ZyWALL 310 и USG60W - как настроить VPN через основной и резервный каналы?
Настройки
Finn
Публикаций: 5
Раздел: Техническая поддержка
Какой сценарий настройки предлагается для такой схемы:
сеть филиала (USG60W) подключается к сети ЦО (ZyWALL 310) через интернет и VPN IPSec. Между устройствами есть два канала - основной по проводу с белым static IP, второй - через 4G модем с dynamic IP. Хотелось бы, чтобы трафик ходил через провод, а при падении - через 4G модем.
Сейчас для этого настроены с каждой стороны по два VPN шлюза и по два соединения соответственно. Со стороны филиала - через интерфейс WAN1 и cellular1 в транке с указанием active/passive, а со стороны ЦО - site-by-site и site-by-site with dynamic peer. Сначала работал только канал 4G. все работало. Потом включили проводное соединение. На стороне ЦО появилось соединение через site-by-site с белым static IP филиала. Вроде, все хорошо, трафик ходит.
Решили попробовать посмотреть что будет, если канал через модем пропадет. На USG60W через WEB-интерфейс "Модемы 3G/4G" деактивировали USB модем. После этого локальная сеть филиала стала не видна. Но интернет в филиале есть. VPN соединение site-by-site с белым static IP филиала поднимается. Т.е. роутер филиала видит роутер ЦО.
Смотрю маршруты. В разделе "Обзор маршрутизации" ZyWALL 310 в закладке Dynamic VPN отображаются маршруты для локальной сети филиала через туннель VPN соединения site-by-site with dynamic peer, т.е. для 4G модема, который отключен. После деактивации VPN шлюза и соединения для 4G модема на стороне ЦО в ZyWALL 310 эти маршруты все равно отображаются.
Вопросы:
1. Как правильно настроить ZyWALL 310 и USG60W для такого сценария? При этом соединение должно сохраняться если один из каналов падает из-за пропадания интернета, или кто-то вытащил кабель, или вытащил модем.
2. Как проверить текущую действующую маршрутизацию на ZyWALL 310 в ЦО для локальной сети филиала?
3. Как убрать маршруты, отображающиеся во вкладке Dinamic VPN в разделе "Обзор маршрутизации"?
сеть филиала (USG60W) подключается к сети ЦО (ZyWALL 310) через интернет и VPN IPSec. Между устройствами есть два канала - основной по проводу с белым static IP, второй - через 4G модем с dynamic IP. Хотелось бы, чтобы трафик ходил через провод, а при падении - через 4G модем.
Сейчас для этого настроены с каждой стороны по два VPN шлюза и по два соединения соответственно. Со стороны филиала - через интерфейс WAN1 и cellular1 в транке с указанием active/passive, а со стороны ЦО - site-by-site и site-by-site with dynamic peer. Сначала работал только канал 4G. все работало. Потом включили проводное соединение. На стороне ЦО появилось соединение через site-by-site с белым static IP филиала. Вроде, все хорошо, трафик ходит.
Решили попробовать посмотреть что будет, если канал через модем пропадет. На USG60W через WEB-интерфейс "Модемы 3G/4G" деактивировали USB модем. После этого локальная сеть филиала стала не видна. Но интернет в филиале есть. VPN соединение site-by-site с белым static IP филиала поднимается. Т.е. роутер филиала видит роутер ЦО.
Смотрю маршруты. В разделе "Обзор маршрутизации" ZyWALL 310 в закладке Dynamic VPN отображаются маршруты для локальной сети филиала через туннель VPN соединения site-by-site with dynamic peer, т.е. для 4G модема, который отключен. После деактивации VPN шлюза и соединения для 4G модема на стороне ЦО в ZyWALL 310 эти маршруты все равно отображаются.
Вопросы:
1. Как правильно настроить ZyWALL 310 и USG60W для такого сценария? При этом соединение должно сохраняться если один из каналов падает из-за пропадания интернета, или кто-то вытащил кабель, или вытащил модем.
2. Как проверить текущую действующую маршрутизацию на ZyWALL 310 в ЦО для локальной сети филиала?
3. Как убрать маршруты, отображающиеся во вкладке Dinamic VPN в разделе "Обзор маршрутизации"?
0
All Replies
-
Конфигурация шлюзов для такого сценария описана в статье нашей Базы Знаний:
Как настроить отказоустойчивое соединение VPN-клиента?
Отвечая на ваши вопросы:
1. См. указанную выше статью. Сообщите, если по каким-то причинам этот сценарий вам не подходит.
2. В разделе "обзор маршрутизации".
3. В данным момент мы общаемся с разработчиками по этому вопросу. Отвечу позже.0 -
Читал ее. Не работает. Транк - два интерфейса. WAN1 - active и cellular1 - passive. Weighted Round Robin.
Один VPN шлюз Доменное имя/IPv4-адрес 0.0.0.0. Возврат на основной шлюз, если он доступен- check.
В соединении VPN прописаны сети local и удаленного офиса. Когда вынимаю кабель из WAN1 - модем работает, VPN подымается, а пинги в офис не идут.0 -
В процессе анализа ситуации получается следующее:
1. Настраиваем шлюз с обеих сторон под фиксированный IP адрес. Сценарий сеть-сеть. Интерфейс берем WAN1 с постоянным IP. В политиках маршрутизации ничего не пишем (зачем, если при подъеме соединения маршруты должны сами прописаться). Подымаем соединение - работает.
2. Теперь меняем настройки: На филиале меняем в настройках шлюза VPN не интерфейс, а динамический адрес 0.0.0.0. Все равно выходить в интернет будет через WAN1, но мы же хотим сделать так, чтобы на стороне головного офиса было не важно откуда придет соединение. В ЦО меняем в шлюзе "Адрес удаленного шлюза: Динамический IP адрес". В соединении ставим сценарий сеть-сеть с динамическим пиром, выбираем настроенный шлюз. Подымаем соединение - соединились. Пакеты не ходят. Смотрим на удаленной стороне маршруты - в разделе Site-to-site VPN сети прописаны с шлюзом настроенного туннеля. Смотрим ЦО - в разделе Dynamic VPN сети прописаны с шлюзом настроенного туннеля. В мониторинге VPN есть соединение, удаленный адрес указан верно с пометкой
. Что не так?
Насущный вопрос: есть ли в CLI какая-нибудь команда, которая выведет все реально действующие маршруты роутера на текущий момент? И политики, и статику, и динамику - все. Иначе непонятно как анализировать проблему.
Еще вопрос: если, все-таки, удастся реализовать сценарий подключения филиала по отказоустойчивому транку из двух интерфейсов - WAN1 и cellular, а потом захочется тиражировать это на все филиалы - как ZyXEL поймет каким шлюзом обрабатывать входящие соединения? Куда ключ подойдет или по каким-то другим критериям?0
Zyxel Employee
Ally Member
