A mi conocimiento el ASA no tiene la capacidad de fallar automáticamente sobre los túneles del sitio-a-sitio de IPSec a través de una ISP redundante que se configure como el artículo de Cisco que usted ligó. Cisco tiene un protocolo llamado DMVPN (VPN de múltiples puntos dinámico) que permitiría este trabajo, pero eso no se apoya en el ASAs desafortunadamente.
Ahora para la configuración de cliente alejada de VPN debe ser posible tener que trabajo correctamente cuando usted ha fallado encima al acoplamiento de reserva. ¿Si eso entonces no está trabajando puede usted fijar por favor sus config esterilizados?
¿Cómo usted planea lograr failover del DNS? ¿Usted va a utilizar un servicio que detecte que su ISP primaria está abajo y entonces repartir solamente el respaldo IPS? Para el smtp de entrada un MX Record con un primario y secundario puede trabajar muy bien, pero para otros servicios, éste puede ser problemático.
Una solución que puede trabajar es ésta
- Tener su punto del secretario a los servidores de DNS que usted administra. Uno se configura en un IP asignado por ISP1, el otro en ISP2.
- Tener esos IPS NATed en su cortafuego a ir a 2 servidores de DNS separados, éstos reciben sus expedientes del DNS del Internet
- Configurar sus entradas del DNS en cada servidor de modo que repartan el IPS para la ISP específica que se relacionan con. Es decir el servidor de DNS 1, NATed al IP address ISP1, reparte el IPS para los servicios de entrada que son asignados por ISP1. El servidor de DNS 2 reparte números del IP ISP2.
- El servidor de ISP2 DNS será sin acceso del Internet a menos que y hasta que ISP1 falle y el ASA vuelve a dirigir la ruta de la entrada de defecto, el servidor de DNS 2 entonces reparte el IPS, pero solamente para que el IPS sea encaminado con ISP2, y así a través de la conexión de reserva.
También puede ser que precise que XroadsNetworks tiene un dispositivo se puede configurar detrás de su ASA y hace esta disposición mucho más fácil. :)