Подробную инструкцию по настройке VPN-соединений и виртуальных маршрутизаторов читайте в UserGate 6. Руководство администратора.
Рассмотрим создание отказоустойчивого VPN-соединения между двумя UserGate с использованием сетей двух провайдеров.
Исходные данные. Создано соединение между 2-мя UserGate: UserGate VPN Server - UserGate, за которым подключена локальная сеть офиса c IP-адресом 10.10.6.0/24 и UserGate VPN Client - UserGate, за которым подключена локальная сеть филиала c IP-адресом 10.10.2.0/24.
Между офисом и филиалом подняты VPN-туннели через разных провайдеров с адресами 172.30.251.0/24 (для резервного канала) и 172.30.252.0/24 (для основного подключения). На обоих UserGate были произведены сетевые настройки. На каждом UserGate для выхода в сети провайдеров были указаны шлюзы: на UserGate VPN Server - 10.10.9.9 и 10.10.12.12; на UserGate VPN Client - 10.10.7.7 и 10.10.11.11. Для резервирования маршрутов через туннели VPN предлагается использовать GRE over IPsec и протокол динамической маршрутизации (подробнее о настройке читайте в главе Настройка GRE over IPsec с OSPF).
На обоих UserGate в разделе Сеть --> Виртуальные маршрутизаторы были настроены статические маршруты.
Маршруты на UserGate VPN Server.
-
Выход в сеть 10.10.11.0/24 через интерфейс с адресом 10.10.12.12.
-
Выход в сеть 10.10.7.0/24 через интерфейс с адресом 10.10.9.9.
Маршруты на UserGate VPN Client.
-
Выход в сеть 10.10.12.0/24 через интерфейс с адресом 10.10.11.11.
-
Выход в сеть 10.10.9.0/24 через интерфейс с адресом 10.10.7.7.
На каждом из UserGate в разделе Политики сети --> NAT и маршрутизация были настроены правила типа Policy-based routing.
Правила Policy-based routing, предназначенные для основного канала связи, сценариев не используют. Правило, настроенное на UserGate VPN Server и предназначенное для резервного канала связи, настроено на негативный сценарий с проверкой связи до внешнего IP-адреса основного канала UserGate VPN Client.
Правило, настроенное на UserGate VPN Client и предназначенное для резервного канала связи, настроено на негативный сценарий с проверкой связи до внешнего IP-адреса основного канала UserGate VPN Server. Т.к. правило основного канала не использует сценариев, то правило, настроенное для резервного канала, необходимо поставить выше.
Сценарии можно добавить и настроить в разделе Политики безопасности --> Сценарии. Во вкладке Общие указать, что сценарий должен применяться для всех пользователей в течение 2-х минут. Во вкладке Условия выбрать Проверка состояния и указать следующие параметры.
-
Метод: ping.
-
Адрес: 10.10.7.8 (при настройке добавлении сценария на UserGate VPN Server) и 10.10.9.8 (при настройке добавлении сценария на UserGate VPN Client).
-
Шлюз: 10.10.9.9 (при настройке добавлении сценария на UserGate VPN Server) и 10.10.7.7 (при настройке добавлении сценария на UserGate VPN Client).
-
Результат: отрицательный.
-
Таймаут подключения: 1 сек.
-
Количество срабатываний: 1.
-
За интервал: 1.
Создание сценария на UserGate VPN Server:
Переход на резервный канал при разрыве соединения в основном происходит за счёт срабатывания негативного сценария в правиле Policy-based routing резервного канала. Срабатывание сценария произойдет при отрицательном результате ping с UserGate VPN Client до внешнего IP-адреса основного канала UserGate VPN Server или с UserGate VPN Server до внешнего IP-адреса основного канала UserGate VPN Client. Таким образом, в результате выполнения сценария будет добавлен маршрут до сети филиала либо офиса с более высоким приоритетом через шлюз запасного VPN.
После восстановления основного канала связи через 2 минуты сценарий отключается и удаляет созданный ранее маршрут. Запросы начинают проходить через основной канал.