Ahoj,
nedávno jsem koupil Fortigate 50E a zkouším sestavit domácí laboratorio.
Mám také další Fortigate v jiné zemi, na kterém jsem nastavil SSL VPN.
Možná chybí mé znalosti, ale přemýšlel jsem, jestli je možné použít ten SSL VPN jako připojení WAN 2 k mému Fortigate 50E.
Mám WAN 1 obsazený od mého ISP a funguje to dobře (veškerý provoz jde tam), a WAN 2 je volný port. Existuje nějaký způsob pomocí SD-WAN nebo nějaké politiky nebo něčeho jiného, jak mohu směrovat veškerý provoz na WAN 2, když chci?
Děkuji 
FortiGate jako klient SSL VPN byl přidán jako funkce ve firmware verzi 7.0: https://docs.fortinet.com/document/fortigate/7.0.0/new-features/508779/fortigate-as-ssl-vpn-client
Verze firmware 7.0.x neexistuje pro 50E, a proto nelze 50E použít jako klient SSL VPN.
Nicméně bude fungovat jako IPsec VPN endpoint.
Takže mám WAN 1 obsazený od mého ISP a funguje to dobře (veškerý provoz jde tam), a WAN 2 je volný port. Existuje nějaký způsob pomocí SD-WAN nebo politiky nebo něčeho jiného, jak mohu směrovat veškerý provoz na WAN 2, když chci?
Možná mi něco uniká … ale ani SSL VPN ani SD-WAN nejsou kouzla. Potřebujete druhé internetové připojení, abyste se mohl připojit na wan2, než jej budete moci použít na cokoliv.
SD-WAN je v zásadě irelevantní bez druhého síťového připojení.
Pokud máte jeden WAN připojení a jeden tunel, veškerý provoz bude i tak procházet přes fyzické WAN připojení, takže nezískáte žádné zvýšení šířky pásma ani vyvažování zátěže nebo failover odolnost. Tato konfigurace je užitečná pouze pokud chcete, aby provoz vašeho “VPN klienta FortiGate” vypadal jako by vycházel z veřejné IP adresy “VPN serveru FortiGate” směrem ven.
Myslel jsem IPsec site-to-site, ale tvůj příspěvek je daleko od titulu. Chceš-duální WAN s jednou ISP. To je magie.
To přesně chci. Ne failover nebo loadbalancer. Jen veškerý můj provoz přes VPN tunel i když budu používat WAN 1 (protože nevidím žádnou jinou možnost, jak to mít jako imaginární WAN 2).
Takže když budu potřebovat, mohu použít VPN a mít tu veřejnou IP mojí VPN serveru, a když ne, můžu se vrátit k veřejné IP mého ISP.
Jo, myslel jsem site-to-site, ale nevím, jestli to mohu mít jako switch. Ještě na tom pracuji…