Jag har arbetat med FortiGates ett tag nu, men en sak jag inte verkar få ett tydligt svar på är att sätta upp IPSEC-tunnlar med SD-WAN. Jag vet att det är tekniskt stödd, men även när jag pratar med Fortinet-supporten verkar de undvika det. Även deras dokumentation verkar vara bristfällig på detta.
Har någon lyckats med att konfigurera IPSEC med SD-WAN? Värt besväret, eller är det bättre att konfigurera viktningsroutar?
Jag vet att det är tekniskt stödd, men även när jag pratar med Fortinet-supporten verkar de undvika det.
Vad menar du med detta? Det finns mycket officiell Fortinet-dokumentation som handlar om IPsec-tunnlar och SD-WAN.
Har någon lyckats med att konfigurera IPSEC med SD-WAN? Värt besväret, eller är det bättre att konfigurera viktningsroutar?
Jag är villig att satsa på att en stor del av Fortinet-redditors (törs jag säga, Fortiredditors) kommer att bekräfta att det fungerar (och är ganska enkelt). Kan du förklara vad du försöker åstadkomma och eventuella fallgropar du kan ha stött på under processen?
Det är enkelt att konfigurera. Vad exakt har du problem med eller vad i dokumentationen är förvirrande?
Vi har 26 platser via IPsec genom SD-WAN till HQ. Inga problem där.
Jag förstår inte din poäng. Det är lätt att konfigurera och du kan dra nytta av SD-WAN:s kapabiliteter (till exempel att dirigera den mest kritiska trafiken till den bästa ISP baserat på latens, paketförlust, bandbreddsanvändning, etc…). Dessutom, om du bara använder tunnlar direkt i policyn istället för en enda SD-WAN-gränssnitt, kommer du att behöva dubblera antal policys för båda tunnlarna eller aktivera mer än ett käll- eller destinationsgränssnitt i en enda policy (det är lätt att vända dina policys till ett helvete att felsöka om du använder det för mycket, så försök undvika det). Jag kan också upptäcka med SLA-kontroller om en tunnel fortfarande är uppe men inte vidarebefordrar trafiken som förväntat. (Det hände mig redan med vissa tunnlar jag etablerade med vissa Sonic Wall-brandväggar).
Enkelt, gör ett annat zon för IPSec. Jag rekommenderar att använda SD-WAN för att organisera dina policys och rutter. Version 7 tillåter ruttrouting per zon. Och policys kan använda zoner eftersom 6.4. Fortigate SD-WAN är magisk kvadrant. Virtual-wan-link är namnet på internetzonen. Och du kan skapa och namnge de andra zonerna där dina VPN:er kommer vara. Det är mycket anpassningsbart.
Är detta inte en standard för SD-WAN-enheter redan?
Att ha tiotals IPsec VPN:er över SD-WAN sparade mig mycket driftstopp,
Tack, Fortinet.
Som andra nämnt, du kan absolut köra SD-WAN med IPsec (det är den accepterade grunden för att skapa ADVPN-nät idag). Jag har också hundratals platser anslutna på detta sätt.
Där svårigheten ligger är om du vill ha dubbla ISP:er vid din Hub-plats, eller effektivt vid båda ändar av tunneln. Du skulle inte enkelt kunna göra SDWAN på bägge sidor utan att stöta på asymmetrisk routning. Fortinet introducerade en ny funktion i 7.2.x som skickar SDWAN-information från platsen för att du ska kunna använda samma rutter från hubben tillbaka till grenen. Innan dess var det mycket svårt (och varför inget av exemplen hade två WAN-anslutningar på hubben av en enda FGT).
Det är mycket enkelt på FortiOS v7.0. Vi har framgångsrikt implementerat flera platser med IPsec-tunnlar som är medlemmar i SD-WAN-zoner. Med SD-Regler behöver du inte viktningsroutar.
Jag jobbar inom konsultverksamhet, så jag har arbetat med flera kunder som byter från en gammal brandväggsleverantör till FortiGate. De flesta har inte behov av SD-WAN och IPSEC eftersom de har MPLS- eller ENS-kretsar, men två av dem valde FortiGate för deras SD-WAN-kapabiliteter.
Vi gick igenom dokumentationen Fortinet har, men stötte alltid på något problem med tillförlitlighet. När vi kontaktade Fortinet-support, sa de första två supportrepresentanterna rakt ut att jag skulle hålla mig borta från SD-WAN & IPSEC. När kunden protesterade, lyckades vi hitta någon som var villig att arbeta med oss på detta. Det här var för cirka 8 månader sedan, men senast jag hörde hade de återgått till redundanta IPSEC-tunnlar med viktningsrouting.
