Tunnel IPsec redundante
Publicado: 08 Oct 2024, 15:30
Buenas a todos.
Soy nuevo en el foro y también novato con Fortinet, así que me gustaría consultaros unas dudas sobre un túnel IPsec redundante que estoy probando en mi empresa.
Adjunto el esquema general de las conexiones y os lo explico.
Son 2 oficinas actualmente conectadas por un radioenlace. Hace poco han llevado la fibra hasta la oficina secundaria y he querido hacer pruebas para conectar ambas por IPsec de un modo redundante por el radioenlace y la fibra.
Tengo 2 equipos Forgate, un 80F en la oficina principal y un 40F en la secundaria.
En el 80F tengo el paquete UTP para la protección de entradas y salidas, en el 40F solo está el soporte y actualizaciones.
La idea es conectar las diferentes de ambas oficinas entre ellas controlando el acceso mediante las reglas de firewall.
También quiero que las redes de la oficina secundaria salgan a internet a través de la oficina principal para aprovechar los servicios UTP del 80F, por lo que quiero que se conecten exclusivamente a través de IPsec.
Tengo un equipo en la oficina remota en la red 100 (ver esquema) que quiero que salga a través del internet por el 40F para poder conectarme a él con independencia del estado de los túneles IPsec.
He conseguido todo lo que pretendía, pero no sé si lo he hecho de la forma más conveniente.
- Una zona SD-WAN con los 2 túneles IPsec
- Regla SD-WAN en modo "Maximize bandwidth (SLA)" con un SLA target de ping entre las IPs 192.168.0.1 (Oficina principal) y 192.168.100.1 (Oficina secundaria)
- Rutas estáticas a través de la zona para comunicación entre las redes de ambos lados
Hasta ahí todo correcto, el balanceo funciona y cada subnet de cada oficina accede a las subnets del otro lado sin problemas.
Mi duda viene en el tema del acceso a internet desde la oficina secundaria.
He creado varias "Policy routes":
- Una primera que enruta el todo el tráfico del equipo quiero que salga por la fibra de la oficina de secundaria apuntando a la wan del 40F. Funciona.
- He creado varias rutas para enrutar todo el tráfico de cada red (100, 104,
hacia la oficina principal poniendo como interfaz de salida el túnel IPsec y como Gateway la IP del tunel IPsec de la oficina principal. Como en la interfaz no puedes seleccionar la zona SD-WAN, he tenido que crear 2 por cada red, una para cada túnel.
Con esto todo funciona correctamente, las redes de la oficina salen a internet por el firewall de la oficina principial y el equipo remoto sale por el firewall de la oficina secundaria.
Pero me surgen dudas.
- ¿Hay alguna forma de hacer esto desde la reglas SD-WAN sin las Policy Routes? más que nada porque en las Policy Routes no puedo seleccionar la zona SD-WAN y me obliga a crear varias rutas.
- En la regla SD-WAN tengo puesto el balanceo de carga entre los túneles IPsec y solamente con el tráfico entre redes funciona bien, balancea la conexiones, pero cuando activo las Policy Routes para el acceso a internet y pongo un túnel por delante del otro, el tráfico solamente va por la primera regla que hay y no se usa el balanceo.
No se si me he explicado bien.
Muchas gracias.
Un saludo.
Soy nuevo en el foro y también novato con Fortinet, así que me gustaría consultaros unas dudas sobre un túnel IPsec redundante que estoy probando en mi empresa.
Adjunto el esquema general de las conexiones y os lo explico.
Son 2 oficinas actualmente conectadas por un radioenlace. Hace poco han llevado la fibra hasta la oficina secundaria y he querido hacer pruebas para conectar ambas por IPsec de un modo redundante por el radioenlace y la fibra.
Tengo 2 equipos Forgate, un 80F en la oficina principal y un 40F en la secundaria.
En el 80F tengo el paquete UTP para la protección de entradas y salidas, en el 40F solo está el soporte y actualizaciones.
La idea es conectar las diferentes de ambas oficinas entre ellas controlando el acceso mediante las reglas de firewall.
También quiero que las redes de la oficina secundaria salgan a internet a través de la oficina principal para aprovechar los servicios UTP del 80F, por lo que quiero que se conecten exclusivamente a través de IPsec.
Tengo un equipo en la oficina remota en la red 100 (ver esquema) que quiero que salga a través del internet por el 40F para poder conectarme a él con independencia del estado de los túneles IPsec.
He conseguido todo lo que pretendía, pero no sé si lo he hecho de la forma más conveniente.
- Una zona SD-WAN con los 2 túneles IPsec
- Regla SD-WAN en modo "Maximize bandwidth (SLA)" con un SLA target de ping entre las IPs 192.168.0.1 (Oficina principal) y 192.168.100.1 (Oficina secundaria)
- Rutas estáticas a través de la zona para comunicación entre las redes de ambos lados
Hasta ahí todo correcto, el balanceo funciona y cada subnet de cada oficina accede a las subnets del otro lado sin problemas.
Mi duda viene en el tema del acceso a internet desde la oficina secundaria.
He creado varias "Policy routes":
- Una primera que enruta el todo el tráfico del equipo quiero que salga por la fibra de la oficina de secundaria apuntando a la wan del 40F. Funciona.
- He creado varias rutas para enrutar todo el tráfico de cada red (100, 104,
hacia la oficina principal poniendo como interfaz de salida el túnel IPsec y como Gateway la IP del tunel IPsec de la oficina principal. Como en la interfaz no puedes seleccionar la zona SD-WAN, he tenido que crear 2 por cada red, una para cada túnel.Con esto todo funciona correctamente, las redes de la oficina salen a internet por el firewall de la oficina principial y el equipo remoto sale por el firewall de la oficina secundaria.
Pero me surgen dudas.
- ¿Hay alguna forma de hacer esto desde la reglas SD-WAN sin las Policy Routes? más que nada porque en las Policy Routes no puedo seleccionar la zona SD-WAN y me obliga a crear varias rutas.
- En la regla SD-WAN tengo puesto el balanceo de carga entre los túneles IPsec y solamente con el tráfico entre redes funciona bien, balancea la conexiones, pero cuando activo las Policy Routes para el acceso a internet y pongo un túnel por delante del otro, el tráfico solamente va por la primera regla que hay y no se usa el balanceo.
No se si me he explicado bien.
Muchas gracias.
Un saludo.