Cómo agregar una ruta automática hacia las subredes remotas cuando hay varios clientes VPN de acceso telefónico terminados en un servidor de acceso telefónico

Descripción

Este artículo describe cómo agregar una ruta automática hacia cada lado remoto con una subred diferente cuando se utilizan varios Clientes VPN de acceso telefónico.
Si hay más de 300 clientes de acceso telefónico, sería complicado agregar un selector de modo rápido en la fase 2 para cada cliente de acceso telefónico. Por lo tanto, este artículo describe cómo agregar una ruta automática hacia cada subred remota a través del túnel con solo un selector de modo rápido.

Alcance

FortiOS.

Solución

Cada vez que se crea una VPN de acceso telefónico, la ruta automática siempre se crea desde el H0 FortiGate donde está configurado el servidor de acceso telefónico. Creará una ruta hacia el destino que se configura como dirección remota en los selectores de modo rápido de fase 2.

– La configuración Añadir ruta debe estar habilitado en la configuración de VPN para la creación automática de rutas.

sjoshi_0-1654054879442.png

Si se agrega 0.0.0.0/0 como dirección remota en los selectores de modo rápido, se agregará una ruta predeterminada a través de la interfaz de túnel que afectará el tráfico de Internet.

Tabla de enrutamiento para VRF=0
S 0.0.0.0/0 [15/0] a través de Túnel HO 10.40.19.15, [1/0] S *> 0.0.0.0/0 [10/0] a través de 10.40.31.254, puerto1, [1/0]– Donde Port1 es un enlace wan

Si se agrega una subred específica como dirección remota en los selectores de modo rápido, entonces habrá una ruta de subred específica a través de la interfaz de túnel, pero si hay varios usuarios de acceso telefónico (más de 300), es necesario seguir agregando 300 selectores de modo rápido que será agitado.

Artículos relacionados  Equilibrio de carga WAN (basado en volumen) y conexiones a Internet redundantes

Tomemos un ejemplo aquí como se muestra en el siguiente diagrama: –

Captura.PNG

Subred HO: – 10.10.10.0/24

Subred BO1: – 30.30.30.0/24
Subred BO2: – 20.20.20.0/24

La configuración necesaria a ser duna Arkansasmi as sigue:-

Configuración del selector de modo rápido HO: –

sjoshi_1-1654054963282.png

Agregue la dirección local como 10.10.10.0/24 y deje la dirección remota como 0.0.0.0/0 ya que habrá múltiples clientes de acceso telefónico con diferentes subredes y agregar un único selector de modo rápido será suficiente para evitar crear una ruta predeterminada en conflicto con la ruta predeterminada de Internet, se deben realizar ciertos cambios en BO FortiGate.

Configuración del selector de modo rápido BO1: –

sjoshi_2-1654056344244.png

Configuración del selector de modo rápido BO2: –

sjoshi_1-1654056338478.png

En todas las sucursales no deje ningún selector de modo rápido como 0.0.0.0/0.

Agregue la subred local según la subred de la sucursal y en la subred remota será la misma para todas las sucursales, que serán las subredes HO.

Ahora mirando la tabla de enrutamiento en HO FortiGate: –

Tabla de enrutamiento para VRF=0
S* 0.0.0.0/0 [10/0] a través de 10.40.31.254, puerto 1, [1/0] S 20.20.20.0/24 [15/0] a través del túnel HO 10.40.19.60, [1/0] S 30.30.30.0/24 [15/0] a través del túnel HO 10.40.19.15, [1/0]

Los usuarios pueden ver rutas automáticas para dos subredes de sucursales a través de la interfaz del túnel incluso cuando agregan 0.0.0.0/0 como una dirección remota en los selectores de modo rápido en la configuración de HO FortiGate Phase 2 porque los selectores de modo rápido están configurados en cada sucursal y se completarán automáticamente en HO FortiGate.

Otro escenaario:-

Artículos relacionados  Recuperar el acceso a FortiGate a través de FortiCloud

– Supongamos que hay varias subredes en un BOen ese caso, los selectores de modo rápido deben configurarse como se muestra a continuación en BO:

sjoshi_4-1654055069160.png

No es necesario cambiar nada en HO.

Ahora el tabla de enrutamiento en HO FortiGate parece:-

Tabla de enrutamiento para VRF=0
S* 0.0.0.0/0 [10/0] a través de 10.40.31.254, puerto 1, [1/0] S 20.20.20.0/24 [15/0] a través del túnel HO 10.40.19.60, [1/0] S 30.30.30.0/24 [15/0] a través del túnel HO 10.40.19.15, [1/0] S 40.40.40.0/24 [15/0] a través del túnel HO 10.40.19.15, [1/0]

Ahora se puede acceder a las subredes 30.30.30.0/24 y 40.40.40.0/24 a través del túnel 10.40.19.15.

– Qué sucede si la subred local se deja como 0.0.0.0/0 en BO FortiGate:

sjoshi_5-1654055095711.png

Aquí la subred local BO2 está configurada como 0.0.0.0/0 y se puede ver en la tabla de enrutamiento que solo para BO1 se ha creado la ruta específica para las subredes y para BO2 hay una ruta predeterminada.

Tabla de enrutamiento para VRF=0

S 0.0.0.0/0 [15/0] a través del túnel HO 10.40.19.60, [1/0]

S *> 0.0.0.0/0 [10/0] a través de 10.40.31.254, puerto 1, [1/0]

S*>30.30.30.0/24 [15/0] a través del túnel HO 10.40.19.15, [1/0]

Conclusión:

Uno debe dejar la dirección remota como 0.0.0.0/0 en HO FortiGate y configurar las subredes individuales en cada BO FortiGate y agregar la dirección local y remota en BO FortiGate

El flujo de depuración se ve así

 

Nos mostrará las subredes que se están recibiendo desde los lados de la sucursal y lo agregará en su tabla de enrutamiento. La distancia y la prioridad utilizadas aquí son 15 y 1, que es el valor predeterminado y se puede cambiar desde la configuración de la fase 1 a través de CLI:-

Artículos relacionados  Desactivación de FortiLink sobre un paquete LACP

# config vpn ipsec phase1-interface

    edit <tunnel_name>

      set distance <>

      set priority <>

  end

Nota:

-La entrada de distancia y prioridad solo está disponible en la configuración de interfaz de fase 1 cuando el tipo está configurado en dinámico (establecer tipo dinámico).

– Desde los lados BO, la ruta estática debe configurarse para llegar a las subredes HO y la ruta automática solo se agregará en HO FortiGate donde se haya configurado el servidor de acceso telefónico.

¿Te ha resultado útil??

0 / 0

Deja una respuesta 0

Your email address will not be published. Required fields are marked *