VPN Ipsec Fortigate - Pfsense 2.3.1



  • Buongiorno a tutti!

    Presso diversi clienti ho installato i firewall Fortigate con doppia wan e ora devo collegarli in server farm utilizzando una vpn ipsec ridondata.
    Lo scenario è il seguente:

    ufficio cliente: fortigate con doppia wan                              server farm: pfsense con una wan

    Sul fortigate ho creato le 2 vpn (1 per ciascuna wan) che hanno entrambe come remote gateway l'ip statico della wan del pfsense.
    Dopo di che ho configurato le static route per indicare al fortigate la vpn preferenziale.

    Lato fortigate la vpn funziona correttamente, rispettando le static route impostate.

    Lato pfsense si verifica il problema: ho creato anche qui due vpn distinte con i remote gateway corrispondenti alle due adsl del cliente; nelle opzioni avanzate della fase 1 ho settato il flag su Responder Only. Mi aspetto quindi che il pfsense risponda solamente alla richiesta di connessione dal fortigate ed invece non accade così poiché il Pfsense attiva contemporaneamente i due tunnel vpn verso il fortigate.
    Così, dal fortigate al pfsense funziona tutto correttamente e vi è scambio dati attraverso il tunnel mentre giustamente dal pfsense al fortigate no, dal momento che vi sono attivi nello stesso istante due tunnel verso una stessa subnet. (se disabilito una delle due vpn sul pfsense lo scambio dati avviene correttamente).

    Avete una soluzione? Sembra che il flag "Responder Only" non funzioni correttamente, e non so se è possibile gestire il tutto attraverso le static route.

    Grazie