SDWAN: "mixování" Internetu a VPNy poboček

VPN
1

Ahoj,

zasílám to na vlastní nebezpečí s ohledem na svoji reputaci NSE7 :slight_smile:

Snažím se nakonfigurovat SD-WAN v scénáři s hlavním úřadem a pobočkami. Jelikož má hlavní úřad 3 ISP, chci použít SD-WAN k výběru nejlepšího tunelu pro spojení s pobočkou. Labové prostředí je velmi základní:

  • Mikrotik simuluje tři ISP (jeden DHCP klient, dva PPPoE). Vím, že tato simulace funguje.
  • HQ Fortigate s 3 příchozími VPN s dialupem, po jedné pro každý ISP.
  • SD-WAN nakonfigurováno takto:
    • dvě SLA výkonu: Google a “Branch”
    • dvě pravidla SD-WAN:
      • zdroj: vše, cíl: branch, SLA: branch, priorita: vpn1, vpn2, vpn3
      • zdroj: vše, cíl: vše, SLA: google, priorita: isp1, isp2, isp3

Nicméně, pokud pingnu 1.1.1.1 z HQ, selže to, protože se pokouší směrovat paket přes branch11 (branch1, vpn1), přestože pravidla SD-WAN pro branch1 mají specifické IP rozsahy (ne 1.1.1.1). Myslím, že je to proto, že v mém LABU VPN používají LAN připojení a latence je 3ms vs 15ms pro Internet.

Každopádně jsem narazil na příspěvek (https://www.reddit.com/r/fortinet/comments/7ebztc/ipsec_vpn_w_sdwan/), kde afroman odpověděl, že můžete používat SD-WAN buď pro Internet, nebo VPN, nikoliv obojí. Je to pravda pro 6.4? Mám vytvořit samostatný VDOM?

Díky,
Max

2

Nové ve verzi 6.2 myslím, že mohou míchat. Pravidla SDWAN to umožňují (něco jako Politika směrování).

Pamatujte, že po definovaných pravidlech je implicitně přítomen člen any/any/all. Zajímalo by mě, jestli je důvod, proč vaše politika nefunguje. Může váš FortiGate pingnout 1.1.1.1 a je SLA google zelené?

Pokud váš lab nemá 1.1.1.1, aby SLA uspěla, všechny SLA isp1/2/3 selžou, pravidlo se neuplatní a selžete přes implicitní (a VPN poboček jsou „aktivní“).

3

Můžete je míchat, ale z vlastní zkušenosti to je špatné, pokud používáte statické směrování.

Trasa směřující na virtuální rozhraní SD-WAN využije všech členů rozhraní, takže je třeba dělat omezení pomocí pravidel SD-WAN a firewallových politik, a vždy bude existovat výchozí záložní pravidlo SD-WAN, které balancuje přes všechny členy, takže je stále možné, že se vás to pokusí směrovat přes nevhodný odkaz.

Ale pokud používáte dynamické směrování a/nebo specifické statické trasy (používají jednotlivé členy SD-WAN jako cíle pro směrování; to je nedávno povoleno, myslím?), můžete přesněji vymezit možnosti směrování, abyste se vyhnuli nesprávnému směrování provozu.

Typický scénář, který někdy vidím, je osoba s výchozí trasou přes SD-WAN interface + permisivní politiky pro internet a VPN. Například pokud dojde ke změně, může se trasa VPN traffic potenciálně změnit na „špatný“ výstup (~ přímo do internetu; podle konfigurace správně, ale prakticky to nefunguje), směrovat do prázdna a zůstat tam nějakou dobu kvůli sticky session nazývané source-NAT.

Ideální řešení by bylo, pokud by umožnily nové SD-WAN zóny statickou konfiguraci směrování, bohužel to zatím není možné. (dobré téma NFR k diskusi s prodejcem :wink: )