Почему я не могу пинговать вторичный PoP для моего IPSec HA сайта?

Вопрос

Для IPSec сайта, который настроил основные и вторичные туннели для высокой доступности (HA), когда оба туннеля работают, почему я могу пинговать только основной PoP, а не вторичный PoP с моего Файервола (VPN-шлюза)?

Как работает маршрутизация

Как упомянуто в Cato Socket vs IPsec Sites and Tunnels, IPSec сайты поддерживают только активно-пассивные конфигурации. Это означает, что даже когда установлены оба туннеля, трафик будет передаваться только через основной туннель. Перед тем как ответить на вопрос, почему пинг на вторичный PoP будет неудачным, когда оба туннеля активны, важно понять, как работает маршрутизация для такой развертки.

Оба туннеля установлены

Исходящий трафик (сайта к PoP)

Для IPSec сайта, работающего с HA, Файервол клиента решает, какой туннель использовать для трафика. Рекомендуется включить протокол маршрутизации, BGP, чтобы он направлял трафик через предпочтительный (основной) туннель. 

Входящий трафик (PoP к сайту)

PoP-ы обнаруживают входящий трафик на основном туннеле и, следовательно, возвращают трафик через тот же туннель. Это сделано для предотвращения асимметричной маршрутизации.

Основной туннель отключен

Исходящий трафик (сайта к PoP)

Файервол клиента обнаруживает, что основной туннель отключен и направит весь трафик на вторичный туннель. Если бы BGP работал на сайте, он обнаружил бы, что первичное подключение отключено, и динамически направил бы трафик через вторичный туннель. 

Входящий трафик (PoP к сайту)

PoP-ы обнаруживают входящий трафик на вторичном туннеле и, следовательно, также вернут трафик через тот же туннель.

Ответ

Для проверки соединения и правильной настройки IPSec туннелей, клиент может пинговать удаленный PoP IP из соответствующего туннеля. Однако, когда оба туннеля подключены, и если ICMP пинг был выполнен из вторичного туннеля к вторичному PoP IP-адресу, PoP не вернет ICMP ответ, так как возвращающий поток должен быть через основной туннель.

Чтобы проверить соединение и правильные настройки на вторичном туннеле, рекомендуется включить BGP и выполнить пинг вторичного BGP (частного) IP. Для получения сведений о конфигурации см. Configuring-BGP-Neighbors-for-an-IPsec-Connection.