Por que não consigo pingar o PoP Secundário para meu Site HA de IPSec?

Pergunta

Para um site IPSec que configurou túneis primário e secundário para alta disponibilidade (HA), quando ambos os túneis estão ativos, por que posso pingar apenas o PoP Principal e não o PoP Secundário do meu Firewall (gateway VPN)?

Como o Roteamento Funciona

Como mencionado em Cato Socket vs IPsec Sites e Túneis, sites IPSec suportam apenas configurações Ativa-Passiva. Isso significa que, mesmo quando ambos os túneis são estabelecidos, o tráfego será enviado apenas através do túnel principal. Antes de responder à pergunta de por que o ping para o PoP Secundário falhará quando ambos os túneis estiverem ativos, é essencial entender como o roteamento funciona para tal implantação.

Ambos Túneis Estabelecidos

Tráfego Upstream (Site para PoP)

Para um site IPSec executando HA, o firewall do cliente decide qual túnel usar para o tráfego. É recomendado que um protocolo de roteamento, BGP, seja ativado para que ele rotule o tráfego através do túnel preferido (principal). 

Tráfego Downstream (PoP para Site)

Os PoPs detectam tráfego de entrada no túnel principal e, assim, retornam o tráfego pelo mesmo túnel. Isso é feito para prevenir roteamento assimétrico.

Túnel Principal Desconectado

Tráfego Upstream (Site para PoP)

O firewall do cliente detecta que o túnel principal está desconectado e irá direcionar todo o tráfego para o túnel secundário. Se o BGP estivesse em execução no site, ele detectaria que o link de subida principal está desconectado e rotearia dinamicamente o tráfego através do túnel secundário. 

Tráfego Downstream (PoP para Site)

Os PoPs detectam tráfego de entrada no túnel secundário e, portanto, também irão retornar o tráfego através do mesmo túnel.

Responder

Para verificar a conectividade e a configuração adequada dos túneis IPSec, o cliente pode pingar o endereço IP remoto do PoP a partir do túnel respectivo. No entanto, quando ambos os túneis estão ativos e se o ICMP ping foi realizado do túnel secundário para o endereço IP do PoP Secundário, o PoP não retornará a resposta ICMP, já que o fluxo de retorno deve ser através do túnel principal.

Para verificar a conectividade e a configuração adequada no túnel secundário, recomenda-se habilitar o BGP e executar ping no IP BGP (privado) secundário. Para detalhes de configuração, consulte Configuring-BGP-Neighbors-for-an-IPsec-Connection.