Fortigate VPN SSL y entornos SD-WAN

      Comentarios desactivados en Fortigate VPN SSL y entornos SD-WAN

Hola fieles seguidores de mi inactividad a la hora de publicar cosas. Pero mi vida tiene poco tiempo para dedicar a esto… intentaré cambiarlo.

Hoy os traigo una pequeña configuración del Fortigate para que las VPN-SSL no se caigan aleatoriamente cuando tenemos un entorno SD-WAN. Básicamente, se da porque en este entorno existen varias rutas de salida de internet manejadas por un algoritmo de balanceo de carga que implementa la FortiOS.

Cuando hay una VPN-SSL activa en ese interfaz, si cambia la ruta por defencto durante el proceso de balanceo de paquetes hacia una IP publica, te puedes encontrar con filtros antispoofing de los operadores y por tanto no dejan enrutar sus propias IPs por otro operador (la ruta de vuelta). Aunque esto es un problema que hay que entender bien en cuanto al routing y no lo voy a explicar en este momento, estos cortes se solucionan de la siguiente manera:

Forti #config vpn ssl settings
Forti (settings) # set route-source-interface enable
Forti (settings) # end
Forti #

¿Qué hace ese comando? la leyenda del Fortigate dice:

route-source-interface_______Enable to allow SSL-VPN sessions to bypass routing and bind to the incoming interface.

Luego, con esto solventaríamos que el routing siempre fuese devuelto por el mismo interfaz, evitando así que el operador considere que estamos enrutando por otro sitio y nos descarte, ese tráfico asimétrico, por los filtros antispoofing.

OJO, en estas condiciones estamos forzando a un cambio de enrutamiento basado en origen. Si queremos publicar la VPN-SSL desde otros origenes (por ejemplo, una wifi, u otro interfaz público) tendremos que permitir la conexion entrante a la VPN en esos interfaces.

Si puedo, explico la razón de que ocurra esto en detalle.