こんにちは、
ポリシーベースとルーティングベースのVPNの用途例は何ですか?
もしローカルサイトがポリシーベースで、リモート側がルーティングベースの場合、動作しますか?
ありがとうございます
フォーティネット自体は、ポリシーベースのIPsec VPNで新しい設定を行わないことを推奨しています。これは彼らの研修によると、旧式の設定です
はい、一方はポリシーベースで、もう一方はルーティングベースにできます。ポリシーベースは古いやり方で、ルーティングベースはより柔軟で、トンネル上で動的ルーティングプロトコルを動作させることも可能です
重複するサブネットがある場合、ポリシーベースのトンネルはトラフィックを目的地に送ります。
例:複数の顧客のサーバーをホストしていて、すべての顧客が192.168.1.0/24をLANとして決めている場合、各サーバーは一つの顧客だけが使用します。ポリシーVPNは各顧客のLANを正しいサーバーに届け、戻します。
これと同じことは、ポリシールーティング(痛い!)、VRF(制限を252に引き上げた!やった!)、またはVDOM(高価で、制限は250)でも実現可能です。
ただし、重複サブネットは推奨しません。できるだけ避けてください。
ルーティングベースは古いやり方ですか? Ciscoは数年前にASAsでルーティングベースをサポートし始めたばかりです。フォーティネットがポリシーベースを推奨しているとは想像できません。それははるかに管理が難しいですし、彼らのADVPNソリューションはルーティングベースのVPNに基づいています。VPNは一方がルーティングベース、もう一方がポリシーベースという形にはできません。暗号化ドメインは一致する必要があります。ルーティングベースのVPNでは、暗号化ドメインは0.0.0.0です。ルーティングによって暗号化されるものが決まり、IPsec SAは一つだけです。ポリシーベースでは、各フェーズ2の暗号化ドメインごとにIPsec SAが形成され、両端で一致する必要があります。また、ルーティングプロトコルをサポートできる点で、ルーティングベースの方が柔軟です。古いASAに強制された場合にのみポリシーベースを使用します。
ポリシーベースのIPsecには、ファイアウォールが透過モードで動作している場合に用途があると思いますが、それだけです。
ルーティングベースは古いやり方ですか?
誰もそんなことは言っていません。
もう一方はルーティングベースにでき、もう一方はポリシーベースにできません。
はい、できます。
暗号化ドメインは一致する必要があり、ルーティングベースのVPNでは暗号化ドメインは0.0.0.0です。
大半のファイアウォールで、トラフィックセレクターを好きなように設定でき、0.0.0.0/0にする必要はありません。相手側と一致すればよく、ルーティングに基づいてトラフィックがVPNを通じて転送されます。設定したセレクターと一致しなければ、トラフィックは廃棄されます。ASAsだけ、ルーティングベースのVPNでトラフィックセレクターの設定を許可しないものに遭遇したことがあります。
暗号化ドメインはあまり重要ではありません。トラフィックが暗号化されてトンネルを通ってルーティングの決定に基づいて送信されるなら、それはルーティングベースのVPNです。
幸運なことに(TACにとっては)、透過モードはあまり使用されず、IPsecの透過モードも非常にまれです。 (TPモードのIPsecのトラブルシューティングをしなければならないときは汗だくになるでしょう)
ほとんどのファイアウォールで、ルーティングに基づいてトラフィックセレクターを好きなように設定でき、0.0.0.0/0にする必要はありません。
これを一段進めましょう:IKEv2のセレクター絞り込みを使用すると、正確な一致さえ必要ありません。_一部の重複_だけでトンネルを確立できます。 
はい、これにより、サブネットの各組み合わせごとに別々のSPIが必要なファイアウォール(ASAやWatchguard)でVPNを作成しやすくなります。各サブネットペアごとに別のフェーズ2トンネルを作成する代わりに、IKEv2トンネルにしてセレクター絞り込みを使用します。
私が現在の仕事を始めた頃、前任者が手動で構築した64のフェーズ2トンネルがあるIKEv1 VPNがありました。彼はサブネットの概要を十分に理解していなかったと思われます。