Как настроить автоматическое переключение туннеля FortiGate?

Question

Amelia

network-hardware , сети , сетевое-администрирование , fortigate

Как настроить автоматическое переключение туннеля FortiGate?

У меня есть устройство Fortigate, которое использует двух провайдеров для установления IPsec-туннеля с Cisco. Этот туннель сейчас работает через первого провайдера. Как мне реализовать автоматическое переключение на второго провайдера в случае сбоя туннеля с первым провайдером?

2 декабря 2024 г. 7:33

Ответы на вопрос 2

Похожие вопросы

Answer 1

Настройка автоматического переключения туннеля на FortiGate в случае сбоя одного из провайдеров предполагает использование функции Dead Peer Detection (DPD) и двух статических маршрутов с параметрами приоритета. Вот пошаговая инструкция по настройке автоматического переключения для IPsec-туннеля:

### Шаг 1: Настройка IPsec-туннелей

1. **Создайте два IPsec-туннеля** — один для первого провайдера и один для второго. Это можно сделать через веб-интерфейс или CLI.
  
   Пример через CLI:
   ```bash
   config vpn ipsec phase1-interface
       edit "Tunnel-to-Provider1"
           set remote-gw <IP_первого_провайдера>
           ...
       next
       edit "Tunnel-to-Provider2"
           set remote-gw <IP_второго_провайдера>
           ...
   next
   end
   ```

### Шаг 2: Включение Dead Peer Detection (DPD)

2. **Включите DPD на обоих туннелях**:
   
   Пример через CLI:
   ```bash
   config vpn ipsec phase1-interface
       edit "Tunnel-to-Provider1"
           set dpd on
           set dpd-retryinterval 10
           set dpd-retrycount 3
       next
       edit "Tunnel-to-Provider2"
           set dpd on
           set dpd-retryinterval 10
           set dpd-retrycount 3
       next
   end
   ```

### Шаг 3: Настройка маршрутов

3. **Настройте статические маршруты с учетом приоритетов**:
   - Установите маршрут для первого провайдера с более высоким приоритетом.
   - Установите маршрут для второго провайдера с более низким приоритетом.

   Пример через CLI:
   ```bash
   config router static
       edit 1
           set dst 0.0.0.0/0
           set gateway <IP_первого_провайдера>
           set device "Tunnel-to-Provider1"
           set distance 10
       next
       edit 2
           set dst 0.0.0.0/0
           set gateway <IP_второго_провайдера>
           set device "Tunnel-to-Provider2"
           set distance 20
       next
   end
   ```

### Шаг 4: Проверьте и протестируйте

4. **Проверьте настройки**:
   - Убедитесь, что оба туннеля корректно настроены и функционируют.
   - Также проверьте, чтобы DPD работал правильно.

5. **Тестирование переключения**:
   - Чтобы протестировать переключение, временно отключите первый провайдер и проверьте, произойдет ли автоматическое переключение на второй.

### Шаг 5: Логи и мониторинг

6. **Настройте систему логирования и мониторинга**:
   - Убедитесь, что у вас есть возможность отслеживать состояние туннелей и получать уведомления в случае их падения.

Это общее руководство по созданию автоматического переключения туннелей на FortiGate. В зависимости от вашей конкретной конфигурации могут быть некоторые дополнительные шаги или детали, которые следует учесть.

Answer 2

поднимает туннель ipsec с cisco
 
 Интересно какой IPSEC, т.к. не все туннели разрешают динамически менять IP. 
 
 По классике поднимают два туннеля одновременно, а для переключения используют OSPF.