Fortigate100DデュアルISPでのSSLVPN
私はFortigate100Dを持っていて、問題なく単一のインターネット接続でしばらく使用しており、SSLVPNを使用してネットワークに接続しています。 SSL VPNは、2要素認証(Fortitoken)を使用します。
2番目のISP接続を追加し、等コストマルチパス(ECMP)ルーティングを構成しました。これは、インターネットIPに到達できない場合、パスがダウンとしてマークされるように構成されています。
私が抱えている問題は、SSL VPNをWAN2で機能させることができないことです。これを設計するための最良の方法は何でしょうか。SSLVPNをWAN2で機能させる場合、次のようなDNS名を作成する必要があります。接続の2つのパブリックIPの2つのAレコード。どちらかが稼働している場合、クライアントはファイアウォールへの接続を取得して認証できますか?
接続の2つのパブリックIPに対して2つのAレコードを持つDNS名を作成して、どちらかが稼働している場合、クライアントがファイアウォールへの接続を取得して認証できるようにする必要がありますか?
これを行うと、クライアントは予期せずにDNSから1つのIPアドレスを取得し、DNSキャッシングによって確実にスタックします。その接続が失敗した場合、クライアントは他のアドレスを試行したり、それについて何も知りません。
ラウンドロビンDNSは(悪い)ロードバランサーであり、フェイルオーバーソリューションではありません。
Fortigate SSL VPNクライアントがプライマリ接続アドレスとセカンダリ接続アドレスをサポートできる場合は、それぞれにDNS名を付けて、両方を入力します。サポートできない場合は、両方に伝えて、どちらか一方を試してもらう必要があります。 。
Fortigate SSL VPNドキュメント には、フェイルオーバー、マルチWAN、バックアップ、またはセカンダリアドレスについて言及しているものがまったくないため、自動的に処理する方法がないと思います。