Configurar una VPN de Sucursal para la Conmutación por Error desde una Línea Arrendada

Puede configurar el Firebox para usar el túnel VPN de sucursal de IPSec para la conmutación por error si otra ruta (como una línea arrendada privada) ya no está disponible.

Requisitos

Para que failover de VPN funcione correctamente, la configuración debe cumplir estos requisitos:

Cada sitio debe tener un enrutador conectado a la línea concesionada entre los dos sitios.
En cada sitio, el enrutador que se conecta a la línea arrendada debe conectarse a un Firebox de confianza o interfaz opcional. La interfaz a la cual se conecta debe ser diferente de la interfaz que usa para el túnel VPN de sucursal.
Los dos enrutadores conectados a la línea concesionada deben configurarse para usar un Dynamic routing (OSPF, BGP o RIP).
Dynamic routing también debe estar habilitado en los Fireboxes en ambos sitios.
La configuración Global VPN Habilitar el uso de rutas no predeterminadas (estáticas o dinámicas) para determinar si se usa IPSec debe estar habilitada en los Fireboxes en ambos sitios.

Para usar esta función para la conmutación por error desde una línea concesionada, debe usar el Dynamic routing.

Con esta configuración, el tráfico de internet es gestionado por Firebox basado en las políticas regulares de firewall. Esta configuración no crea ninguna limitación sobre el uso de multi-WAN en la configuración de su dispositivo.

Vista General de la Configuración

Los pasos generales para configurar la conmutación por error de una línea arrendada a una VPN de sucursal son:

Configure el enrutamiento dinámico y agregue la política de RIP, OSPF o BGP asociadas en cada sitio para crear una ruta sobre la línea arrendada.
Para más información, consulte Acerca del Dynamic Routing.
Configure la VPN de sucursal para conectar ambos sitios.
Establezca la configuración de VPN global para habilitar la característica de conmutación por error en cada sitio.
En los ajustes globales de VPN, marque la casilla de selección Habilitar el uso de rutas no predeterminadas (estáticas o dinámicas) para determinar si se usa IPSec.

Para dos ejemplos con pasos detallados de configuración, consulte:

Para un archivo de configuración de ejemplo, consulte:

Failover de VPN de Sucursal desde un Vínculo de Red Privada

Cómo funciona la Conmutación por Error en la VPN de Sucursal

Cuando habilita el enrutamiento dinámico, Firebox automáticamente actualiza la tabla de enrutamiento basada en el estado de la conexión. Si la conexión al enrutador de la línea arrendada falla, Firebox quita dinámicamente esa ruta de la tabla de enrutamiento. Puede ver la tabla de enrutamiento en el Informe de Estado en el Firebox System Manager.

El Firebox de cada oficina envía tráfico a la otra oficina a través de la interfaz de confianza conectada con la línea arrendada privada, si hay presente una ruta dinámica a ese sitio. Si una ruta dinámica no está presente en la tabla de enrutamiento, el Firebox en cada sitio envía tráfico a través del túnel IPSec BOVPN en la interfaz externa. Cuando se restablece la ruta dinámica por la línea concesionada, los dispositivos envían nueva y automáticamente tráfico por la línea concesionada privada.

Ver También

Ejemplos de Configuración de BOVPN Manual

© 2023 WatchGuard Technologies, Inc. Todos los derechos reservados. WatchGuard y el logotipo de WatchGuard son marcas comerciales o marcas comerciales registradas de WatchGuard Technologies en Estados Unidos y otros países. Todos los demás nombres comerciales son propiedad de sus respectivos dueños.