Особенности настройки Site-to-Site VPN в конфигурации с кластером отказоустойчивости

Подробнее о настройке Site-to-Site VPN и кластера отказоустойчивости читайте в Руководстве администратора.

При настройке соединения Site-to-Site VPN между двумя кластерами отказоустойчивости каждый узел кластера, выступающий в роли VPN-клиента, создает своё соединение с активным узлом кластера VPN-сервера. Необходимо привязать ответный трафик со стороны серверов к узлу, через который подключился клиент. 

1. На узлах кластера VPN-сервера необходимо проверить настройки сети VPN, для этого в разделе VPN ➜ Сети VPN открыть свойства VPN-сети и проверить размер диапазона IP-адресов. Количества IP-адресов должно быть достаточно для подключения всех узлов VPN-клиентов.

2. На узлах кластера VPN-клиента необходимо создать два правила NAT:

• Правило NAT из всех разрешенных зон в зону интерфейса tunnel, используемого в клиентском правиле. 

• Правило NAT из зоны интерфейса tunnel, используемого в клиентском правиле, во все разрешенные зоны.

Настройка правил NAT необходима для того, чтобы сервер для отправки ответов клиенту использовал тот же узел, на котором были получены запросы от клиента. Поле SNAT в правилах должно оставаться пустым.

3. При работе с кластерами отказоустойчивости Актив-Актив на узлах кластера VPN-сервера необходимо дополнительно создать правило NAT из зоны интерфейса tunnel, используемого в серверном правиле, во все разрешенные зоны без указания адреса SNAT.