Si volem configurar el tallafocs per quan se caiga una connexió d'internet que salga amb una altra de forma automàtica i els usuaris “casi” no se den compte hay que seguir los passos d'aquest procediment. És aplicable a qualsevol Fortigate, lògicament lo que hi ha que tenir es dos connexions de diferents proveïdors en l'organització, per exemple podem tener Timofonica en la WAN1 y Güanadú en la WAN2, por si se cae la conexión de Timofonica (algo bastante freqüentement) que se levante la conexión que tenemos con Güanadú.

Lo normal es tener las dos WAN configuradas, la WAN1 con una IP, y la otra WAN con otra IP.

Si no lo has hecho, hay que crear una ruta estática de menor peso para que tenga claro por que conexión va a salir a internet y en caso de que esta falle cual debe levantar, bo, para crear esta ruta > “Router” > “Static” > “Create New”. Vemos que la que tengo (x defecte) tiene la Distancia a 10,

Al crear la ruta estática para la WAN2 (que no se crea x defecto), debemos poner en “Device” “WAN2” i en “Gateway” pues la puerta de enlace de esta conexión, que es la que nos da nuestro proveedor de esa WAN (en este caso Güanadú), i en “Distance” le ponemos un valor más alto que tenía la otra ruta, por ejemplo a esta la ponemos 20 para que no sea la conexión preferida, posem en “OK” para que guarde los cambios.

Val, ara vam a configurar lo que se llaman los “Ping Servers”, esto és alguna cosa tan simple com que el firewall va ha fet simples PINGs a una direcció IP, i en quant està deje de respondre entenderá que la WAN1 està caida i tindrà que levantar la WAN2, per a això, editamos primer la WAN1 desde .

Metemos una direcció IP pública en “Ping Server” y lo habilitàvem marcant el check de “Enable”, yo pongo per exemple una IP de www.google.com (216.239.59.104), com que posem una pública que sabem que SEMPRE va a estar en línia perfecte. Donem a “OK” para guardar los canvis.

Bé, ara haremos el mateix amb la WAN2, la editamos .

Y ponem el Ping Server y la habilitamos. Donem a “OK” para guardar.

Ara crearem una regla per permetre que en el cas que se caiga la connexió de internet de la WAN1 salga por la WAN2, per a això, anem a “Firewall” > “Policy” i posem sobre “Create New”.

La configuramos como nos interessa, el normal és: “Source Interface” > “INTERNAL” y “Interfície de destinació” > “WAN2”, fem NAT si ens interessa marcant la casella i “OK” para guardar los canvis.

Comprovem que allà ja tenim les regles, tant per sortir des de INTERNAL cap a la WAN1 (ve per defecte) i la que acabem de crear des de INTERNAL cap a WAN2. El normal és que si tenim serveis que tenim redireccionats cap a dins, per exemple un servidor web, tindrem una regla que tot el que vingui del port 80 per la WAN1 s'enviï a aquest servidor web; el que hauria de fer és crear-ne una igual, per si cau aquesta WAN1 que tot el que vingui al port 80 de la WAN2 s'envii al mateix servidor web. I el mateix amb qualsevol servei, per exemple si tenim un servidor de correu dins, en el registre del nostre domini públic crearemos un segon MX amb menor prioritat que el que se supone que tenemos a la IP de la WAN2.

I bo, desde la consola en “Router” > “Monitor”, veremos con que conexión estamos saliendo en cada momento, también lógicament entrando en www.whatismyip.com, podem veure amb que IP pública estamos saliendo, y esa estaria associada a la WAN1 o WAN2.