У меня есть блок Fortigate 200B с 2 подключениями к Интернету WAN.
У меня также есть удаленный сайт, к которому я подключен через IPSEC VPN через WAN1. У этого сайта только один IP-адрес GW. Я также хотел бы настроить VPN поверх WAN2 с этим конкретным сайтом в качестве пункта назначения. Маршрут по умолчанию для моей стороны - WAN1.
Моя проблема в том, что я не могу понять, как открыть оба туннеля одновременно. Как лучше всего этого добиться?
Спасибо
Вам необходимо настроить две фазы 1 (и две фазы 2), по одной для каждого интерфейса WAN на вашем 200B. На вторичном / резервном туннеле настройте monitor, как описано в Поваренная книга Fortigate. Обоснование тоже есть ... Подводя итог, это позволяет туннелю отслеживать другой туннель и активировать себя, когда другой туннель выходит из строя (также необходимо включить обнаружение мертвого узла). Возможно, вы захотите установить monitor-hold-delay к чему-то довольно высокому, чтобы вы могли связаться с вашим основным интернет-провайдером и убедиться, что основное соединение не работает. Вы можете быть предупреждены об изменении, настроив оповещение по электронной почте, мониторинг snmptrap или используя что-то вроде Монитор IP шлюза (На самом деле у меня все три настроены).
Также учтите свои потребности в маршрутизации. Оба интерфейса настроены через DHCP или PPPoE (но со статическими адресами)? У вас есть ECMP и статические маршруты?
Я также хочу сделать предложение о создании аварийного переключения DNS, если у вас есть внутренний DNS-сервер. Я рассказал об этом в сообщение в блоге.
Если вам когда-нибудь понадобится NAT для самих пакетов IPsec (на адрес, отличный от адреса, привязанного к исходящему интерфейсу):
Извините, что включаю эту дополнительную информацию, но у меня было чертовски много времени, чтобы понять это.