Voy a intentar poner en orden el jaleo de configuración este. Esto no puede ser sano (ayer hasta las 5 de la mañana). Una cosa que deberia ser sencilla (y de hecho lo es sobre un papel), te venden la moto de que tiene que funcionar … pero no funciona.
Intentare hacer algún gráfico, de momento los antecedentes.
1 firewall central (FG) y varios firewalls remotos (también FG).
Los firewalls remotos tienen 3 lineas, una MPLS (conectada fisicamente), una VPN contra el central (por internet) y otra VPN contra el central (conectada usando FortiExtender).
Esos 3 interfaces estan agregados un interface SDWan por lo que, el firewall manda todo el trafico hacia la red interna por este SDwan y (se supone) se usa la linea que corresponde.
El tema de «usar la linea que corresponde» esta puesto de forma simple. Unos checks contra maquinas internas (icmps) con unos SLA’s.
Si tarda menos de 10 milisegundos en llegar todo va por la MPLS (linea mas rápida), en caso de caída de MPLS el trafico va por la VPN (Internet) y en caso de caída de las dos el trafico va por la otra VPN (fortiextender).
El firewall central (el que recibe todas las VPNs) esta configurado de forma «parecida» (y este es el problema, porque queremos dejarlo igual que los demás).
El central tiene un interface SDwan que tiene las VPNs (por internet), pero … el router que conecta contra la MPLS no esta conectado directamente al firewall (es alcanzable por L3 y de hecho, se usa sin problemas).
La idea era (y sigue siendo),quitarnos de en medio ese L3 y conectar fisicamente el router que da acceso a la MPLS al firewall. Añadirlo al interface virtual Sdwan (como esta en los extremos) y quitarnos un punto de fallo (y mas cosas, pero de momento dejémoslo así).
El caso es que … lo conectamos y los SLAs dejan de funcionar, con lo que la MPLS se va a la mierda y él trafico va por la VPN.
Según los del soporte de FG, el problema es el routing asimétrico (que es justo lo que queremos evitar).
https://docs.fortinet.com/document/fortigate/6.0.0/handbook/58863/asymmetric-routing
Y aqui empiezo a perderme … se supone que SDwan tiene que servir para crear una «abstracción», quiero decir, da igual que tenga 1, 2 y 50 lineas. A nivel de firewall solo tiene que ser una ruta hacia la SDwan).
Y en cuanto a la configuración (y esto no lo tengo claro), el problema (segun parece) es que, el firewall manda los sla’s por las 3 lineas (que es lo que tiene que ser) pero luego el central no es capaz de diferenciar cual viene por cada linea, por o que contesta por donde le da la gana o directamente bloquea los paquetes, vamos que se vuelve loco y no funciona.
Si lo piensas bien tiene su lógica, misma ip de origen (el firewall (quizás esta ahí la solución, unas ips de loopback o similar)).
Se puso sobre la mesa que el problema podía ser la vpn y que tendríamos que mirar hacia AdVPN (que hasta ayer, ni sabia que existía).
https://docs.fortinet.com/document/fortigate/6.2.0/cookbook/978793/advpn
Esto complica bastante la configuración y desde luego no íbamos a tomar una decisión un sábado a las 4 de la madrugada. Estoy bastante confundido y cansado. Debería de leerlo … pero como que voy a pasar. Mañana será otro día.