Dual WAN con DDNS con failover x VPN

Ecco i passaggi dettagliati per implementare il DDNS con failover su un WatchGuard T20, che permette al client VPN di connettersi sempre all'IP pubblico attivo, indipendentemente dalla WAN disponibile.

Obiettivo:

Permettere al client VPN di connettersi automaticamente all'IP pubblico della WAN attiva utilizzando un hostname DDNS che si aggiorna dinamicamente.

Passo 1: Configurare il Dynamic DNS (DDNS) su WatchGuard T20

1️⃣ Accedi al Firebox:

• Vai sull’interfaccia web del Firebox via browser (es. https://<IP_del_Firebox>).
• Accedi con admin e la tua password.

2️⃣ Abilita e configura DDNS:

• Vai su Network > Dynamic DNS.
• Clicca su Add per aggiungere un nuovo servizio DDNS.
• Scegli il servizio DDNS che intendi usare (ad esempio, DynDNS, No-IP, ecc.). Se non hai un account DDNS, dovrai prima registrarti sul sito del provider.
• Inserisci i dettagli richiesti dal provider DDNS:
  • Hostname: L'indirizzo che vuoi associare (es. miofirebox.ddns.net).
  • Username e Password: Le credenziali del tuo account DDNS.
  • WAN1 (prima interfaccia): Scegli l'interfaccia WAN principale (es. eth1) per aggiornare l'IP.

3️⃣ Configura la propagazione dell’IP dinamico:

• Assicurati che il Firebox aggiorni automaticamente l'IP di WAN1 nel servizio DDNS ogni volta che cambia.
• Salva la configurazione.

Passo 2: Configurare la VPN

1️⃣ Configura la VPN:

• Vai su VPN > Mobile VPN per configurare la VPN che vuoi usare (SSL VPN o IPSec).
• Se stai configurando la SSL VPN, seleziona SSL VPN e configura il tunnel come fai normalmente. Se stai usando IPSec, vai su IPSec VPN e configura il tunnel di conseguenza.

2️⃣ Modifica l'indirizzo del server VPN:

• Nella configurazione della VPN, dove inserisci l'IP pubblico del server VPN, usa l'hostname DDNS configurato in precedenza (es. miofirebox.ddns.net), invece dell'IP statico di WAN1.
• In questo modo, il client VPN cercherà sempre di connettersi al nome di dominio che, in caso di failover della WAN, punta all'IP della WAN attiva.

Passo 3: Configurare il Failover WAN

1️⃣ Configura il Failover WAN:

• Vai su Network > Interfaces e assicurati che entrambe le WAN (WAN1 e WAN2) siano configurate correttamente.
• Clicca su Routing > Multi-WAN.
• Configura le priorità di failover tra WAN1 e WAN2:
  • Imposta WAN1 come primaria (preferita) e WAN2 come secondaria (backup).

2️⃣ Abilita il Failover:

• Nella stessa pagina, abilita il failover WAN.
• Configura la verifica della connessione (es. pings verso un indirizzo esterno, come Google DNS 8.8.8.8), che determinerà quando WAN1 è "giù" e il traffico verrà instradato su WAN2.
• Salva la configurazione.

Passo 4: Testare il Funzionamento

1️⃣ Testa il failover:

• Disconnetti fisicamente o disabilita WAN1 e verifica che la connessione VPN passi automaticamente a WAN2.
• Verifica che l'hostname DDNS si aggiorni correttamente e che il client VPN riesca a connettersi senza interruzioni.

2️⃣ Testa la riconnessione alla VPN:

• Riattiva WAN1 e verifica che la connessione VPN torni a usare WAN1 automaticamente, mantenendo l'hostname DDNS corretto.

Considerazioni Finali:

• DNS Propagation: Quando WAN1 cade, il Firebox aggiornerà l'hostname DDNS con l'IP di WAN2. Questo aggiornamento richiederà alcuni secondi/minuti per propagarsi, ma il client VPN proverà automaticamente a connettersi al nuovo indirizzo IP della WAN2.
• Flessibilità: Puoi usare lo stesso hostname DDNS per entrambi i WAN. Il cliente VPN, in caso di fallimento della connessione a WAN1, si connetterà automaticamente all'IP della WAN2 (aggiornato nel DNS).

Conclusione:

Con questa configurazione, il client VPN si connetterà sempre tramite l'hostname DDNS che punta alla WAN attiva (WAN1 o WAN2). Se WAN1 è attiva, l'hostname punterà a WAN1; se WAN1 è down, il traffico verrà automaticamente instradato verso WAN2, mantenendo la connessione VPN attiva.