VPNルーティングの問題を軽減する
私は2つのインターネットWAN接続を持つ200BFortigateユニットを持っています。
また、WAN1を介してIPSECVPN経由で接続しているリモートサイトもあります。このサイトにはGWIPアドレスが1つしかありません。また、その特定のサイトを宛先として、WAN2上にVPNをセットアップしたいと思います。私の側のデフォルトルートはWAN1です。
私の問題は、両方のトンネルを同時に立ち上げる方法がわからないことです。これを達成するためのベストプラクティスは何ですか?
ありがとう
200BのWANインターフェイス)ごとに1つずつ、2つのフェーズ1(および2つのフェーズ2)を構成する必要があります。セカンダリ/バックアップトンネルで、説明に従ってmonitorを構成します。 Fortigate Cookbook 。理由もあります...要約すると、これにより、トンネルは別のトンネルを監視し、他のトンネルがダウンしたときにそれ自体を起動できます(デッドピア検出も有効にする必要があります)。 monitor-hold-delayをかなり高い値に設定して、プライマリISPにフォローアップし、プライマリ接続がフラッピングされていないことを確認できるようにすることができます。電子メールアラート、snmptrapモニタリングを構成することで、変更をアラートできます。 、または Gateway IP Monitor のようなものを使用します(実際には3つすべてを構成しています)。
また、ルーティングのニーズも考慮してください。両方のインターフェイスがDHCPまたはPPPoE(ただし静的アドレスを使用)を介して構成されていますか?ECMPおよび静的ルートがありますか?
内部DNSサーバーがある場合は、DNSフェイルオーバーを作成することも提案したいと思います。これについては ブログ投稿 で説明しました。
NAT IPsecパケット自体(出力インターフェイスにバインドされているアドレス以外のアドレスへ))が必要な場合:
- NAT送信元アドレスにはローカルゲートウェイアドレスを使用します。
- 同じサブネット内の2つのIPをインターフェイスにバインド(重複)できるようにします。
- 追加のIPをインターフェースにバインドします。
この余分な情報を含めて申し訳ありませんが、私はそれを理解するのに非常に時間がかかりました。