Atsakymas:
Antud juhend näitab, kuidas on võimalik paigaldada kahele tulemüürile ümberlülitus IPSec VPN tõrke korral kahe WAN kanali vahel. Kui üks WAN kanalitest tõrgub, suunatakse kogu VPN võrguliiklus reaalaja režiimis teisele tagavarakanalile. Kui tõrkunud kanal uuesti tööle hakkab, tuleb võrguliiklus tagasi algsele WAN kanalile.
Üksikasjad siinse juhendi juurde:
- Kahele tulemüürile loodud WAN kanalid ümberlülitumiseks tõrke korral. Üks – põhikanal (main circuit) ja teine – varukanal (backup circuit).
- Kogu võrguliiklus võrkudevahelise ekraani A (Firewall A) ja võrkudevahelise ekraani В (Firewall B) vahel edastatakse läbi IPSec VPN-tunneli.
1. Tulemüür A – Aadressite seadistamine.
Avage Objects ->Address book -> InterfaceAddresses:
Edit the following items:
Muutke väärtus lan_ip aadressil 192.168.1.1
Muutke väärtus lannet aadressil 192.168.1.0/24
Muutke wan1_ip väärtus aadressil 192.168.110.1
Muutke wan1net väärtus aadressil 192.168.110.0/24
Muutke wan2_ip väärtus aadressil 192.168.120.1
Muutke wan2net väärtus aadressil 192.168.120.0/24
Lisage uus kaust Address Folder RemoteHosts nimi all.
Uues kaustas lisage järgmised uued objektid IP Address
Name: fwB-IPSec-remote-net
IP Address: 192.168.2.0/24
Name: fwB-main-remote-gw
IP Address: 192.168.110.254
Name: fwB-backup-remote-gw
IP Address: 192.168.120.254
Vajutage OK.
2. Tulemüür А - Pre-shared keys
Avage Objects -> Authentication Objects -> Pre-Shared keys.
Lisage järgmised võtmed Pre-Shared Key mõlema IPSec tunneli jaoks.
General (üldseadistused):
Name: fwB-main-psk
Name: fwB-backup-psk
Shared secret (Jagatud saladus, parool):
Valige Passphrase ja sisestage parool määratud võtmete jaoks Pre-shared key.
Vajutage OK.
3. Tulemüür A – Peamine IPsec-liides
Looge peamine tunnel Main IPSec Tunnel:
Avage Interfaces -> IPsec.
Lisage uus tunnel IPsec Tunnel Main WAN link jaoks (peamise WAN kanali).
Vahelehel General (üldseadistused):
General (üldseadistused):
Name: Main-IPSec-tunnel
Local Network: lannet
Remote Network: fwB-IPSec-remote-net
Remote Endpoint: fwB-main-remote-gw
Encapsulation Mode: Tunnel
Algorithms (Algoritmid):
IKE Algorithms: High
IKE Life Time: 28800
IPsec Algorithms: High
IPsec Life Time: 3600
IPsec Life Time: 0
Authentication (Autentimine): Valige Pre-Shared Key ja fwB-psk. Valige Auto. Veenduge, et valik "Add route for remote network" on märkimata, kuna antud marsruudil ei ole jälgimisfunktsiooni.
Vajutage Ok.
4. Tulemüür A - IPSec ja Lan liidese kombinatsioon Lisage uus grupp InterfaceGroup : Name: IPSec-Lan-Group 5. Tulemüür A - Reeglid Looge uus kaust IP Rules Folder nime lan_to_fwB-IPSec all. Name: allow_Lan_to_fwB-IPSec 6. Tulemüür A - käsitsi marsruudi lisamine liidese monitoorimiseks
Avage Routing -> Routing Tables. Vajutage main marsruutimistabeli peale Vahelehel General (Üldseadistused): Interface: Main-IPSec-tunnel Network: fwB-IPSec-remote-net Metric: 60 Veenduge, et "Monitor This Route" ja "Monitor Interface Link Status" optsioonid on välja lülitatud. Vahelehel General (üldseadistused): Interface: Backup-IPSec-tunnel Veenduge, et "Monitor This Route" ja "Monitor Interface Link Status" funktsioonid on välja lülitatud. 7. Tulemüür B – Aadressite seadistamine Tehke järgmised muudatused: 8. Tulemüür B - Pre-shared keys Lisage järgmised uued võtmed Pre-Shared Key mõlema IPSec tunneli jaoks General (Üldseadistused): 9. Tulemüür B – Peamine IPsec liides Lisage uus tunnel IPsec Tunnel peakanali WAN jaoks. Name: Main-IPSec-tunnel IKE Algorithms: High Valige Pre-Shared Key ja fwA-psk. Valige Auto. Veenduge, et valik "Add route for remote network" on märkimata, kuna antud marsruudil ei ole jälgimisfunktsiooni. 10. Tulemüür B - IPSec ja Lan liidese kombinatsioon Lisage uus grupp InterfaceGroup: Name: IPSec-Lan-Group 11. Tulemüür B - Reeglid Looge uus kaust IP Rules Folder nime lan_to_fwA-IPSec all Name: allow_Lan_to_fwA-IPSec 12. Tulemüür B - käsitsi marsruudi lisamine liidese monitoorimiseks
Avage Routing -> Routing Tables. Vajutage main marsruutimistabeli peale Vahelehel General (Üldseadistused): Interface: Main-IPSec-tunnel Veenduge, et "Monitor This Route" ja "Monitor Interface Link Status" optsioonid on välja lülitatud. Vahelehel General (Üldseadistused): Interface: Backup-IPSec-tunnel Veenduge, et "Monitor This Route" ja "Monitor Interface Link Status" optsioonid on välja lülitatud.
