Настройка VPN с передачей маршрутов по OSPF для своевременного переключения активного туннеля

ID статьи: 1316
Последнее обновление: 05 фев, 2024
KnowledgeBase:
Product: NGFW
Version: 6.x, 7.x
Technology: VPN

Конфигурация

В данном примере рассматривается кластер из двух узлов (NGFW 1, NGFW 2), которые являются vpn-серверами и один удаленный узел (NGFW 3), выполняющий роль vpn-клиента. В примере использована версия ПО UserGate 6.1.9.

Информацию по общим настройкам соединения Site-to-Site можно найти в статье: VPN для защищенного соединения офисов (Site-to-Site VPN). 

Для корректной работы схемы понадобятся два клиентских и два серверных правила.

Настройки на стороне VPN-сервера

  1. В разделе Сеть —> Зоны в зоне, через которую будет строиться туннель, разрешить сервис VPN.

  2. В разделе Политики сети —> Межсетевой экран создать разрешающие правила из нужных зон в зону VPN и обратно. 

  3. В разделе VPN —> Профили безопасности создать профиль безопасности, как указано в статье VPN для защищенного соединения офисов (Site-to-Site VPN). (ВАЖНО! Интервал проверки Dead Peer Detection необходимо поставить равным 0)

  4. В разделе Сеть —> Интерфейсы включить/создать интерфейсы tunnel2 и tunnel3, режим адресации — статический. Указать IP-адреса для этих интерфейсов из разных подсетей, например: 172.30.255.1 и 172.30.250.1, маска 255.255.255.252. Выбрать зону VPN for Site-to-Site.

  1. В разделе VPN —> Сети VPN cоздать сети VPN, в которых необходимо указать диапазоны подсетей, в которых находятся туннельные интерфейс, например:

  1. В разделе VPN —> Серверные правила создать два серверных правила:  зона источника — Untrusted, в качестве адреса назначения указывается физический ip адрес внешнего интерфейса. На каждое правило разный узел. Указать на каждое правило свой интерфейс tunnel и соответствующую ему сеть, например:

Настройки на стороне VPN-клиента

  1. Аналогично стороне VPN-сервера, разрешить сервис VPN в зоне Untrusted и создать правила межсетевого экрана.

  2. Создать профиль безопасности, аналогичный серверному.

  3. Настроить туннельные интерфейсы, обязательно с адресацией в статическом режиме:

  1. Создать два клиентских правила до каждого VPN-сервера по соответствующему туннелю.

  1. Чтобы туннели корректно работали, необходимо, чтобы они строились с разных IP-адресов. На узле VPN-клиента можно использовать secondary адрес или адрес второго провайдера. Также можно создать VIP-адрес с помощью кластера отказоустойчивости. Необходимо создать правило NAT, где в SNAT IP указывается второй (запасной) IP-адрес, а в назначении указать один из VPN-серверов. Таким образом строится два независимых туннеля.

OSPF

Необходимо настроить OSPF, чтобы на мастер-узле метрики были автоматически в 2 раза ниже, чем на резервном узле. Так при переходе мастера на клиент придут актуальные маршруты. Общее описание настройки OSPF смотрите в статье Виртуальные маршрутизаторы.

Настройки на стороне VPN-сервера

  1. В разделе Сеть —> Зоны разрешить OSPF в зоне с VPN.

  2. В разделе Сеть —> Виртуальные маршрутизаторы выбрать Виртуальный маршрутизатор по умолчанию, сверху в выпадающем меню Настройки выбрать OSPF. Поставить флажок Включить. В поле Идентификатор маршрутизатора можно указать физический адрес узла; главное, что он должен быть уникален для каждого узла. Значение раздела Redistribute по документации, кратко: connected — маршруты до подключенных сетей; kernel — маршруты, прописанные статически.

  1. Во вкладке Интерфейсы добавить интерфейс tunnel, соответствующий данному узлу. В данном примере для узла 192.168.122.83 добить интерфейс tunnel2. Также, если мы хотим передавать маршрут в подсеть за конкретным интерфейсом, добавить и его. В примере добавили port2, за которым находится сеть 10.10.20.0/24.

  1. Во вкладке Области добавить область, в поле Идентификатор области поставить 0.

  1. Во вкладке Интерфейсы выбираем добавленные интерфейсы.

  1. На втором узле делаем аналогичные действия, но в поле Идентификатор маршрутизатора указываем его физический адрес, а во вкладке Интерфейсы  — его туннель.

Настройки на стороне VPN-клиента

  1. Алгоритм такой же, как и для сервера, но необходимо добавить уже оба туннеля сразу. Также в примере добавили port2, за которым находится сеть 100.100.100.0/24

  2. После этого соседство должно установиться.

  3. Проверка работы туннелей из CLI клиентского узла:

  1. На узле VPN-клиента перейти в раздел Диагностика и мониторинг —> Маршруты. Нажать на значок фильтра и добавить OSPF, после чего должны появиться маршруты полученные посредством OSPF:

Как видно на примере выше, клиент получил маршрут в подсеть 10.10.20.0/24, находящуюся за сервером. Маршрут ведет в интерфейс tunnel3, который на данный момент соответствует активному узлу.

Результат просмотра маршрутов после инициации отключения мастер-узла:

Маршрут был перестроен в другой туннель, который теперь соответствует новому мастер-узлу.

Эта статья была:   Полезна | Не полезна
Сообщить об ошибке
ID статьи: 1316
Последнее обновление: 05 фев, 2024
Ревизия: 12
Просмотры: 1509
Комментарии: 0
Теги

Также опубликовано в