Configurar Failover de VPN

Su Firebox puede finalizar una VPN en solo una interfaz por vez. No obstante, si un dispositivo tiene más de una interfaz externa y una no está disponible, su Firebox puede intentar negociar la VPN a través de una interfaz externa diferente. También puede usar un módem para failover de VPN si habilitó la conmutación por error en el módem en el Firebox.

La conmutación por error es una función importante de redes que necesitan alta disponibilidad. Cuando tiene una conmutación por error de multi-WAN configurada, los túneles VPN automáticamente hacen la conmutación por error hacia una interfaz externa de resguardo, en el caso de que ocurra una falla. Puede configurar túneles VPN para hacer conmutación por error a un endpoint de resguardo si el endpoint principal queda no disponible.

Este tema se aplica solamente a túneles VPN manuales. Si tiene multi-WAN configuradas y crea túneles administrados, el WSM automáticamente configura los pares de puertas de enlace que incluyan las interfaces externas de ambas extremidades del túnel. No hace falta ninguna otra configuración.

Ocurre un failover de VPN cuando se da uno de esos dos eventos:

Un enlace físico está inactivo. El Firebox monitorea el estado de la puerta de enlace de la VPN y los dispositivos identificados en la configuración del monitor de enlace multi-WAN. Si en enlace físico está inactivo, ocurre un failover de VPN.
El Firebox detecta que el par VPN no está activo.

Cuando se produce una conmutación por error, si el túnel usa el IKE keep-alive, el IKE continúa enviando paquetes keep-alive Fase 1 al par. Cuando obtiene una respuesta, IKE desencadena la conmutación por recuperación hacia la puerta de enlace de la VPN principal. Si el túnel usa Dead Peer Detection, la conmutación por recuperación ocurre cuando se recibe una respuesta de una puerta de enlace de la VPN principal.

Cuando ocurre un evento de conmutación por error, gran parte de las conexiones nuevas y existentes hacen la conmutación por error automáticamente. Por ejemplo, si inicia un comando "PUT" de FTP y la ruta de la VPN principal queda inactiva, la conexión de FTP continúa en la ruta de la VPN de resguardo. No se ha perdido la conexión, pero hay demora.

Requisitos para failover de VPN:

Los dispositivos en cada endpoint del túnel deben ser Firebox con el Fireware v11.0 o superior instalado.
La conmutación por error de multi-WAN se debe configurar tal como se describe en Acerca de Multi-WAN.
Las interfaces de su Firebox deben estar indicadas como puertas de enlaces pares en el Firebox remoto. Si ya configuró la conmutación por error de multi-WAN, sus túneles VPN automáticamente harán la conmutación por error hacia la interfaz de resguardo.
El DPD debe estar habilitado en las configuraciones Fase 1 para la puerta de enlace de sucursal en cada extremo del túnel.
Cada par de direcciones de puerta de enlace debe incluirse en el mismo orden en que aparecen los Endpoints de Puerta de Enlace en ambos Fireboxes.

No se admite el failover de VPN para las conexiones VPN con un dispositivo de terceros.

El failover de VPN no se produce en los túneles BOVPN con NAT dinámica habilitada como parte de su configuración de túnel. Para los túneles BOVPN que no usan NAT, el failover de VPN ocurre y la sesión de BOVPN continua. Con los túneles de Mobile VPN, la sesión no continúa. Debe autenticar su cliente de Mobile VPN nuevamente para hacer un nuevo túnel de Mobile VPN.

Definir Pares de Puerta de Enlace Múltiples

En la configuración de la puerta de enlace de VPN de sucursal, puede agregar más de una serie de endpoints locales y remotos (pares de endpoints de puerta de enlace) si cada dispositivo de endpoint tiene más de una interfaz externa que pueda utilizarse para enviar y recibir negociaciones IKE. Para configurar túneles BOVPN manualmente para que hagan la conmutación por error hacia un endpoint de resguardo, se debe definir más de un conjunto de endpoints local y remoto (pares de puertas de enlace) para cada puerta de enlace de VPN de sucursal que utilicen los túneles.

Si tiene multi-WAN configuradas y crea túneles administrados, el WSM automáticamente configura los pares de puertas de enlace que incluyan las interfaces externas de ambas extremidades del túnel. No hace falta ninguna otra configuración.

Para la funcionalidad completa de conmutación por error para una configuración de VPN, debe definir pares de puerta de enlace para cada combinación de interfaces externas en cada lado del túnel. Por ejemplo, considere dos Firebox, cada uno con dos interfaces externas.