Höger framåt, jag arbetar med en ny kund som vill använda SD-WAN för deras IPSEC-tunnlar mellan tre platser. Två platser har två ISP:er, en plats har en ISP. Vi har gått igenom Fortinet-dokumentationen för de två första platserna med 2 ISP:er. Lagt till VPN-tunneln interface med SD-WAN-guiden, justerat Phase 1&2 inställningarna, lagt till statiska rutter, policys och tunnelinterfaces IPs. Justerat SD-WAN SLA:er och policys—inget lyckat. Tunnlarna kommer online som förväntat, men SD-WAN och routing verkar ha eget liv.
Jag vill verkligen gilla SD-WAN och IPSEC, tro mig, men det har varit en hel del slumpmässigt även med deras support.
En av våra kunder har en Fortigate SD-WAN-konfiguration med cirka 5300 grenar som ansluter till datacenter/DR med IPsec VPN och SD-WAN-kapabiliteter, bildande cirka 23000 tunnlar vid datacenter/DR som fungerar bra sedan 2 år.
Låt oss veta dina krav och eventuella specifika problem du har.
Jag menar, jag skulle inte betrakta en FortiGate som en SD-WAN-applikans. Det är en NGFW med SD-WAN-kapabiliteter, ja, men även SD-WAN-leverantörer kommer att para ihop en FortiGate med en Velo Cloud för att hantera plats-till-plats.
Finns det något workaround för oss som inte kan uppgradera till 7.12?
Var mer specifik. Vad är problemet? Vad är din konfiguration?
Faktiskt gör tusentals kunder detta.
Har du läst något av SD-WAN-Koncepten eller implementationsguider?
Jag har ingen aning om vilka problem eller tillförlitlighetsutmaningar du stött på.
Jag har levererat flera platser, en kund till exempel hade 4 platser, alla hade 2 ISP:er och jag har satt SD-WAN med ADVPN på det, och allt fungerar felfritt.
Jag har till och med satt BFD/OSPF/BGP för deras nätverksannonsering och det har gått i 2 år utan problem.
Och det är mycket skalbart eftersom med BGP behöver de bara lägga till nya nätverk på brandväggen de vill ha och det annonseras automatiskt till andra platser.
Jag tycker du bör läsa dokumentationen lite noggrannare eftersom den förklarar allt du behöver för SD-WAN med IPsec, som andra nämnde.
Alla de byggen jag gjort, oavsett krets typ (antingen Internet via fast linje, privat WAN via MPLS, eller Internet via 4G/LTE etc.) använder alltid IPsec immersive tunnlar.
Ett av målen med att använda SD-WAN är att utöka räckviddsbegränsningarna för det underliggande nätverket (t.ex. en WAN-krets kan inte nå Internet och vice versa). Detta gör du med overlay-tunnlar, som körs ovanpå råunderlagen, mellan hub(s) och gren(ar).
Till exempel, om gren-1 har Internet och en WAN-krets, så vill jag att Internet-trafiken ska routas via WAN och utgå från hub INET-kretsen om den lokala Internet-kretsen på den grenen misslyckas av någon anledning. Med samma exempel, vill jag att WAN-trafiken mellan hubben och grenen ska routas via INET-kretsen över tunneln om WAN-kretsen skulle misslyckas. Om allt detta misslyckas, vill jag att Internet-trafiken ska lämna FortiExtender direkt, med WAN-trafik som tar IPSec-tunneln till hubben för att behålla reachability till privata nätverk i datacentret om båda dessa kretsar misslyckas och jag bara har 4G/LTE som backup.
Vi har distribuerat detta mycket och när du väl förstår processen är det ganska enkelt och mycket tillförlitligt. Vi har hundratals platser som kör så här över olika kunder på olika hårdvaru-modeller (alla på FortiOS v6.4 eller v7.0) med olika kombinationer av WAN+INET, dubbel-INET, eller INET+4G/LTE-kretsar utan problem.
Vilken version av FortiOS använder du? Det finns mycket bättre leverantörer för SD-WAN beroende på vad du vill uppnå. Barracuda SD-WAN är lite mer mogen om du letar efter en integrerad brandvägg/SD-WAN-lösning.
Wow, imponerande skala! Tack för ytterligare data.
Arbetssättet involverar standard BGP-ruttramper, vikter och annat. Ganska komplext och mycket utanför denna förklaring. Det är mycket enklare att undvika att använda SD-WAN och istället göra failover för hubbanslutningarna.