Configurar la Conmutación por Error del Módem VPN

Si la configuración de su Firebox incluye una interfaz de módem, puede configurar la VPN de sucursal para conmutar por error a la interfaz de módem si no se pueden conectar todas las interfaces externas. La conmutación por error a un módem de la VPN de sucursal a puede ser útil en una situación donde tiene una oficina central que acepta conexiones de VPN de sucursal de una o más oficinas remotas que usan un módem para la conmutación por error.

Antes de Empezar

Antes de configurar la conmutación por error del módem para una VPN de sucursal, primero debe configurar una interfaz de módem. Para más información, consulte Configurar una Interfaz del Módem. Después de configurar una interfaz de módem, puede marcar la casilla de selección Usar módem para conmutación por error cuando agregue o edite una puerta de enlace de VPN de sucursal.

Screen shot of the Gateway Endpoints list, with the Use modem for failover check box circled
La casilla de selección Usar módem para conmutación por error está visible en Policy Manager solo después de configurar una interfaz de módem.


En Fireware Web UI, no puede marcar la casilla de selección Usar Módem para conmutación por error a menos que ya haya configurado una interfaz de módem.

En Fireware v12.0.2 e inferior, antes de que pueda configurar la conmutación por error del módem para una VPN de sucursal, debe primero configurar la conmutación por error del módem en los ajustes de red. Para obtener más información, consulte Configurar la Conmutación por Error del Módem en Fireware v12.0.2 e inferior en la Base de Consulta de WatchGuard.

Requisitos de Configuración de VPN de Sucursal

Para usar un módem para conmutación por error de VPN, la configuración de la puerta de enlace de VPN de sucursal debe cumplir con los siguientes requisitos:

  • En Fireware v12.4 o superior, en los ajustes de la puerta de enlace de VPN, debe seleccionar la opción Direcciones IPv4 como la familia de direcciones.
  • La configuración de la puerta de enlace VPN debe incluir un par de endpoints de la puerta de enlace para cada interfaz externa física habilitada.
  • La interfaz externa para el endpoint de la puerta de enlace local no puede ser una interfaz de módem.
  • La puerta de enlace local para cada par de endpoints de puerta de enlace debe usar una ID (en lugar de una dirección IP) como la ID para la autenticación del túnel.
  • Si el dispositivo tiene más de una interfaz externa, la puerta de enlace local para cada interfaz externa local debe usar una ID única para la autenticación del túnel.
  • Se debe poder acceder a la puerta de enlace remota. Cualquiera de estas configuraciones cumple con este requisito:
  • La puerta de enlace remota tiene una dirección IP estática, y la ID de la puerta de enlace remota es la dirección IP estática
  • La puerta de enlace remota tiene una dirección IP dinámica, y la ID de la puerta de enlace remota es un nombre de dominio que redirige a la dirección IP dinámica.

Ya que el dispositivo con la conmutación por error del módem habilitada usa una ID para la autenticación del túnel, este dispositivo debe iniciar la conexión VPN. Esto significa que usted no puede habilitar la conmutación por error del módem para ambos dispositivos configurados como endpoints de puerta de enlace para el mismo túnel VPN de sucursal.

Configurar una Puerta de Enlace VPN de Sucursal para la Conmutación por Error del Módem

Para más información sobre estas configuraciones de endpoints de puerta de enlace, vea Definir los Endpoints de la Puerta de Enlace para una Puerta de Enlace BOVPN.

Para obtener más información sobre los ajustes de Fase 1, consulte Configurar los Ajustes de Fase 1 IPSec VPN.

Configurar una Interfaz Virtual BOVPN para Conmutación por Error al Módem

No puede utilizar un módem para conmutación por error desde una interfaz virtual BOVPN si alguno de los endpoints de la puerta de enlace local utiliza una interfaz que no es externa.

Para configurar una Interfaz Virtual BOVPN para conmutación por error al módem en Fireware Web UI o Policy Manager:

  1. Seleccione VPN > Interfaces Virtuales BOVPN.
  2. Haga clic en Agregar.
    Aparece el cuadro de diálogo Interfaz Virtual BOVPN.
  3. En el cuadro de texto Nombre de Interfaz, ingrese un nombre para esta interfaz virtual BOVPN.
  4. (Fireware v12.4 o superior) En la lista desplegable Familia de Direcciones de la Puerta de Enlace, seleccione Direcciones IPv4.
  5. Seleccione la pestaña Configuración de Fase 1.
  6. En la lista desplegable Modo, seleccione Agresivo o Principal como Plan Alternativo a Agresivo.
  7. Seleccione la pestaña Configuración de Puerta de Enlace.
  8. Configure el método de credencial VPN.
    Para más información, consulte Configurar una Interfaz BOVPN Virtual.
  9. En la sección Endpoints de Puerta de Enlace, haga clic en Agregar.

    Aparece el cuadro de diálogo Configuraciones de Endpoints de la Puerta de Enlace.
  10. Configurar el nombre y el método de credencial de la interfaz virtual BOVPN.

    Para obtener más información, consulte Configurar una Interfaz BOVPN Virtual.
  11. Configurar los endpoints de la puerta de enlace tal como se describe en la sección anterior.

Configurar la Puerta de Enlace en el Dispositivo Remoto

Configurar el dispositivo en el otro extremo del túnel para usar la misma autenticación y las configuraciones Fase 1. Asegúrese que el nombre de dominio coincida con el nombre que configuró en el primer dispositivo. No seleccione la casilla de selección Intento de determinación de dominio ya que esta ID no es un nombre de dominio determinable.

Screen shot of the Configure Domain for Gateway ID dialog box
Puerta de enlace remota configurada para usar un nombre de dominio en Policy Manager.

Screen shot of the Gateway Endpoint Setting tab, Remote Gateway, with a domain name configured
Puerta de enlace remota configurada para usar un nombre de dominio en Fireware Web UI.

Configurar Túneles

Después de configurar su puerta de enlace, los túneles se configuran entre los endpoints de la puerta de enlace de la misma manera que lo haría para cualquier otra VPN de sucursal. Para más información, consulte Configurar Túneles BOVPN Manuales.

Acerca de la Conmutación por Error del Módem

Si marca la casilla de selección Usar modem para conmutación por error, un Firebox no usa el módem para la VPN de sucursal a menos que no pueda enviar tráfico a través de alguna interfaz externa. Si todas las interfaces externas están caídas, el dispositivo inicia una conexión por módem entre ambos sitios. Posteriormente, inicia una conexión VPN a través de la conexión del módem. El dispositivo usa la primera ID de la puerta de enlace local configurada para la interfaz externa como la ID de la puerta de enlace local para la conexión del módem. Ya que la conexión VPN de sucursal a través de un módem usa la misma ID de autenticación que una conexión de una interfaz externa, no hay necesidad de cambiar la configuración de la puerta de enlace remota para habilitar una conexión a través del módem.

Ver También

Configurar Failover de VPN

Conmutación por Error del Módem VPN y Multi-WAN