Keep-alive (Loodud ühenduse toetuse element.):
Advanced:
Avage Interfaces -> Interface Groups.
Valige liidesed:
Backup-IPSec-tunnel
Main-IPSec-tunnel
Lan
Vajutage Ok.
Avage Rules -> IP Rules.
Uues kaustas looge uus reegel IP Rule.
Vahelehel General (üldseadistused):
General (üldseadistused):
Action: Allow
Service: all_services
Source Interface: IPSec-Lan-Group
Source Network: all-nets
Destination Interface: IPSec-Lan-Group
Destination Network: all-nets
Vajutage OK.
Lisage uus marsruut Route peamise IPSec tunneli jaoks
General (Üldseadistused):
Vahelehel Monitor (Jälgimine):
Monitor (Jälgimine):
Vajutage Ok. Looge veel üks marsruut Route varutunneli IPSec jaoks
General (üldseadistused):
Network: fwB-IPSec-remote-net
Metric: 70
Vahelehel Monitor (Jälgimine):
Monitor (Jälgimine):
Vajutage Ok.
Salvestage ja aktiveerige tulemüüri A konfiguratsioon.
Avage Objects ->Address book -> InterfaceAddresses:
Muutke väärtus lan_ip väärtuse 192.168.2.1 peale
Muutke väärtus lannet väärtuse 192.168.2.0/24 peale
Muutke väärtus wan1_ip väärtuse 192.168.110.254 peale
Muutke väärtus wan1net väärtuse 192.168.110.0/24 peale
Muutke väärtus wan2_ip väärtuse 192.168.120.254 peale
Muutke väärtus wan2net väärtuse 192.168.120.0/24 peale
Lisage uus kaust Address Folder nime RemoteHosts all
Uues kaustas lisage järgmised objektid IP Address
Name: fwA-IPSec-remote-net
IP Address: 192.168.1.0/24
Name: fwA-main-remote-gw
IP Address: 192.168.110.1
Name: fwA-backup-remote-gw
IP Address: 192.168.120.1
Vajutage OK.
Avage Objects -> Authentication Objects -> Pre-Shared keys
Name: fwA-main-psk
Name: fwA-backup-psk
Shared secret (parool):
Valige Passphrase ja sisestage paroolid varem loodud objektide Pre-shared key sisse
Vajutage Ok.
Looge peamine IPSec tunnel:
Avage Interfaces -> IPsec.
Vahelehel General (Üldseadistused):
Local Network: lannet
Remote Network: fwA-IPSec-remote-net
Remote Endpoint: fwA-main-remote-gw
Encapsulation Mode: Tunnel
Algorithms (Algoritmid):
IKE Life Time: 28800
IPsec Algorithms: High
IPsec Life Time: 3600
IPsec Life Time: 0
Authentication (Autentimine):
Keep-alive (Loodud ühenduse toetuse element):
Advanced:
Vajutage Ok.
Avage Interfaces -> Interface Groups.
Valige liidesed:
Backup-IPSec-tunnel
Main-IPSec-tunnel
Lan
Vajutage Ok.
Avage Rules -> IP Rules.
Uues kaustas looge uus reegel IP Rule.
Vahelehel General (Üldseadistused):
General (Üldseadistused):
Action: Allow
Service: all_services
Source Interface: IPSec-Lan-Group Source Network: all-nets Destination Interface: IPSec-Lan-Group Destination Network: all-nets
Vajutage OK.
Lisage uus marsruut Route peamise IPSec tunneli jaoks
General (Üldseadistused):
Network: fwA-IPSec-remote-net
Metric: 60
Vahelehel Monitor (jälgimine):
Monitor (jälgimine):
Vajutage Ok.
Looge veel üks marsruut Route IPSec varutunneli jaoks
General (Üldseadistused):
Network: fwA-IPSec-remote-net
Metric: 70
Vahelehel Monitor (Jälgimine)
Monitor (Jälgimine):
Vajutage Ok.
Salvestage ja aktiveerige tulemüüri B konfiguratsioon.