1 año, nada mas y nada menos … llevamos un puñetero año (de mierda, todo hay que decirlo) peleando con este problema, y no solo no lo hemos solucionado (no por nuestra culpa (al menos no toda)), sino que … encima lo hemos complicado aun mas. No se puede trabajar asi, a destajo, sin planificación, sin un rumbo, sin nada que apoye … en fin, lo de siempre.
Algunas cosas … si antes con una linea (MPLS) teniamos problemas, migrar a circuitos independientes sin tener la SDwan bien configurada solo ha conseguido que las cosas funcionen aun peor. Lo de tener la red estable es algo que ha pasado a mejor vida.
https://docs.fortinet.com/document/fortigate/7.2.0/sd-wan-new-features/229326/advpn
Lo primero, olvidate de todo esto en versiones por debajo de la 7.2.5, curioso … el año pasado cuando empezamos a hablar de todo esto nos dijeron que se podia hacer en 6.4 sin problemas, sin problemas los cojones.
Olvidate de hace una VPN full mesh (esas que se hacian con 5 clicks en un checkpoint), ahora la cosa se complica y mucho.
Firewall remoto con dos lineas -> firewall central con dos lineas
FR linea A -> VPN contra central linea A
FR linea B -> VPN contra central linea B
Hay que usar un comando para que no intente cruzar las vpns (comando que es nuevo en 7.2.4)
set auto-discovery-crossover block
config vpn ipsec phase1-interface
Ademas, ojo con las rutas, porque FRA -> FWCA tiene que establecer un neighbor BGP (pondre la config), pero como descubra que tambien llega a FWCB lo establece tambien, y la cosa se lia (routing asimetrico), asi que ojito con eso.
Para evitarlo hay que configurar el Update source para que solo haga advertise en su vpn (dento de Network-BGP-Neighbors)
Y luego tenemos que solucionar los problemas de las VPN shortcut (porque a veces, las crea pero no es capaz de devolver el trafico por donde debe). Vamos que es un follon, que aun no acabo de enterder del todo.
Pero, si llevamos un año asi, podemos aguantar unos dias mas, que yo me voy de vacaciones. Feliz navidad a todos … no bebais demasiado.