Bu topolojimde 2 Wan ip ye sahip Merkez FGT-HUB ile Şube FGT-SPOKE01 ve FGT-SPOKE02 cihazlarım arasında vpn

yapacağım. SDWAN ile hep yedekli hem de yük dengelemeli olarak çalışacak. HUB fortigate cihazına SPOKE fortigateler
dialup olarak bağlanacaklar, tüm networkler arasında iletişim sağlanacak. Routeları HUB otomatik olarak dağıtacak.
Cloud bir cisco router ve ip yapılandırması dışında herhangi ekstra bir ayar yapılmadı. Overlay network ip adresleri iBGP
routing için kullanıldı.

Öncelikle FGT-HUB, FGT-SPOKE01 ve FGT-SPOKE02 nin interface yapılandırması şu şekilde ;

FGT-HUB

FGT-SPOKE01
FGT-SPOKE02

Öncelikle SDWAN zone oluşturup sonrasında zone içine memberlar oluşturacağım bunun için Network->SD-WAN
menüsüne geliyorum. Create New -> SD-WAN Zone tıklıyorum.
Zone için bir isim belirleyip OK diyorum

SD-WAN Zone oluştu. Memberlar için tekrar Create New->SD-WAN Members tıklıyorum.
Interface menüsünü genişletip + VPN e tıklıyorum.

Açılan Wizard da Member için isim giriyorum, Remote ip adresi geçici olarak bir ip yazıyorum burayı değiştireceğim. Bu
ekranda Dial Up olarak yapılandırma yok o yüzden bu şekilde geçiyorum. Çıkış interface ve Pre-Shared Key yazıp Next
diyorum.
Sonraki ekranda Create diyorum.

Oluşturduğum interface ve zone seçip OK diyorum.

Aynı işlemleri diğer memberi eklemek için tekrar yapıyorum.
Aşağıdaki gibi Zone ve memberlar oluştu.
Şimdi oluşturduğum ipsec tunnel leri editleyeceğim. VPN->IPsec Tunnels menüsüne geliyorum. Tunneli seçip Edit e
tıklıyorum.

Convert To Custom Tunnel e tıklıyorum.

Network bölümünü Edit diyorum.

Remote gatewayde önceden ip yazdığımız kısım vardı bunu Dialup User ile değiştiriyorum. Aşağıdaki advanced kısmını
genişletip Add Route u disable, auto discovery sender i enable olarak değiştiriyorum ve üstteki check i tıklayıp
onaylıyorum. OK ile kaydedip aynı işlemi diğer tunnel için yapıyorum.

İki tunnelde editlenmiş oldu.

Policy & Objects -> Firewall Policy e geliyorum. Şubeden merkeze doğru erişim için kural oluşturuyorum. Nat kapatıp
kaydediyorum. Sonrasında reverse clone ile tersine kural oluşturuyorum.

Daha sonra şubeden şubeye kural yazıyorum.

Kurallarım şu şekilde oluştu.

Tunnel interface lerine ip adreslerini veriyorum bu ipleri overlay routing protokolde kullanacağım. Bunun için Network ->
Interface menüsüne geliyorum ve WAN portlarının altındaki tunnel interface leri seçip Edit diyorum.
Topolojimde WAN1 yani ISP1 için belirlediğim 111.111.111.x/24 ip adresini giriyorum. Ping açıp OK diyorum. HUB için 1,
SPOKE01 için 2, SPOKE02 için 3 gireceğim.

WAN2 içinde 222.222.222.x giriyorum.

Routing için FGT-HUB(Merkez) root reflector olacak. Böylece root üzerine gelen route bilgileri tüm spoke lara iletilir.

Network->BGP menüsüne geliyorum. Local AS olarak 65001, Router ID olarak 1.1.1.1 yazıyorum. Sonrasında Neigbour
Groups kısımnda Create New tıklıyorum.

Add BGP Neighbor Group penceresinde bir isim belirliyorum ve Remote AS olarak 65001 yazıyorum.

Sayfayı kaydırıp, aşağıdaki alanları işaretliyorum.

Apply tıklayıp kaydediyorum. Ardından Neighbor Ranges bölümünden Create New tıklıyorum.

Prefix olarak ADVPN01(WAN1) için overlay networku yazıyorum. Aynı işlemi WAN2 için de yapıyorum.

Networks kısmına anons yapacağım networkü (lokal networkum) yazıyorum. HUB da işim şimdilik bitti.
Şubelerde işlemlere başlıyorum. FGT-SPOKE01 de daha önce oluşturduğum gibi Network->SD-WAN menüsünden Create
New diyerek Zone oluşturuyorum.

Sonra yine aynı menüden Create New diyerek Member oluşturmaya başlıyorum.

Interface menüsünden + VPN tıklıorum.

Tunnel için isim belirtiyorum. Bu sefer Remote IP adres kısmına HUB WAN1 dış ip adresini yazıp, Pre-Shared Key
belirtiyorum ve Next diyorum.

Oluşturduğum Tunnel Interface ve Zone seçip OK diyorum.

Aynı işlemi WAN2 içinde yapıyorum ve son durum aşağıdaki gibi oluyor.

