我有一台 Fortigate 100D,一段时间以来一直使用单一互联网连接,没有出现任何问题,并且还使用 SSL VPN 连接到网络。SSL VPN 使用双因素身份验证 (Fortitoken)。
我添加了第二个 ISP 连接并配置了等价多路径 (ECMP) 路由。配置后,如果无法访问互联网 IP,该路径将被标记为关闭。
我遇到的问题是我无法让 SSL VPN 在 WAN2 上运行,我想知道设计它的最佳方法是什么:如果我让 SSL VPN 在 WAN2 上运行,我是否应该创建一个 DNS 名称,该名称具有两个用于连接的两个公共 IP 的 A 记录,这样只要其中一个启动,客户端就能够连接到防火墙进行身份验证?
答案1
我是否应该创建一个 DNS 名称,该名称具有两个用于连接的两个公共 IP 的两个 A 记录,以便只要其中一个启动,客户端就能够连接到防火墙进行身份验证?
如果你这样做,客户端将不可预测地从 DNS 获取一个 IP 地址,然后 DNS 缓存将确保它们始终使用该地址。如果该连接失败,客户端将不会尝试其他地址,也不会知道有关该地址的任何信息。
循环 DNS 是一种(糟糕的)负载均衡器,它不是一种故障转移解决方案。
如果 Fortigate SSL VPN 客户端可以支持主连接地址和辅助连接地址,请为每个地址创建一个 DNS 名称,并将它们都输入进去。如果不能,那么您可能只需要告诉每个人这两个地址,然后让他们先尝试一个,然后再尝试另一个。
我什么都看不见Fortigate SSL VPN 文档其中提到了故障转移,或多 WAN 或备份或辅助地址,所以我猜它没有办法自动处理它。