我有 200B Fortigate 设备,带有 2 个互联网 WAN 连接。
我还有一个远程站点,通过 WAN1 通过 IPSEC VPN 连接到该站点。该站点只有一个 GW IP 地址。我还想在 WAN2 上设置一个 VPN,并将该特定站点作为目的地。我这边的默认路由是 WAN1。
我的问题是我不知道如何同时启用这两条隧道。实现此目的的最佳做法是什么?
谢谢
答案1
您需要配置两个阶段 1(和两个阶段 2),分别为 200B 上的每个 WAN 接口配置一个。在辅助/备份隧道上,monitor
按照Fortigate 食谱。推理也在那里......总结一下,这允许隧道监控另一个隧道,并在另一个隧道关闭时自行启动(还必须启用死对等检测)。您可能希望将设置monitor-hold-delay
为相当高的值,以便您跟进主要 ISP 并确保主要连接没有出现故障。您可以通过配置电子邮件警报、snmptrap 监控或使用类似网关IP监控器(实际上我已经配置了这三个)。
另外,请考虑您的路由需求。两个接口是否都通过 DHCP 或 PPPoE 配置(但使用静态地址)?您是否有 ECMP 和静态路由?
如果您有内部 DNS 服务器,我还想建议您创建 DNS 故障转移。我已在一篇博客文章。
如果您需要对 IPsec 数据包本身进行 NAT(到绑定到出站接口的地址以外的地址):
- 使用本地网关地址作为 NAT 源地址。
- 启用同一子网中的两个 IP 绑定到接口(重叠)的功能。
- 将附加IP绑定到接口。
很抱歉添加了这条额外的信息,但我花了好长时间才弄清楚。