Jag har arbetat med FortiGates ett tag nu, men en sak jag inte verkar kunna få ett tydligt svar på är att konfigurera IPSEC-tunnlar med SD-WAN. Jag vet att det är tekniskt stödd, men även när jag pratar med Fortinet-supporten verkar de dra sig undan. Även deras dokumentation verkar vara bristfällig i detta avseende.
Har någon lyckats med att konfigurera IPSEC med SD-WAN? Värt besväret, eller är det bättre att konfigurera viktade tunnelrutter?
Jag vet att det är tekniskt stödd, men även när jag pratar med Fortinet-supporten verkar de dra sig undan.
Vad menar du med detta? Det finns mycket officiell Fortinet-dokumentation som handlar om IPsec-tunnlar och SD-WAN.
Har någon haft framgång med att konfigurera IPSEC med SD-WAN? Värt besväret, eller är det bättre att konfigurera viktade tunnelrutter?
Jag är villig att påstå att en stor del av Fortinet-redditrådar (törs jag säga, Fortiredditors) bekräftar att det fungerar (och är rätt självklart). Du kan gärna förklara vad du försöker åstadkomma och eventuella fallgropar du mött under processen.
Det är enkelt att konfigurera. Vad exakt har du problem med eller vad i dokumentationen är förvirrande?
Vi har 26 platser via IPsec genom sdwan till huvudkontoret. Inga problem där.
Jag förstår inte din poäng. Det är lätt att ställa in och du kan dra nytta av SD-WAN-funktionerna (till exempel, styra kritisk trafik till den bästa ISP:n baserat på latens, paketförlust, bandbreddsanvändning, etc…). Dessutom, om du bara använder tunnlarna direkt i policyn istället för en enda SD-WAN-interfaces, kommer du att behöva dubbla antalet policys för båda tunnlarna eller aktivera mer än en källa/destinationsinterface i en policypolicy (det blir lätt en förbannad röra att felsöka om du använder allt och i princip allt). Jag kan också upptäcka med SLA-kontroller om en tunnel fortfarande är aktiv men inte vidarebefordrar trafik som förväntat. (Det hände med mig på vissa tunnlar som jag etablerade med Sonic Wall-brandväggar).
Lätt, skapa en annan zon för IPSec. Jag rekommenderar att använda SDWAN för att organisera dina policys och rutter. Version 7 gör det möjligt att konfigurera rutter per zon. Och policys kan använda zoner sedan version 6.4. Fortigate SDWAN är riktigt bra. Virtual-wan-link är namnet på internetzonen. Och du kan skapa och namnge andra zoner där VPN:erna ska vara. Det är mycket anpassningsbart.
Är detta inte redan en standard för SDWAN-enheter?
Att ha dussintals IPsec-VPN:er över SD-WAN har sparat mig mycket driftstopp,
Tack, Fortinet.
Som andra nämnt, kan du absolut köra SD-WAN med IPsec (det är den accepterade grunden för att skapa ADVPN-uppsättningar nuförtiden). Jag har också hundratals platser anslutna på detta sätt.
Där svårigheten ligger är om du vill ha dubbla ISP:er vid din Hub-placering, eller effektivt vid båda ändar av tunneln. Du skulle inte enkelt kunna göra SDWAN på båda sidor utan att stöta på asymmetrisk routing. Fortinet introducerade en ny funktion i 7.2.x som vidarebefordrar SDWAN-information från spoke-placeringen så att du kan använda samma rutter från hubben till spoke. Innan dess var det mycket svårt (och därför hade inget av exemplen två WAN-anslutningar på hubben på en enda FGT).
Det är mycket enkelt på fortios v7.0. Vi har framgångsrikt implementerat multipla platser med IPsec-tunnlar som är medlemmar i sd-wan-zoner. Med sd-rules behöver man inte viktade tunnelrutter.
Jag jobbar med konsultverksamhet, så jag har arbetat med flera kunder som flyttar från en gammal brandväggsleverantör till FortiGate. De flesta av dessa har inte behov av SD-WAN och IPSEC på grund av MPLS eller ENS-kretsar, men jag har haft två som valde FortiGate för deras SD-WAN-funktioner.
