Fortigate VPN Routing issue

J'ai 200B Fortigate unité avec 2 connections WAN Internet.

J'ai également un site distant sur lequel je suis connecté via IPSEC VPN via WAN1. Ce site n'a qu'une seule adresse IP GW. Je voudrais également configurer un VPN sur le dessus de WAN2 avec ce site spécifique en tant que destination. L'itinéraire par défaut pour ma fin est WAN1.

Mon problème est que je ne peux pas comprendre comment avoir les deux tunnels en même time. Quelle est la meilleure pratique pour y parvenir?

Merci

One Solution collect form web for “Fortigate VPN Routing issue”

Vous devez configurer deux phases 1s (et deux phases 2s), une pour chaque interface WAN sur votre 200B. Sur le tunnel secondaire / de sauvegarde, configurez le monitor , comme décrit dans le livre de recettes fortigate . Le raisonnement est également là … pour résumer, cela permet à un tunnel de surveiller un autre tunnel et de s'allonger lorsque l'autre tunnel descend (la détection par les morts doit également être activée). Vous voudrez peut-être régler le monitor-hold-delay de monitor-hold-delay du monitor-hold-delay sur quelque chose d'assez élevé, afin de vous permettre de suivre votre FAI principal et de vous assurer que la connection primaire ne bouge pas. Vous pouvez être alerté de la modification en configurant l'alerte par courrier électronique, la surveillance snmptrap, ou utilisez quelque chose comme Gateway IP Monitor (j'ai en fait tous les trois configurés).

Aussi, considérez vos besoins de routing. Les deux interfaces sont-elles configurées via DHCP ou PPPoE (mais avec des adresses statiques)? Avez-vous des routes ECMP et statiques?

Je veux également faire la suggestion de créer un basculement DNS, si vous avez un server DNS interne. Je l'ai couvert dans une publication de blog .

Si vous avez besoin de NAT vos packages IPSec eux-mêmes (à une adresse autre que celle liée à l'interface de sortie):

  1. utilisez l'adresse de passerelle locale pour l'adresse source NAT.
  2. permet d'associer deux interfaces IP dans le même sous-réseau à des interfaces (chevauchement).
  3. lier l'IP supplémentaire à l'interface.

Désolé d'inclure ce petit extra d'information, mais j'ai tout de suite compris.

  • IKEV2 VPN ne cache pas l'IP réelle à partir du client Windows
  • Hors services réseau de VPN
  • VPN sur un server ubuntu limité à certains ips
  • Windows 7/8 Strongswan IKEv2 Wrong Gateway
  • Tunneling tout trafic TCP et UDP via un server?
  • VPN - DC non disponible
  • Comment puis-je associer un sous-réseau spécifique à un certificate spécifique avec openvpn?
  • openconnect VPN fonctionne dans le widget KDE NetworkManager mais pas sur la command line
  • Comment se connecter à un VPN Juniper à partir de Linux
  • Authentification de domaine sur SSLVPN
  • FreeBSD L2TP / IPsec ne transite pas le trafic vers le server vpn
  • Les astuces du serveur de linux et windows, tels que ubuntu, centos, apache, nginx, debian et des sujets de rĂ©seau.