Configurar Failover IPSec
-
Bom dia,
Eu tenho um túnel site to site da matriz(2 Links válidos) para a Filial(1 link válido), neste cenário, é possível configurar um failover ipsec na matriz? -
@D1MITRU said in Configurar Failover IPSec:
Bom dia,
Eu tenho um túnel site to site da matriz(2 Links válidos) para a Filial(1 link válido), neste cenário, é possível configurar um failover ipsec na matriz?Só por DNS.
Se tivesse 2 links nos 2 locais, poderíamos configurar IPsec VTI com OSPF ou BGP.No seu caso, crie um DDNS na matriz, e use ela no túnel.
Quando o link 1 da matriz cair, o DNS será atualizado e o túnel vai subir pelo link 2.
Mas isso demora um pouco, até alguns minutos para o túnel se estabelecer. -
@mcury Entendi, será que compensa fazer esse trabalho todo?
-
@mcury Outra dúvida, como eu criaria este DDNS e como configuraria nos 2 firewall? Nunca fiz algo do tipo
-
@D1MITRU said in Configurar Failover IPSec:
Entendi, será que compensa fazer esse trabalho todo?
Se você precisa de redundância quase que instantânea, eu colocaria mais um link na filial.
obs: Só pode ter CGNAT de um dos lados, o outro lado precisa chegar pacote pela WAN, pode ser tanto IP público direto na interface (preferível), ou como DMZ do modem com IPsec ALG habilitado no modem da provedora.
@D1MITRU said in Configurar Failover IPSec:
Outra dúvida, como eu criaria este DDNS e como configuraria nos 2 firewall? Nunca fiz algo do tipo
Eu uso duckdns.org para os meus, mas tem outros provedores desse serviço.
Verifique na aba do pfSense e escolha um, é simples.Você criaria um na matriz, criaria um gateway group de Failover e usaria esse gateway group para atualizar o dyndns, e usaria ele também no IPsec.
Do lado da filial, se você tiver IP público estático, você não precisa criar um dyndns para ela.
Caso o IP seja dinâmico, você vai precisar criar um para ela também.
Depois na configuração do túnel, você usa esse dyndns. -
@mcury Grato pela explicação.
Acredito que não irá valer a pena este trabalho.