Contents

Temas Relacionados

Configurar Failover de VPN

Su Firebox puede finalizar una VPN en solo una interfaz por vez. No obstante, si un dispositivo tiene más de una interfaz externa y una no está disponible, su Firebox puede intentar negociar la VPN a través de una interfaz externa diferente. También puede usar un módem para failover de VPN si habilitó la conmutación por error en el módem en el Firebox.

La conmutación por error es una función importante de redes que necesitan alta disponibilidad. Cuando tiene una conmutación por error de WAN múltiple configurada, los túneles VPN automáticamente hacen la conmutación por error hacia una interfaz externa de resguardo, en el caso de que ocurra una falla. Puede configurar túneles VPN para hacer conmutación por error a un extremo de resguardo si el extremo principal queda no disponible.

Este tema se aplica solamente a túneles VPN manuales. Si tiene WAN múltiples configuradas y crea túneles administrados, el WSM automáticamente configura los pares de puertas de enlace que incluyan las interfaces externas de ambas extremidades del túnel. No hace falta ninguna otra configuración.

Ocurre un failover de VPN cuando se da uno de esos dos eventos:

  • Un enlace físico está inactivo. El Firebox monitorea el estado de la puerta de enlace de la VPN y los dispositivos identificados en la configuración del monitor de enlace WAN múltiple. Si en enlace físico está inactivo, ocurre un failover de VPN.
  • El Firebox detecta que el par VPN no está activo.

Cuando se produce una conmutación por error, si el túnel usa el IKE keep-alive, el IKE continúa enviando paquetes keep-alive Fase 1 al par. Cuando obtiene una respuesta, IKE desencadena la failback hacia la puerta de enlace de la VPN principal. Si el túnel usa Dead Peer Detection, la failback ocurre cuando se recibe una respuesta de una puerta de enlace de la VPN principal.

Cuando ocurre un evento de conmutación por error, gran parte de las conexiones nuevas y existentes hacen la conmutación por error automáticamente. Por ejemplo, si inicia un comando "PUT" de FTP y la ruta de la VPN principal queda inactiva, la conexión de FTP continúa en la ruta de la VPN de resguardo. No se ha perdido la conexión, pero hay demora.

Requisitos para failover de VPN:

  • Los dispositivos en cada extremo del túnel deben ser Firebox con el Fireware v11.0 o posterior instalado.
  • La conmutación por error de WAN múltiples se debe configurar tal como se describe en Acerca de WAN Múltiple.
  • Las interfaces de su Firebox deben estar indicadas como puertas de enlaces pares en el Firebox remoto. Si ya configuró la conmutación por error de WAN múltiples, sus túneles VPN automáticamente harán la conmutación por error hacia la interfaz de resguardo.
  • El DPD debe estar habilitado en las configuraciones Fase 1 para la puerta de enlace de sucursal en cada extremo del túnel.

No se admite el failover de VPN para las conexiones VPN con un dispositivo de terceros.

El failover de VPN no se produce en los túneles BOVPN con NAT dinámica habilitada como parte de su configuración de túnel. Para los túneles BOVPN que no usan NAT, el failover de VPN ocurre y la sesión de BOVPN continua. Con los túneles de Mobile VPN, la sesión no continúa. Debe autenticar su cliente de Mobile VPN nuevamente para hacer un nuevo túnel de Mobile VPN.

Definir Pares de Puerta de Enlace Múltiples

En la configuración de la puerta de enlace VPN de sucursal, puede agregar más de una serie de extremos locales y remotos (pares de extremos de puerta de enlace) si cada dispositivo de extremo tiene más de una interfaz externa que pueda utilizarse para enviar y recibir negociaciones IKE. Para configurar túneles BOVPN manualmente para que hagan la conmutación por error hacia un extremo de resguardo, se debe definir más de un conjunto de extremos local y remoto (pares de puertas de enlace) para cada puerta de enlace VPN de sucursal que utilicen los túneles.

Si tiene WAN múltiples configuradas y crea túneles administrados, el WSM automáticamente configura los pares de puertas de enlace que incluyan las interfaces externas de ambas extremidades del túnel. No hace falta ninguna otra configuración.

Para la funcionalidad completa de conmutación por error para una configuración de VPN, debe definir pares de puerta de enlace para cada combinación de interfaces externas en cada lado del túnel. Por ejemplo, considere dos Firebox, cada uno con dos interfaces externas.

