¿Por qué no puedo hacer ping al PoP Secundario para mi Sitio HA de IPsec?

Pregunta

Para un sitio IPsec que ha configurado túneles primario y secundario para alta disponibilidad (HA), cuando ambos túneles están activos, ¿por qué puedo hacer ping solo al PoP Primario y no al PoP Secundario desde mi Firewall (puerta de enlace VPN)?

Cómo funciona el enrutamiento

Como se menciona en Cato Socket vs Sitios y Túneles IPsec, los sitios IPsec solo admiten configuraciones Activo-Pasivo. Esto significa que incluso cuando se establecen ambos túneles, el tráfico solo se enviará a través del túnel primario. Antes de responder a la pregunta de por qué el ping al PoP Secundario fallará cuando ambos túneles están activos, es esencial comprender cómo funciona el enrutamiento para tal despliegue.

Ambos túneles establecidos

Tráfico de subida (Sitio a PoP)

Para un sitio IPsec ejecutando HA, el firewall del cliente decide qué túnel usar para el tráfico. Se recomienda habilitar un protocolo de enrutamiento, BGP, para que enrute el tráfico a través del túnel preferido (primario). 

Tráfico de bajada (PoP a Sitio)

Los PoPs detectan tráfico entrante en el túnel primario y, por lo tanto, devuelven el tráfico a través del mismo túnel. Esto se hace para prevenir el enrutamiento asimétrico.

Túnel primario inactivo

Tráfico de subida (Sitio a PoP)

El firewall del cliente detecta que el túnel primario está inactivo y dirigirá todo el tráfico al túnel secundario. Si el BGP estuviera ejecutándose en el sitio, detectaría que el enlace ascendente primario está caído y enrutaría dinámicamente el tráfico a través del túnel secundario. 

Tráfico de bajada (PoP a Sitio)

Los PoPs detectan tráfico entrante en el túnel secundario y, por lo tanto, también devolverán el tráfico a través del mismo túnel.

Respuesta

Para verificar la conectividad y la configuración adecuada de los túneles IPsec, el cliente puede hacer ping a la IP remota del PoP desde el túnel respectivo. Sin embargo, cuando ambos túneles están activos y si el ICMP ping fue realizado desde el túnel secundario a la dirección IP del PoP Secundario, el PoP no devolverá la respuesta ICMP ya que el flujo de retorno debe ser a través del túnel primario.

Para verificar la conectividad y la configuración adecuada en el túnel secundario, se recomienda habilitar BGP y hacer ping a la IP BGP (privada) secundaria. Para obtener detalles de configuración, consulte Configuring-BGP-Neighbors-for-an-IPsec-Connection.