлен с основным шлюзом, который имеет поддержку функции DPD (Dead Peer Detection), то, когда основной шлюз станет недоступен (например, DPD определит отсутствие связи с удаленным шлюзом), VPN Client немедленно запускает установку нового VPN-туннеля с резервным шлюзом Redundant Gateway. 

Шаг 3. Настройка Phase2 (Фаза 2).



Шаг 4. Настройка Parameters.



Настройка аппаратного шлюза ZyWALL 35 

Шаг 1. Настройка ZyWALL > VPN > GATEWAY POLICY.



Шаг 2. Настройка ZyWALL > VPN > IPSec VPN > VPN Connection > Edit.



Значения параметров в настройках Phase1 (Фаза1) и Phase2 (Фаза2) должны совпадать с аналогичными настройками на другой стороне VPN-туннеля, в противном случае VPN-соединение не установится.


Проверка.


1. Нажмите кнопку Open Tunnel (Открыть Туннель) в ZyWALL IPsec VPN Client. В логах можно увидеть, что VPN-туннель установлен с интерфейсом WAN1.

Логи ZyWALL IPsec VPN Client:



20091230 202235 Default (SA Gateway1-P1) SEND phase 1 Main Mode [SA] [VID] [VID] [VID] [VID] [VID]
20091230 202235 Default (SA Gateway1-P1) RECV phase 1 Main Mode [SA] [VID] [VID] [VID] [VID]
20091230 202235 Default (SA Gateway1-P1) SEND phase 1 Main Mode [KEY_EXCH] [NONCE] [NAT_D] [NAT_D]
20091230 202235 Default (SA Gateway1-P1) RECV phase 1 Main Mode [KEY_EXCH] [NONCE] [NAT_D] [NAT_D]
20091230 202235 Default (SA Gateway1-P1) SEND phase 1 Main Mode [HASH] [ID] [NOTIFY]
20091230 202235 Default (SA Gateway1-P1) RECV phase 1 Main Mode [HASH] [ID] [NOTIFY]
20091230 202235 Default phase 1 done: initiator id 172.25.27.81, responder id 172.25.27.110
20091230 202235 Default (SA Gateway1-Tunnel1-P2) SEND phase 2 Quick Mode [HASH] [SA] [NONCE] [ID] [ID]
20091230 202235 Default (SA Gateway1-Tunnel1-P2) RECV phase 2 Quick Mode [HASH] [SA] [NONCE] [ID] [ID]
20091230 202235 Default (SA Gateway1-Tunnel1-P2) SEND phase 2 Quick Mode [HASH]



Захват пакетов на компьютере (PC):



2. Отключите Ethernet-кабель от интерфейса WAN1, чтобы данный интерфейс стал недоступен. После этого, просматривая логи, можно увидеть, что ZyWALL IPsec VPN Client устанавливает VPN-туннель с интерфейсом WAN2.

Логи ZyWALL IPsec VPN Client:



20091230 204605 Default (SA Gateway1-P1) SEND Informational [HASH] [NOTIFY] type DPD_R_U_THERE
20091230 204620 Default (SA Gateway1-P1) SEND Informational [HASH] [NOTIFY] type DPD_R_U_THERE
20091230 204635 Default <Gateway1-Tunnel1-P2> deleted
20091230 204635 Default <Gateway1-P1> deleted
20091230 204635 Default (SA Gateway1-P1) Remote gateway 172.25.27.110 did not answer: switching to redundant gateway 58.241.5.212
20091230 204635 Default (SA Gateway1-P1) SEND phase 1 Main Mode [SA] [VID] [VID] [VID] [VID] [VID]
20091230 204635 Default (SA Gateway1-P1) RECV phase 1 Main Mode [SA] [VID] [VID] [VID] [VID]
20091230 204635 Default (SA Gateway1-P1) SEND phase 1 Main Mode [KEY_EXCH] [NONCE] [NAT_D] [NAT_D]
20091230 204635 Default (SA Gateway1-P1) RECV phase 1 Main Mode [KEY_EXCH] [NONCE] [NAT_D] [NAT_D]
20091230 204635 Default (SA Gateway1-P1) SEND phase 1 Main Mode [HASH] [ID] [NOTIFY]
20091230 204635 Default (SA Gateway1-P1) RECV phase 1 Main Mode [HASH] [ID] [NOTIFY]
20091230 204635 Default phase 1 done: initiator id 172.25.27.81, responder id 58.241.5.212
20091230 204635 Default (SA Gateway1-Tunnel1-P2) SEND phase 2 Quick Mode [HASH] [SA] [NONCE] [ID] [ID]
20091230 204635 Default (SA Gateway1-Tunnel1-P2) RECV phase 2 Quick Mode [HASH] [SA] [NONCE] [ID] [ID]
20091230 204635 Default (SA Gateway1-Tunnel1-P2) SEND phase 2 Quick Mode [HASH]




Захват пакетов на компьютере (PC).


KB-1994

Была ли эта статья полезной?
Пользователи, считающие этот материал полезным: 0 из 0