Oi,
Alguém pode me dizer qual o benefício de criar um VPN Ipsec com uma interface de loopback como fonte? Estou com problemas com um VPN Ipsec de site a site. O site parceiro criou um VPN com uma interface de loopback, sem problema, mas os usuários sofrem muitas desconexões. Outros VPNs meus na mesma interface WAN, que estão conectados ao meu Fortigate com gateway de fornecedor diferente, estão ativos e estáveis, mas para essa conexão com Fortí 600f elas se desconectam quando os dados são enviados pelo túnel (essa é minha observação). O túnel permanece ativo no último final de semana sem problemas. O firmware do meu Forti e do outro estão na mesma versão 7.0.12.
Li uma dica técnica da Fortigate que a interface de loopback pode ser usada, mas deve usar link npvu ou interface física, pois pode sofrer problemas de desempenho.
O que vocês acham sobre esse problema? Como posso investigar essa questão? O parceiro não tem ideia do problema.
Atenciosamente
A menos que você tenha um FortiGate NP7, colocar o IPsec em uma loopback não é a melhor ideia, porque ela não é offload.
O 600F possui NP7, então isso não é um problema.
Obrigado por toda a ajuda. Após depurar o túnel, o parceiro criou um script para limpar o túnel a cada 4 minutos. Após isso, posso ver nos logs que a fase 2 cai e sobe a cada 4 minutos, e o usuário confirma que não há mais desconexões desde então.
Isso é um comportamento normal ao usar a interface de loopback para site a site? Não encontrei nada na KB da Fortigate que explique isso.
Atenciosamente
Outro benefício é que, se você tiver várias interfaces físicas onde sua loopback pode ser alcançada, nesse caso você aumenta a redundância para o serviço de ponta a ponta. Claro, você precisaria de roteamento dinâmico (ex: BGP) nessas interfaces físicas, e também DEVE anunciar sua loopback. Esse seria um caso de uso viável.
O benefício é que você pode colocar inspeção de firewall no tráfego que atinge a loopback. Caso contrário, a interface WAN aceitará pacotes IKE de qualquer lugar do mundo. Ela deve descartar esses pacotes, a não ser que seja um peer configurado, porém. “Deveria” é a palavra importante. Implementações de IPSec precisaram de patches antes.
Sim, concordo. Vim aqui para dizer isso. Não é um problema com SSL VPN, já que isso não é offloaded, mas não é uma boa ideia para IPsec, pois você estará impedindo a aceleração de hardware ao fazer isso (a menos que seja NP7).
É possível que essa configuração quebre o túnel quando os dados fluem nele por causa de uma má configuração? Como posso investigar esse problema?
Outro benefício é que você pode configurar IP /32 numa interface de loopback.
Políticas de acesso local
Se você está preocupado que a interface WAN aceite pacotes IKE de qualquer um, não deveria ser fácil limitar o acesso ao túnel a um host confiável via uma política de acesso local? Para SSLVPN, a loopback é mais importante, mas para IPSec de site a site, basta garantir que os hosts confiáveis estejam configurados. Eu já vi muitos acessos aleatórios aos meus VPNs nos logs, mas depois de configurar essas políticas, os acessos zero.
Executar capturas de pacotes. Você também pode pedir para que eles terminem em outro lugar que não seja a loopback.