У меня есть Fortigate 100D, и я уже какое-то время без проблем использую его с одним подключением к Интернету, а также использую SSL VPN для подключения к сети. SSL VPN использует двухфакторную аутентификацию (Fortitoken).
Я добавил второе подключение к Интернет-провайдеру и настроил маршрутизацию по принципу равной стоимости с несколькими путями (ECMP). Это настроено так, что если IP-адрес в Интернете не может быть достигнут, путь будет отмечен как неработающий.
У меня проблема в том, что я не могу заставить SSL VPN работать в WAN2, и мне интересно, как лучше всего это спроектировать: если я получу SSL VPN, работающую в WAN2, должен ли я создать DNS-имя, которое имеет две записи A для двух общедоступных IP-адресов соединений, поэтому, если какая-либо из них активна, клиенты смогут получить соединение с брандмауэром для аутентификации?
Должен ли я создать DNS-имя, которое имеет две записи A для двух общедоступных IP-адресов подключений, чтобы клиенты могли подключиться к брандмауэру для аутентификации, если они активированы?
Если вы это сделаете, клиенты получат один IP-адрес от DNS непредсказуемо, а затем кеширование DNS гарантирует, что они застрянут на нем. Если это соединение не удается, клиент не будет пробовать другой адрес и ничего о нем не узнает.
Циклический DNS - это (плохой) балансировщик нагрузки, а не решение для аварийного переключения.
Если клиент Fortigate SSL VPN может поддерживать первичный и вторичный адрес подключения, создайте DNS-имя для каждого из них и вставьте их оба. Если нет, то вам, возможно, придется сообщить всем обоим и заставить их попробовать один, а затем другой. .
Я ничего не вижу в Документация Fortigate SSL VPN где вообще упоминается аварийное переключение, мульти-глобальные, резервные или вторичные адреса, поэтому я думаю, что у него нет способа обработать это автоматически.