Ich bin dabei, einen Fortigate 100F für einen Kunden zu konfigurieren.
Ich habe bereits einen Site-to-Site IPsec-Tunnel zu ihrem zweiten Standort eingerichtet, und ich benötige einen weiteren Tunnel zu ihrem Netzwerk der Anbieter. Kann ich:
Danke für jeglichen Input.
Schau dir auch https://training.fortinet.com/ (NSE4) und https://docs.fortinet.com/ an.
Ja, das habe ich vor langer Zeit gemacht, als FortiOS noch in der 5.X-Version war, ich erinnere mich, dass ich damals einen Support-Fall dafür geöffnet habe 
https://docs.fortinet.com/document/fortigate/6.2.0/cookbook/755287/redundant-hub-and-spoke-vpn
Obwohl es Hub-and-Spoke-VPN nennt (um entfernte Standorte über das zentrale Fortigate zugänglich zu machen), bekommst du, wenn du den entsprechenden Konfigurationsschritt ignorierst, zwei IPsec-Tunnels mit derselben WAN-IP.
Zwei IPsec-Tunnel zum selben WAN-IP?
Ja. Das ist eine universelle Funktion bei Firewalls und Routern. Ohne diese Funktion würde vieles nicht richtig funktionieren.
Mehrere statische IPs auf den WAN1-Port konfigurieren?
Du kannst zusätzliche IPs hinzufügen, aber warum brauchst du das?
Du brauchst keine mehreren statischen IPs, um mehrere IPsec-Tunnel auf derselben Schnittstelle zu haben. Konfiguriere einfach zusätzliche IPsec-Tunnel, als ob du keine hättest … alles sollte funktionieren (solange die Endstandorte unterschiedliche Subnets sind).
Du kannst zusätzliche statische IPs konfigurieren, indem du VIPs benutzt. Es gibt keinen wirklichen Grund, das zu tun, es sei denn, du tunnelst spezielle Dienste zu bestimmten Orten.
Zwei IPsec-Tunnel zum selben WAN-IP?
Ja.
Jeder Tunnel muss eine eindeutige Kombination aus Site1-IP und Site2-IP haben. Das ist alles.
Mehrere statische IPs auf den WAN1-Port konfigurieren?
Das ist möglich. Was möchtest du damit erreichen?
Ja, ich brauche zwei Site-to-Site-VPNs, die immer aktiv sind, das scheint zu funktionieren, aber ich habe mehrere statische WAN-IP-Adressen, ich könnte sie ebenfalls nutzen.
Er meint wahrscheinlich VIPs und Pools für WAN-IP’s anstelle von sekundären.
Es ist nicht notwendig, verschiedene WAN-IP’s auf deinem Gerät zu verwenden. Ein IPSec Site-to-Site hat einen einzigartigen PAAR von Endpunkten (deine WAN-IP), Remote-Endpunkt (die IP des entfernten Endpunkts). Da der Remote-Endpunkt unterschiedlich ist, besteht keine Verwirrung bei derselben lokalen Endpunkt. Ich habe 2, 3, 5, 10, 50, sogar 300 IPSec-Tunnels auf einem Port, mit einer IP. Denke an ein Rechenzentrum mit 300 Filialstandorten.