[Fortigate] PPPoEを使用したIPSECでStatic Routeが反映されない件

Fortigate 60D(v6.0.3 build0200 (GA))を使用して、PPPoE接続インターネットをベースにしたIPSEC環境でStatic Route (0.0.0.0)が反映されない件が解決できたので備忘録

ここでは、すべてのトラフィックをIPSECの対向へ流したいケースで説明している。

まずPPPoEでインターネット接続を確立すると、自動的に0.0.0.0のStatic RouteがPPPoE向けに作成される。

ここで作成されるStatic Routeのディスタンスが「５」であることに注目

何も考えずにIPSECトンネル向けにStatic Routeを追加しても、なぜか反映されない。

理由は、Static RouteのDefaultのディスタンス値が「１０」でPPPoEの「５」よりも弱いため、表示されない。

よって、「５」よりも強い「１」などに設定すると、PPPoEのStatic Routeが上書きされる

これですべてのトラフィックはIPSECトンネルを通過するのだが、Internetにそもそも通信できなくなってしまう

理由はIPSECの対向アドレスは素のInternetに流してあげる必要があるので、対向アドレスへのStatic Routeを別に書くとIPSECが再確立されInternetにも通信が流れるようになる。