Você precisa configurar duas fases 1 (e duas fases 2), uma para cada interface WAN no seu 200B. No túnel secundário / de backup, configure monitor
, conforme descrito no Livro de receitas Fortigate . O raciocínio também está lá ... para resumir, isso permite que um túnel monitore outro túnel e se levante quando o outro túnel cair (a detecção de peer morto também deve estar ativada). Você pode querer definir o monitor-hold-delay
para algo razoavelmente alto, para permitir que você acompanhe seu ISP principal e certifique-se de que a conexão primária não esteja oscilando. Você pode ser alertado sobre a alteração configurando alertas por e-mail, monitoramento de snmptrap ou usando algo como Monitor IP do gateway (Eu realmente tenho todos os três configurados).
Além disso, considere suas necessidades de roteamento. Ambas as interfaces são configuradas via DHCP ou PPPoE (mas com endereços estáticos)? Você tem rotas ECMP e estáticas?
Também quero sugerir a criação do failover de DNS, se você tiver um servidor DNS interno. Cobri isso em post de blog .
Se você precisar NAT seus pacotes IPsec (para um endereço diferente daquele vinculado à interface de saída):
- use o Endereço do gateway local para o endereço de origem NAT.
- ativa a capacidade de dois IPs na mesma sub-rede serem ligados a interfaces (sobreposição).
- liga o IP adicional à interface.
Desculpe incluir este bit extra de informações, mas eu tive um bom tempo para descobrir isso.