Организация входящих соединений через STARLINK (за CGNAT) путем туннелирования с виртуалки в облаке c публичным IP, как реализовать на Fortigate?
доброго времени суток! помогите неопытному сетевику)) имеется Fortigate 100F с одним наземным каналом связи в небольшом ПГТ, альтернативного канала связи не имеется от слова совсем! за этим фортиком удаленные клиенты подключаются через родного VPN-клиента к определенным сервисам в LAN. с недавних пор канал связи стал активно валится (известные события, Украина), предполагается поставить терминал Старлинк, однако выяснилось, что у них нет сервиса публичного IP, по крайней мере здесь и сейчас, и вообще, они за CGNAT. также имеется сервер на площадке Hetzner с выделенным публичным IP, на нем установлена триальная FortigateVM (ограничения только в 3 интерфейса и в 3 правила), есть идея пробросить туннель от этой виртуалки (условно пусть HZ) к фортику 100F (условно HQ), таким образом, чтобы в случае отвала наземного канала, фортик HQ инициировал дозвон к фортику HZ, а последний становился приемником соединений VPN клиентов и форвардил их траффик в HQ по этому туннелю. ввиду пробелов в знаниях и отсутствия достаточного опыта работы в Fortigate обращаюсь за помощью к коллективному разуму)) недавно удачно поднимал пару туннелей от Микротика до Фортика (по мануалу из хабра), но там задача чуть отличалась, офисы соединял туннелем, там в обоих точках активное соединение, 2 публичных IP, 2 локальных сети и вообще, мануал готовый))) а тут не могу сообразить, на однов фортике который HZ ведь нет локального интерфейса, он в качестве приемника-передатчика при крушении канала связи планируется использоваться.. благо могу пока тренироваться, прицепил 4G модем, получается почти как Старлинк, тот же CGNAT, тоже отсутствие публичного IP, пробовал создать loopback-интерфейсы и визардом построить site-to-site - ничего не получается... вобщем помогите ламеру-мануальщику)))) знания получаю в свободное от работы время, работаю не в IT (это хобби просто)
Попробуйте openmptcprouter покрутить он рулит каналами и если один канал упадет второй будет в работе автоматически (если два рабочих канала то их скорость суммируются такого фортигейт не умеет). Правда на стороне ВПС будет openwrt и нужно пробросить порт с него на фортигейт для впн пользователей. Как вариант можно рассмотреть.
спасибо за предложение! у меня настроен SD-WAN, в фортигейт, он умеет и понимает, как работать с несколькими каналами, там есть гибкие правила приотирезации трафика и выбора каналов для сервисов разных, отслеживание SLA и пр. по поводу суммирования не скажу, не интересовался и не пробовал, тут вы м.б. и правы... ну не хотелось бы костыль никакой, хочется средствами железки решить и триальной лицензии)) мне уже знакомый предлагал сделать туннель 2 микротами, CHR на удалённой площадке, железка рядом с Фортигейт... но чем фортик не роутер?!))
Простой
