Fortios 5.2.2 - 2 ISP y failover automatico

[xtian_ar]

Hola!
tengo un fortigate con fortios 5.2.2 conectado a 2 ISP a través de WAN1 y WAN2 respectivamente. WAN1 esta siendo utilizada por el dominio root y WAN2 por un VDOM adicional, para que diferentes redes internas puedan utilizar a los proveedores de manera independiente ya que el primer objetivo era sacar la navegación WIFI a través de un proveedor independiente diferente al resto de la LAN interna. Ahora bien, existe otro requerimiento secundario de disponer de un mecanismo de failover ante la caído de uno de los enlaces para que el trafico salga a través de la otra conexión, ¿es esto posible que suceda de manera automatizada?
Lo que se me ocurre es la posibilidad de interconectar ambos VDOMs, que de hecho tengo entendido que existe la posibilidad y se llama algo así como VLInks o parecido, pero mi pregunta es si a través de esa interconexión se puede hacer que el trafico canalice hacia el proveedor del otro VDOM para que ante la caída del vinculo del VDOM se utilice la conexión al ISP del otro VDOM y todo de manera automatizada. ¿Sera posible?
gracias!!!

[gabyrossi]

A ver para hacer el primer requerimiento podias tenerlo en el mismno vdom todo.
para el 2do requerimiento si podrias usar inter vdom, pero te vas a complicar sin mucho sentido, si podrias tener todo en el mismo vdom.
Podrias reconfigurar ekl equipo?

saludos

[xtian_ar]

Hola! si, es posible reconfigurar el equipo, es mas, tenemos uno de backup asi que tranquilamente podemos trabajar con el de backup y luego probarlo haciendo el cambio.

[gabyrossi]

Ok, entonces es lo ideal. En la mayoria de fortigate se tiene mas de 1 wan, con diferentes salidas -

saludos.

[xtian_ar]

Ok, pero como??? como hago para que todo el trafico de la LAN interna salga por WAN1 y unicamente el trafico que viene de una segunda red interna (WIFI) salga por WAN2?

[gabyrossi]

hola, con policy rooute

revisa en el foro termas de doble wan o dual wan

[xtian_ar]

Ok! me voy a poner a ver el tema.
Y en el caso que se caiga la WAN1 principal (que era solo utilizada para cierto trafico y la WAN2 para otro trafico), se puede canalizar todo por la WAN2 secundaria?

[gabyrossi]

HOla, asi es.

link de ejemplo
[Debes identificarte para poder ver enlaces.]

saludos

[xtian_ar]

Hola! volviendo con este tema.
Recien estoy por probar esto con el fortigate.
Ya segui el link que me pasaste gabyrossi para configurar 2 rutas estáticas con diferentes prioridades. También el configuré el Helth Check. Ahora estoy esperando el momento para poder quitar el fortigate operativo y luego colocar el de backup que ya tengo configurado con las 2 rutas.
La duda que tengo es, ¿Qué sucede con las reglas? las tengo con Outgoing interface puestas con WAN1, cuando cambie y el trafico intente salir por WAN2, las reglas van a permitir el trafico? o debería configurar las reglas con ambas WAN1 y WAN2 como Outgoing Interfaces?

[gabyrossi]

Si, siempre politicas de firewall son por las 2 wan, salvo que armes una zona con las 2 interfaces dentro y generes una polici hacia la zona.
O con 5.2 manejar wan link

saludos

[xtian_ar]

Ok, perfecto. Y con respecto a el trafico entrante? me imagino que tengo que crear VIPs adicionales para la WAN2?

[gabyrossi]

Si vas a abrir servicios por ambas wan si

[xtian_ar]

Y, en condiciones normales existen VIPs para lo que es correo (smtp), publicación web (http/https), etc, etc. Cuando se caiga la WAN1 la idea es que todo siga funcionando de la misma manera por la WAN2. Ya logré dejar el forti con esta configuración, y pude verificar que efectivamente es necesario duplicar las VIPs. Muchas gracias!