Как реализовать автоматическое переключения туннеля fortigate? Имеется forgigate с двумя провайдерами, поднимает туннель ipsec с cisco. Туннель поднимается через первого провайдера, необходимо реализовать автоматическое переключение на второго провайдера, если упал туннель на первом провайдере

Предыдущий
вопрос Следующий
вопрос

Для реализации автоматического переключения туннеля IPSec на FortiGate при использовании двух провайдеров, можно использовать механизм мониторинга состояния туннеля IPSec и маршрутизации с использованием статических и/или динамических маршрутов. Вот шаги, которые помогут вам настроить автоматическое переключение:

1. Настройка IPsec туннеля

Сначала вам нужно убедиться, что у вас настроены оба IPsec туннеля через FortiGate к Cisco-устройству. Один туннель должен быть через первого провайдера, другой — через второго провайдера.

2. Настройка мониторинга туннеля

Вы можете использовать мониторинг состояния туннеля IPSec в FortiGate. Например, эти настройки могут использовать параметры "Dead Peer Detection (DPD)" для определения состояния туннеля.

config vpn ipsec phase1-interface
edit <tunnel_name>
set dpd on-idle # Используйте настраиваемое значение таймаута
next
end3. Настройка маршрутов

Настройте статические маршруты для доступа к ресурсам через оба туннеля. Используйте различные приоритеты для маршрутов, чтобы указать, какой из них является предпочтительным (нижнее значение указывает на более высокий приоритет).

Например:

config router static
edit 1
set dst <remote_network> <subnet_mask>
set gateway <gateway_ip_first_provider>
set device <ipsec_tunnel_name_first_provider>
set distance 10
next
edit 2
set dst <remote_network> <subnet_mask>
set gateway <gateway_ip_second_provider>
set device <ipsec_tunnel_name_second_provider>
set distance 20
next
end4. Настройка маршрутизации с использованием SLB (Source Load Balancing)

FortiGate поддерживает Source Load Balancing, который может использоваться для управления маршрутизацией трафика через два провайдера. Он может изменить маршрут при отсутствии ответа от главного маршрута.

5. Настройка DPD на стороне Cisco

Если это возможно, настройте DPD на Cisco, которое будет отправлять запросы на проверку состояния туннеля. В случае потери соединения Cisco будет сообщать о недоступности туннеля, и FortiGate сможет переключиться на резервный туннель.

6. Проверка и тестирование

После всех настроек важно протестировать работоспособность переключения. Эмулируйте потерю туннеля, отключая первый провайдер, и проверьте, что переключение происходит без сбоев.

7. Логирование и мониторинг

Настройте логирование и мониторинг этих туннелей, чтобы быть уверенными в их состоянии и получать уведомления о возможных проблемах.

С учетом вышеуказанных шагов вы сможете настроить автоматическое переключение между туннелями IPSec на FortiGate, используя два провайдера.