Как да конфигурирате IPsec VPN failover с няколко връзки?

Тази статия описва стъпките за конфиграция на няколко IPsec VPN failover връзки. Ако връзката към Интернет ISP1 прекъсне, се осъществява failover връзка чрез ISP2.

Отнася се за следните версии и продукти на Sophos: 

Sophos Firewall 

Конфигуриране на защитна стена 1/ Firewall 1

Добавете локален и отдалечен LAN

1. Отидете в Hosts and Services > IP Host и изберете Add, за да създадете локален LAN.

2. Отидете в Hosts and Services > IP Host и изберете Add, за да създадете отдалечен LAN.

Създаване на IPsec VPN връзка

1. Отидете в VPN > IPsec Connections и изберете Add. Създайте връзката като следвате параметрите отдолу и използвате ISP1 като Listening Interface.

2. Създайте друга връзка като следвате параметрите отдолу и използвате ISP2 като Listening Interface.

3. Ще ви се покаже екрана:

4. Кликнете върху червената икона под Status (Active), за да активирате връзката.

Добавяне на две правила на защитната стена, позволяващи VPN трафик

1. Отидете в Firewall и кликнете върху +Add Firewall Rule. Създайте два User/Network Rule според снимките отдолу.

Конфигуриране на защитна стена 2/ Firewall 2

Добавете локален и отдалечен LAN

1. Отидете в Hosts and Services > IP Host и изберете Add, за да създадете локален LAN.

2. Отидете в Hosts and Services > IP Host и изберете Add, за да създадете отдалечен LAN.

Създаване на IPsec VPN връзка

1. Отидете в VPN > IPsec Connections и изберете Add. Създайте връзката като следвате параметрите отдолу и използвате ISP1 като Gateway Address.

2. Създайте друга връзка като следвате параметрите отдолу и използвате ISP2 като Gateway Address.

3. Ще ви се покаже екрана:

4. Под секция Failover Group, изберете Add.
5. Конфигурирайте Failover Group както е показано на снимката отдолу и кликнете върху Save.

Забележка: Започвайки от SFOS версия 17.5, може да разрешите опцията Automatic failback, автоматично да се възвърне към основната IPsec връзка след възстановяването ѝ.

6. Ще ви се покаже екрана за секция Failover Group:

7. Кликнете върху червената икона под Status на Failover Group, която създадохте, за да активирате и установите основната връзка.

Добавяне на две правила на защитната стена, позволяващи VPN трафик

1. Отидете в Firewall и кликнете върху +Add Firewall Rule. Създайте два User/Network Rule според снимките отдолу.

Резултати

Направете ping тест от машината със Sophos Firewall 1 към машината със Sophos Firewall 2 и обратно.

(кликнете върху изображенията за пълен размер)

Отидете в Firewall и проверете дали VPN правилата позволяват входящ и изходящ трафик.

Отидете в Reports > VPN и проверете използваемостта на IPsec.

Кликнете върху името на връзката за по-подробна информация

Всеки път, когато връзката към Интернет ISP1 прекъсне, Ipsec връзката ще осъществява връзка чрез ISP2.

Забележки:

• Уверете се, че правилата на защитната стена за VPN за най-отгоре в листа за правила.

• В конфигурациите на двата офиса - главен и клон-офис, Защитната стена на клон-фиса ще действа като инициатор на връзката (тунела), а защитната стена на главния офис като отговорник поради следните причини:

  • Когато устройство от клон-офиса е конфигурирано с динамичен IP адрес, устройството от главния офис не може да бъде инициатор на връзката.

  • Ако броят на клон-офисите варира, е препоръчително всеки клон-офис да опита отново да установи връзка с главния офис, вместо главния офис да опитва установяване на връзки с всички клон-офиси.

Ръководството на английски език: Sophos XG Firewall: How to configure an IPsec VPN failover with multiple connections

Свързани материали