Vi gick igenom dokumentationen som Fortinet erbjuder, men stötte alltid på någon typ av problem med tillförlitligheten. När vi kontaktade Fortinet-supporten sa de första två supportrepresentanterna rakt ut att jag bör hålla mig borta från SD-WAN & IPSEC. När kunden ifrågasatte, lyckades vi hitta någon som var villig att arbeta med oss kring detta. Det var för ungefär 8 månader sedan, men senaste jag hörde var att de hade gått tillbaka till redundanta IPSEC-tunnlar med viktad routning.
Hastig framsteg, jag arbetar nu med en ny kund som vill använda SD-WAN för deras IPSEC-tunnlar mellan tre platser. Två platser har två ISP:er, en plats har en ISP. Vi har gått igenom Fortinet-dokumentationen med de första två platserna med två ISP:er. Lagt till VPN-tunneln med SDWAN-guiden, justerat Phase 1&2 inställningar, lagt till statiska rutter, policys och tunnelinterface IPs. Experimenterat med SD-WAN SLA:er och policys—utan framgång. Tunnlarna kommer online som förväntat, men SD-WAN och routingen verkar ha sitt eget huvud.
Jag vill verkligen gilla SD-WAN och IPSEC, tro mig, men det har varit en omöjlighet trots deras support.
En av våra kunder har Fortigate SD-WAN med circa 5300 spokes som ansluter till DC/DR med IPsec-VPN och SDWAN-funktioner, och bildar ca 23000 tunnlar på DC/DR som fungerar bra sedan 2 år.
Låt oss veta dina krav och eventuella specifika problem som du står inför.
Jag menar, jag skulle inte betrakta en FortiGate som en SD-WAN-enhet. Det är en NGFW med SD-WAN-funktioner, ja, men även SD-WAN-leverantörer kan para ihop en FortiGate med Velo Cloud för att hantera plats till plats.
Finns det en workaround för oss som inte kan uppgradera till 7.12?
Var mer specifik. Vad är problemet? Hur ser din konfiguration ut?
Faktiskt tusentals kunder gör detta.
Har du läst någon av SD-WAN-koncept- eller implementationsguiderna?
Jag har ingen aning om vilka problem eller tillförlitlighetsproblem du stött på.
Jag har levererat flera platser, en kund till exempel hade 4 platser, alla hade 2 ISP och jag har satt SD-WAN med ADVPN på det, och allt fungerar felfritt.
Jag har till och med konfigurerat BFD/OSPF/BGP för deras nätverksannons och det har fungerat i 2 år utan problem.
Och det är mycket skalbart eftersom med BGP behöver de bara lägga till nya nätverk på brandväggen de vill ha det, och det annonseras automatiskt till andra platser.
Jag tycker att du bör läsa dokumentationen lite mer noggrant eftersom den förklarar allt du behöver för SD-WAN med IPsec, som andra har nämnt.
Alla byggnationer jag gjort, oavsett krets typ (antingen Internet via fast lina, privat WAN via MPLS, eller Internet via 4G/LTE, etc.) använder IPsec-overlaytunnlar.
Ett av målen med att använda SD-WAN är att utöka räckvidden för underliggande nätverk (t.ex., en WAN-krets kan inte nå Internet och vice versa). Du gör detta med overlay-tunnlar som går över det underliggande nätverket, mellan hub(s) och spoke(s).
Till exempel, om branch-1 har Internet och en WAN-krets, så vill jag att Internettrafik ska routas via WAN:en och gå ut på hubbens INET-krets om det lokala Internetet på den grenen misslyckas av någon anledning. Med samma exempel vill jag att WAN-trafik mellan hubb och spoke ska routas via INET-kretsen över tunneln om WAN-kretsen skulle misslyckas. Faller allt detta bort, vill jag att Internettrafik ska gå ut direkt via FortiExtender, med WAN-trafik som tar IPsec-tunneln till hubben för att behålla reachability till privata nätverk i ett datacenter om båda kretsarna misslyckas och jag endast har 4G/LTE som backup.
Vi har i stor skala implementerat detta och när du förstår processen är det ganska enkelt och mycket tillförlitligt. Vi har hundratals platser som detta via olika kunder och hårdvarumodeller (alla med FortiOS v6.4 eller v7.0) med olika kombinationer av WAN+INET, dubbel-INET eller INET+4G/LTE utan problem.