Hej allihopa,
företaget jag jobbar för har lyckligtvis beslutat att migrera från Sophos till Fortigate-brandväggar. Jag är mycket nöjd med detta beslut hittills och har redan gått igenom alla officiella Fortigate-kurser och tror att jag har en bra förståelse för hur brandväggen fungerar.
Men nu till min fråga: Vad är det bästa sättet att ställa in IPsec VPN-anslutningar om många enskilda värdar måste kommunicera på båda sidor i anslutningen? Det mest självklara skulle nog vara att använda 0.0.0.0 som phase 2-variabler, men tyvärr vill inte min chef och mina kollegor det.
Behöver jag verkligen skapa 32 SAs om det finns 4 värdar på båda sidor? Jag har redan försökt med namngivna adresser och Adressgrupper, men detta har orsakat problem med många anslutningar.
Kanske gör jag just nu ett misstag och det finns ett mycket uppenbart och avslappnat sätt. Jag skulle vara mycket tacksam om ni kunde ge mig några tips om hur man löser detta.
Tack så mycket!
Det mest självklara skulle nog vara att använda 0.0.0.0 som phase 2-variabler, men tyvärr vill inte min chef och mina kollegor det.
Fråga dem varför, för jag ser liten anledning att inte göra det om den andra sidan kan hantera det.
Berätta för honom att numera använder alla routingbaserade VPN. Den enda anledningen till att använda phase 2-variabler är för att den andra änden inte kan hantera routingbaserade VPN.
Som andra nämnt är det inget säkerhetsproblem eftersom du redan filtrerar och kontrollerar vilken trafik som är tillåten eller nekad genom säkerhetspolicys, det är där du använder host-adresser.
Varför använder du inte nätverket/masken istället för 0.0.0.0 eller host för host? Eller kan du konfigurera ett hub och spoke IPsec, där huvudkontoret är hubben och filialerna är spokens, vilket fungerar mycket bra, och routingen är BGP-baserad.
Är det att skapa phase 2-variablerna som är problemet? Om du verkligen måste och väljer att inte använda 0.0.0.0/0, tror jag att du kan lägga till alla adresser i en grupp, och sedan använda den gruppen som källa och destination när du skapar phase 2-variabeln.
Hitta kanske någon lokal som kan visa hur 0:orna fungerar, och schemalägg ett samtal med en Fortinet SE som kan förklara 0:orna. Det kommer endast göra ditt liv enklare att göra det på det sättet.
Prova att sätta upp en labbmiljö med GNS3 till exempel. Ibland måste du visa dem hur bra det fungerar.