Pourquoi ne puis-je pas faire un ping sur le PoP Secondaire pour mon site IPsec HA?

Question

Pour un site IPsec qui a configuré des tunnels primaires et secondaires pour une haute disponibilité (HA), lorsque les deux tunnels sont actifs, pourquoi puis-je faire un ping seulement sur le PoP Primaire et non pas sur le PoP Secondaire depuis mon Pare-feu (passerelle VPN) ?

Comment fonctionne le routage

Comme mentionné dans Cato Socket vs Sites et Tunnels IPsec, les sites IPsec ne prennent en charge que les configurations Actif-Passif. Cela signifie que même lorsque les tunnels primaires et secondaires sont établis, le trafic sera uniquement envoyé via le tunnel primaire. Avant de répondre à la question de savoir pourquoi le ping sur le PoP Secondaire échouera lorsque les deux tunnels sont actifs, il est essentiel de comprendre comment fonctionne le routage pour un tel déploiement.

Les deux tunnels sont établis

Trafic montant (Site à PoP)

Pour un site IPsec exécutant HA, le pare-feu du client décide quel tunnel utiliser pour le trafic. Il est recommandé d'activer un protocole de routage, BGP, afin qu'il route le trafic à travers le tunnel préféré (primaire). 

Trafic descendant (PoP à Site)

Les PoPs détectent le trafic entrant sur le tunnel primaire et, par conséquent, renvoient le trafic par le même tunnel. Cela est fait pour prévenir le routage asymétrique.

Tunnel Primaire En Panne

Trafic montant (Site à PoP)

Le pare-feu du client détecte que le tunnel primaire est en panne et dirigera tout le trafic vers le tunnel secondaire. Si le BGP fonctionnait sur le site, il détecterait que la liaison montante primaire est en panne et routerait dynamiquement le trafic via le tunnel secondaire. 

Trafic descendant (PoP à Site)

Les PoPs détectent le trafic entrant sur le tunnel secondaire et, par conséquent, renverront également le trafic par le même tunnel.

Réponse

Pour vérifier la connectivité et la configuration appropriée des tunnels IPsec, le client peut faire un ping sur l'adresse IP du PoP distant à partir du tunnel correspondant. Cependant, lorsque les deux tunnels sont actifs et si le ping ICMP a été effectué depuis le tunnel secondaire vers l'adresse IP du PoP Secondaire, le PoP ne renverra pas la réponse ICMP puisque le flux de retour doit passer par le tunnel primaire.

Pour vérifier la connectivité et la configuration appropriée sur le tunnel secondaire, il est recommandé d'activer le BGP et de faire un ping sur l'IP (privée) BGP secondaire. Pour les détails de configuration, consultez Configuring-BGP-Neighbors-for-an-IPsec-Connection.