Estado del túnel IPsec siempre en verde incluso la interfaz remota está abajo
Resolution
El estado del túnel IPSec siempre se muestra en verde incluso si la interfaz remota está desconectada o cuando no hay conectividad.
Hasta que el SA renegocie, el túnel seguirá siendo verde.
De forma predeterminada, si el túnel IPSec está en marcha y si el dispositivo remoto está bajo, el túnel IPSec no se apagará hasta que caduque la fase 2 de la vida de IPSec. Una vez que haya expirado intentará renegociar y puesto que la interfaz está abajo, el túnel irá abajo.
Configure la supervisión del túnel en ambos extremos.
El monitoreo del túnel se usa para mantener un túnel VPN comunicándose con el otro extremo de VPN. Si se crea un perfil de supervisión de túnel, se especificará una de las dos opciones de acción si el túnel no está disponible: wait-Recover o fail-over. Esto utiliza paquetes de ping para supervisar la Conectividad del túnel VPN de la IP de la interfaz del túnel. Es necesario asignar una dirección IP a la interfaz del túnel para la supervisión.
Wait-Recover le dice al firewall que espere a que el túnel se recupere y no tome acción adicional.
El failover forzará el tráfico a una ruta de acceso de reserva si se dispone de uno.
En ambos casos, el cortafuegos intentará negociar nuevas claves IPSec para acelerar la recuperación. Esta opción le alerta de cualquier fallo del túnel y de proporcionar failover automático a otra interfaz.
Otros artículos útiles: