Hin und wieder stolpere ich über ein Problem mit Fortigate-Firewalls, die den Datenverkehr für ein Netzwerk ins Internet weiterleiten, das über einen Site-to-Site-Tunnel verbunden ist.
Dies geschieht, wenn der Tunnel ausfällt, die Route aus der Routing-Tabelle gelöscht wird und die Standardroute die letzte verbleibende ist.
Neue Sessions über die WAN-Verbindung bleiben bestehen und der Datenverkehr wird nicht über den Tunnel gesendet, wenn er erneut gestartet wird. Die Lösung hierfür sind Blackhole-Routen für die über VPN verbundenen Netzwerke.
(Thread im Fortinet Forum hie: https://forum.fortinet.com/FindPost/120872)
config router static
edit 0
set blackhole enable
set distance 254
set dst 0.0.0.0 255.0.0.0
next
edit 0
set blackhole enable
set distance 254
set dst 10.0.0.0 255.0.0.0
next
edit 0
set blackhole enable
set distance 254
set dst 100.64.0.0 255.192.0.0
next
edit 0
set blackhole enable
set distance 254
set dst 169.254.0.0 255.255.0.0
next
edit 0
set blackhole enable
set distance 254
set dst 172.16.0.0 255.240.0.0
next
edit 0
set blackhole enable
set distance 254
set dst 192.0.0.0 255.255.255.0
next
edit 0
set blackhole enable
set distance 254
set dst 192.0.2.0 255.255.255.0
next
edit 0
set blackhole enable
set distance 254
set dst 192.168.0.0 255.255.0.0
next
edit 0
set blackhole enable
set distance 254
set dst 198.18.0.0 255.254.0.0
next
edit 0
set blackhole enable
set distance 254
set dst 198.51.100.0 255.255.255.0
next
edit 0
set blackhole enable
set distance 254
set dst 203.0.113.0 255.255.255.0
next
end
