我有200B Fortigate单位与2互联网广域网连接。
我也有一个通过WAN1通过IPSEC VPN连接的远程站点。 这个站点只有一个GW的IP地址。 我也想设置一个WAN2的VPN ontop作为目的地。 我最后的默认路由是WAN1。
我的问题是我不能弄清楚如何在同一时间有两个隧道。 达到这个目标的最佳做法是什么?
谢谢
您需要configuration两个阶段1(和两个阶段2),200B上的每个WAN接口一个。 在辅助/备份隧道上,configurationmonitor ,如Fortigate Cookbook中所述 。 推理也有…总结,这允许隧道监视另一个隧道,并在另一个隧道出现故障时自动启动(必须启用死对等检测)。 您可能希望将monitor-hold-delay为相当高的值,以便您可以跟踪主ISP,并确保主连接不会振荡。 您可以通过configuration电子邮件警报,snmptrap监控或使用像Gateway IP Monitor (我实际上已经configuration了所有三个)之类的东西来提醒您所做的更改。
另外,考虑你的路由需求。 两个接口是通过DHCP还是PPPoEconfiguration的(但都是静态地址)? 你有ECMP和静态路由吗?
如果你有一个内部的DNS服务器,我也想提出创buildDNS故障转移的build议。 我已经在博客文章中介绍了这一点。
如果您需要将您的IPsec数据包本身(连接到出口接口以外的地址)进行NAT转换:
对不起,包括这额外的信息,但我有一段时间搞清楚了。