Firebox local

Dirección IP de interfaz externa primaria: 203.0.113.2

Dirección IP de interfaz externa secundaria: 192.0.2.1

Firebox remoto

Dirección IP de interfaz externa primaria: 198.51.100.2

Dirección IP de interfaz externa secundaria: 192.0.2.2

Para una conmutación por error VPN completa, debe agregar cuatro pares de puerta de enlace de la sucursal en el Firebox local:

203.0.113.2 — 198.51.100.2
203.0.113.2 — 192.0.2.2
192.0.2.1 — 198.51.100.2
192.0.2.1 — 192.0.2.2

Para establecer la configuración de los endpoints de las puertas de enlace desde Fireware Web UI:

Seleccione VPN > VPN de Sucursal.
En la lista de Puertas de enlace, haga clic en Agregar para agregar una nueva puerta de enlace. Asigne un nombre a la puerta de enlace y defina el método de credenciales, tal como se describe en Configurar Puertas de Enlace BOVPN Manuales.
En la sección Endpoints de Puerta de Enlace, haga clic en Agregar.
Aparece el cuadro de diálogo Configuraciones de Endpoints de la Puerta de Enlace.

Screen shot of the Gateway Endpoint Settings, Local Gateway tab

Especifique la ubicación de la puerta de enlace local. En la lista desplegable Interfaz Externa, seleccione el nombre de la interfaz externa que coincida con la dirección IP de la puerta de enlace local o el nombre de dominio que agregue.
Seleccione la pestaña Puerta de Enlace Remota.

Screen shot of the Gateway Endpoint Settings dialog box, Remote Gateway tab

Especifique la ubicación de la puerta de enlace remota. Se puede agregar tanto una dirección IP como una ID de puerta de enlace para la puerta de enlace remota. La id. de puerta de enlace suele ser la dirección IP. Podría ser necesario usar algo aparte de la dirección IP como la ID de la puerta de enlace si la puerta de enlace remota está detrás de un dispositivo NAT y requiere más información para autenticarse en la red detrás del dispositivo NAT.
Haga clic en Aceptar para cerrar el cuadro de diálogo Configuraciones de los Endpoints de la Puerta de Enlace.
Se agrega el par de la puerta de enlace a la lista de endpoints de la puerta de enlace.
Repita los pasos anteriores para agregar pares adicionales de puerta de enlace a esta configuración de puerta de enlace. Se pueden agregar hasta nueve pares de puertas de enlace a una de éstas. Puede seleccionar un par y hacer clic en Subir o en Bajar para cambiar el orden de intento de conexiones de Firebox.

Haga clic en Guardar.

Para establecer la configuración de los endpoints de las puertas de enlace desde el Policy Manager:

Seleccione VPN > Puertas de Enlace de Sucursal. Para agregar una puerta de enlace nueva, haga clic en Agregar. Asigne un nombre a la puerta de enlace y defina el método de credenciales, tal como se describe en Configurar Puertas de Enlace BOVPN Manuales.
En la sección Endpoints de la Puerta de Enlace del cuadro de diálogo Nueva Puerta de Enlace, haga clic en Agregar.
Aparece el cuadro de diálogo Ajustes de Endpoints de la Nueva Puerta de Enlace.

Screen shot of the New Gateway Endpoints Settings dialog box for the first of multiple gateway pairs.

Especifique la ubicación de la puerta de enlace local. En la lista desplegable Interfaz Externa, seleccione el nombre de la interfaz externa que coincida con la dirección IP de la puerta de enlace local o el nombre de dominio que agregue.
Especifique la ubicación de la puerta de enlace remota. Se puede agregar tanto una dirección IP como una ID de puerta de enlace para la puerta de enlace remota. La id. de puerta de enlace suele ser la dirección IP. Podría ser necesario usar algo aparte de la dirección IP como la ID de la puerta de enlace si la puerta de enlace remota está detrás de un dispositivo NAT y requiere más información para autenticarse en la red detrás del dispositivo NAT.
Haga clic en Aceptar para cerrar el cuadro de diálogo Configuraciones de los Endpoints de la Nueva Puerta de Enlace.
Se agrega el par de la puerta de enlace a la lista de endpoints de la puerta de enlace.
Repita los pasos anteriores para agregar pares adicionales de puerta de enlace a esta configuración de puerta de enlace. Se pueden agregar hasta nueve pares de puertas de enlace a una de éstas. Puede seleccionar un par y hacer clic en Subir o en Bajar para cambiar el orden de intento de conexiones de Firebox.

Haga clic en Aceptar.

Complete los mismos pasos en el Firebox remoto para agregar cuatro pares de puerta de enlace con las direcciones IP locales y remotas.

En el Firebox remoto, las puertas de enlace locales y remotas en la lista de los Endpoints de Puerta de Enlace se ven de la siguiente manera:

198.51.100.2 — 203.0.113.2
192.0.2.2 — 203.0.113.2
198.51.100.2 — 192.0.2.1
192.0.2.2 — 192.0.2.1

Cada par de direcciones de puerta de enlace debe incluirse en el mismo orden en que aparecen los Endpoints de Puerta de Enlace en ambos Fireboxes.

Ver También

Configurar la Conmutación por Error del Módem VPN

Conmutación por Error del Módem VPN y Multi-WAN

© 2023 WatchGuard Technologies, Inc. Todos los derechos reservados. WatchGuard y el logotipo de WatchGuard son marcas comerciales o marcas comerciales registradas de WatchGuard Technologies en Estados Unidos y otros países. Todos los demás nombres comerciales son propiedad de sus respectivos dueños.