VPN Failover

DM / SZ / OS -

Añadir un segundo Gateway (IKE fase 1) a una VPN ya exisente es un proceso bastante sencillo en Watchguard:
 
Empezamos aquí, partiendo de una VPN que ya está configurada en las fases 1 y 2.
 
 
Aquí nos ponemos sobre el Gateway ya creado y pulsamos el botón"Edit". Inmediatamente aparecerá la pantalla de configuración de la fase 1 de la VPN.
 
En esta pantalla pulsamos el botón "Add" en Gateway Endpoints para añadir un nuevo Endpoint. Aparece la pantalla de configuración del extremo de la VPN. Nos pondremos sobre el campo Remote Gateway, Static IP Adresses.
 
 
Aquí tenemos que dar la IP del endpoint remoto al que nos dirigimos, esto es, la IP pública secundaria a la que queremos "llamar" cuando la primaria no esté disponible. Para este ejemplo vamos a usar 80.80.80.80. Lo siguiente a configurar son los Gateway ID, que en otros fabricantes se denominan con el término más estándar de "IKE ID".
 
 
Estás direcciones IP no tienen el fin de ser resueltas en ningún momento, no son más que un intercambio de contraseñas similar al que hacemos con la Shared Key. Al existir una IP local y una remota, el orden en el que tienen que ir en las 2 máquinas que conectan la VPN es el opuesto el uno del otro. Es decir, si en la localización A yo tengo:
 
Local Gateway ID: x.x.x.x
Remote Gateway ID: y.y.y.y
 
En la localización contra la que conecto, la configuración de Gateway ID sería:
 
 
Local Gateway ID: y.y.y.y
Remote Gateway ID: x.x.x.x

 

 
X.X.X.X e Y.Y.Y.Y tienen que ser iguales en los 2 lados respectivamente. Para asegurarme de ello, las IPs que yo utilizo son las reales públicas de cada lado, por favor, no confundir estas IPs como hemos indicado ya con IPs resolubles en ningún caso, son meras contraseñas.
 
 
Un detalle a tener en cuenta es el desplegable External Interface, ya que este marca el interfaz físico por el que sale nuestra VPN. En este ejemplo el interfaz debe ser el mismo por el que sale el anterior Gateway Endpoint, el que ya estaba creado. Pulsamos "Ok". Volvemos a la pantalla de configuración del Gateway:
 
 
Ya estaría completa la configuración en el lado A. Para el lado B:
 
 

 
Hay que hacer especial énfasis en como  el orden se ha cambiado. 
 
El comportamiento de la VPN es el siguiente:
 
El sitio A tiene una sola WAN, el sitio B tiene 2. Los sitios A y B están unidos por una VPN por sus WAN principales. Si la WAN principal de B cae, inmediatamente la VPN pasa al segundo Gateway Endpoint configurado. Este failover sucedería hasta que nos quedaramos sin Gateway Endpoints, y cuando volviesen los principales la VPN pasaría a salir por ahí según la configuración del MultiWAN en el Firewall. Podemos añadir tantos Gateway Endpoints como combinaciones distintas de Multiwan podamos hacer entre los 2 lados a unir. Hay que recordar seleccionar la interfaz de salida correcta cada vez en:
 
 
 
Con esto quedaría ya configurado el VPN Failover.
¿Tiene más preguntas? Enviar una solicitud

Comentarios

Tecnología de Zendesk