Oluşturduğum tunnel interface leri editleyeceğim. VPN->IPsec Tunnels menüsüne gelip tunnelerden birini seçip edit
diyorum.
Network bölümünü editleyip advanced i tıklıyorum. Add route disable, Auto discover receiver enable seçiyorum.

Phase2 ye gelip Advanced e tıklıyorum ve Auto negotiate işaretleyip OK ilekaydediyorum.

Aynı işlemi diğer tunnel interface için de yapıyorum.

SDWAN to LAN ve LAN to SDWAN firewall kurallarını aşağıdaki gibi oluşturuyorum.

Clone reverse ile ters kuralı oluşturuyorum.

Aşağıdaki gibi kurallarım oluşuyor.

Yine aşağıdaki gibi tunnel interface lere topolojimde belirlediğim ipleri tanımlıyorum.
Diğer şube (SPOKE02) için SDWAN zone , zone members oluşturuyorum.

SPOKE01 deki gibi tunnel interface leri editliyorum.

Tunnel interface lere topolojim için belirlediğim ip adreslerini giriyorum.

SPOKE01 de Network->BGP menüsüne geliyorum. Local AS olarak 65001, Router ID olarak 2.2.2.2 yazıyorum. Ardından
Neighbors bölümünden Create New tıklıyorum.

IP adresi olarak HUB tunnel interface ip adresini, Remote AS olarak 65001 yazıyorum ve OK ile kaydediyorum.

Sayfanın aşağısında Route reflector client hariç diğerlerini işaretliyorum.

Diğer tunnel interface ip adresi neighbor oluşturup sayfayı aşağı doğru kaydırıyorum.

Networks kısmında ip adresi olarak anons yapacağım network subnetimi yazıyorum.

Apply diyorum ve ardından Edit in CLI tıklıyorum.

Açılan CLI penceresinden öncelikle config neighbor yazıyorum. Burada şubeler (spoke) üzerinde bgp route anonslarının
tekrarlanma sürelerini belirleyeceğim.

Aşağıdaki gibi her iki neighbor editleyip set advertisement-interval 1 komutunu giriyorum ve end ile kaydedip çıkıyorum.
Aynı işlemleri SPOKE02 için yapıyorum.
IPSec monitöre geldiğimde vpnlerin oturduğunu görüyorum.
HUB da SDWAN için performans SLA oluşturacağım. Network->SD-WAN menüsüne gelip Performance SLAs e geliyorum.

Create New diyerek oluşturmaya başlıyorum.

Aşağıdaki gibi isim belirliyorum. Protocol Ping, Server olarak FGT-SPOKE01 lan network ip adresi ve participants olarak

Tunnel interface adreslerimi seçiyorum ve OK ile kaydediyorum. Aynı işlemi SPOKE02 için de yapıyorum.
Network->SD-WAN menüsünden oluşturduğumuz zone seçip edit diyorum. Burada SLA için kullanacağımız source ip
adreslerini gireceğim.

Edit in CLI tıklıyorum.

End ile bir üst confige geçiyorum. Config members ile tunnel interface leri seçiyorum ve set source x.x.x.x komutu ile
FGT-HUB LAN ip adresini yazıyorum.
Show ile baktığımda source ipleri girilmiş.
SD-WAN rule oluşturacağım. SD-WAN menüsünden SD-WAN Rules sekmesinden Create New tıklıyorum.

Bir isim belirliyorum. Source adres olarak HUB local networku, destination olarak SPOKE01 locak networkü seçiyorum.
(adresleri daha önce oluşturdum.)
Sayfayı aşağı kaydırıyorum. Interface olarak tunnel interfaceleri seçiyorum. Zone olarak SD-WAN zone seçiyorum.
Measured SLA olarak az önce oluşturduğum PingSpoke01 SLA seçiyorum. OK ile kaydediyorum.

Rule üzerine gelip clone tıklıyorum.

İsim belirleyip Enable seçiyorum ve OK ile kaydediyorum. Ardından değerleri SPOKE02 için değiştiriyorum.
SPOKE01 için SDWAN SLA oluşturuyorum.
SPOKE01 için SLA ping source ip adresi giriyorum.

SPOKE01 için SDWAN Rule oluşturuyorum.

SPOKE02 için SDWAN SLA oluşturuyorum.
SPOKE02 için SLA ping source ip adresi giriyorum.

SPOKE02 için SDWAN Rule oluşturuyorum.

Fortigate sdwan da default load balance algoritması ipbased şeklinde gelir. Bunu weight-based olarak değiştiriyorum.
Ayrıca ibgp için multipath enable olarak ayarlıyorum.

Konfigürasyonlar tamam şu an hub ve spoke hostlarından ping testleri yapıyorum.

HUB host pcden SPOKE01 ve SPOKE02 hostlarını pingliyorum.

SPOKE01 host pcden HUB ve SPOKE02 hostlarını pingliyorum.

SPOKE02 host pcden HUB ve SPOKE01 hostlarını pingliyorum.

HUB fortigate WAN1 interface disable ediyorum ardından SPOKE01 ve SPOKE02 host pcsini pinglemeye devam
edebiliyorum.
Aynı şekilde SPOKE01 den HUB ve SPOKE02 host pclerini pingleyebiliyorum.

Takip ettiğiniz için teşekkürler.

Sonraki konumuz yine ADVPN ile ilgili olacak bu sefer SDWAN olmadan �