Firebox local

Dirección IP de interfaz externa primaria: 203.0.113.2

Dirección IP de interfaz externa secundaria: 192.0.2.1

Firebox remoto

Dirección IP de interfaz externa primaria: 198.51.100.2

Dirección IP de interfaz externa secundaria: 192.0.2.2

Para una conmutación por error VPN completa, debe agregar cuatro pares de puerta de enlace de la sucursal en el Firebox local:

203.0.113.2 — 198.51.100.2
203.0.113.2 — 192.0.2.2
192.0.2.1 — 198.51.100.2
192.0.2.1 — 192.0.2.2

Para establecer la configuración de los extremos de las puertas de enlace desde Fireware Web UI:Closed
  1. Seleccione VPN > VPN de Sucursales.
  2. En la lista de Puertas de enlace, haga clic en Agregar para agregar una nueva puerta de enlace. Asigne un nombre a la puerta de enlace y defina el método de credenciales, tal como se describe en Configurar Puertas de Enlace BOVPN Manuales.
  3. En la sección Extremos de Puerta de Enlace, haga clic en Agregar.
    Aparece el cuadro de diálogo Configuraciones de extremos de la puerta de enlace.
  1. Especifique la ubicación de la puerta de enlace local. En la lista desplegable Interfaz Externa, seleccione el nombre de la interfaz externa que coincida con la dirección IP de la puerta de enlace local o el nombre de dominio que agregue.
  2. Seleccione la pestaña Puerta de Enlace Remota.
  1. Especifique la ubicación de la puerta de enlace remota. Se puede agregar tanto una dirección IP como una ID de puerta de enlace para la puerta de enlace remota. La id. de puerta de enlace suele ser la dirección IP. Podría ser necesario usar algo aparte de la dirección IP como la ID de la puerta de enlace si la puerta de enlace remota está detrás de un dispositivo NAT y requiere más información para autenticarse en la red detrás del dispositivo NAT.
  2. Haga clic en Aceptar para cerrar el cuadro de diálogo Configuraciones de los extremos de la puerta de enlace.
    Se agrega el par de la puerta de enlace a la lista de extremos de la puerta de enlace.
  3. Repita los pasos anteriores para agregar pares adicionales de puerta de enlace a esta configuración de puerta de enlace. Se pueden agregar hasta nueve pares de puertas de enlace a una de éstas. Puede seleccionar un par y hacer clic en Arriba o en Abajo para cambiar el orden de intento de conexiones de Firebox.
  1. Haga clic en Guardar.
Para establecer la configuración de los extremos de las puertas de enlace desde el Policy Manager:Closed
  1. Seleccione VPN > Puertas de Enlace de Sucursal. Para agregar una puerta de enlace nueva, haga clic en Agregar. Asigne un nombre a la puerta de enlace y defina el método de credenciales, tal como se describe en Configurar Puertas de Enlace BOVPN Manuales.
  2. En la sección Extremos de la Puerta de Enlace del cuadro de diálogo Nueva Puerta de Enlace, haga clic en Agregar.
    Aparece el cuadro de diálogo Configuraciones de Extremos de la Nueva Puerta de Enlace.
  1. Especifique la ubicación de la puerta de enlace local. En la lista desplegable Interfaz Externa, seleccione el nombre de la interfaz externa que coincida con la dirección IP de la puerta de enlace local o el nombre de dominio que agregue.
  2. Especifique la ubicación de la puerta de enlace remota. Se puede agregar tanto una dirección IP como una ID de puerta de enlace para la puerta de enlace remota. La id. de puerta de enlace suele ser la dirección IP. Podría ser necesario usar algo aparte de la dirección IP como la ID de la puerta de enlace si la puerta de enlace remota está detrás de un dispositivo NAT y requiere más información para autenticarse en la red detrás del dispositivo NAT.
  3. Haga clic en Aceptar para cerrar el cuadro de diálogo Configuraciones de los Extremos de la Nueva Puerta de Enlace.
    Se agrega el par de la puerta de enlace a la lista de extremos de la puerta de enlace.
  4. Repita los pasos anteriores para agregar pares adicionales de puerta de enlace a esta configuración de puerta de enlace. Se pueden agregar hasta nueve pares de puertas de enlace a una de éstas. Puede seleccionar un par y hacer clic en Arriba o en Abajo para cambiar el orden de intento de conexiones de Firebox.
  1. Haga clic en Aceptar.

Complete los mismos pasos en el Firebox remoto para agregar cuatro pares de puerta de enlace con las direcciones IP locales y remotas.

En el Firebox remoto, las puertas de enlace locales y remotas en la lista de los Extremos de Puerta de Enlace se ven de la siguiente manera:

198.51.100.2 — 203.0.113.2
192.0.2.2 — 203.0.113.2
198.51.100.2 — 192.0.2.1
192.0.2.2 — 192.0.2.1

Cada par de dirección de puerta de enlace debe incluirse en el mismo orden en que aparecen los Extremos de Puerta de Enlace en ambos Firebox.

Vea también

Configurar la Conmutación por Error del Módem VPN

Danos tu Opinión     Obtener Soporte     Toda la Documentación del Producto     Búsqueda Técnica

© 2018 WatchGuard Technologies, Inc. Todos los derechos reservados. WatchGuard, el logotipo de WatchGuard, WatchGuard Dimension, Firebox, Core, Fireware y LiveSecurity son marcas comerciales registradas o marcas comerciales de WatchGuard Technologies en Estados Unidos y/o en otros países.