Buenas amigos,
En la configuración de nuestra empresa somos varias delegaciones que utilizamos para conectarnos entre nosotras un Fortigate 60 utilizando el interfaz DMZ a través de una red privada ConnectLAN de Euskaltel por f.o. Tal y como lo tenemos configurado actualmente, si haces ping o traceroute desde cualquier máquina de una delegación a la otra, el tráfico se enruta automáticamente por la DMZ y llega sin problema al otro extremo y de hecho así estamos trabajando sin problemas.
Ejemplo:
tracert 172.16.1.4 Traza a 172.16.1.4 sobre caminos de 30 saltos como máximo.
1 <1 ms <1 ms <1 ms 192.168.1.52
2 1 ms <1 ms <1 ms 172.31.3.1
3 8 ms 8 ms 8 ms 10.8.15.2
4 8 ms 8 ms 8 ms 172.17.2.1
5 8 ms 8 ms 8 ms 172.16.1.4
En los interfaces WAN1 y WAN2 tenemos accesos ADSL y/o f.o. y los utilizamos para salir a Internet u ofrecer diferentes servicios en cada una de las delegaciones (FTP, servidor de correo, etc.)
El problema que tenemos es que en la WAN1 de la delegación 1 tenemos el acceso a Internet con mejor caudal y queremos crear un servicio mediante una IPVirtual pero cuyo servidor de destino está en otra delegación y a pesar de que aparentemente todo está bien configurado, no se genera nada de tráfico en el Fortigate de destino.
Ejemplo: IP pública de la WAN1:2100 -> (Virtual IP con NAT de puerto) -> Acceso FTP al servidor con ip 172.16.1.4:21
Si capturamos el tráfico al intentar acceder al servicio, el resultado es el siguiente:
id=20085 trace_id=116 msg="vd-root received a packet(proto=6, 62.75.138.232:52477->172.31.1.2:2100) from wan1."
id=20085 trace_id=116 msg="allocate a new session-00053755"
id=20085 trace_id=116 msg="find SNAT: IP-172.16.1.4(from IPPOOL), port-21"
id=20085 trace_id=116 msg="VIP-172.16.1.4:21, outdev-wan1"
id=20085 trace_id=116 msg="DNAT 172.31.1.2:2100->172.16.1.4:21"
id=20085 trace_id=116 msg="find a route: gw-172.31.3.1 via dmz"
id=20085 trace_id=116 msg="Allowed by Policy-79:"
id=20085 trace_id=116 msg="run helper-ftp(dir=original)
pero el tráfico se queda ahí muerto ya que el Forti no lo enruta hacia la DMZ o por lo menos en el otro lado no queda constancia de que llegue absolutamente nada.
¿Cuál puede ser el problema?
Un saludo.
VirtualIP en un ordenador de otra LAN conectadas usando DMZ
Re: VirtualIP en un ordenador de otra LAN conectadas usando
hola, si natetas la politica del vip ??
saludos
saludos
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
Re: VirtualIP en un ordenador de otra LAN conectadas usando
Ya lo tenía probado y tampoco funciona:
id=20085 trace_id=128 msg="vd-root received a packet(proto=6, 62.75.138.232:44883->172.31.1.2:2100) from wan1."
id=20085 trace_id=128 msg="allocate a new session-00190344"
id=20085 trace_id=128 msg="find SNAT: IP-172.16.1.4(from IPPOOL), port-21"
id=20085 trace_id=128 msg="VIP-172.16.1.4:21, outdev-wan1"
id=20085 trace_id=128 msg="DNAT 172.31.1.2:2100->172.16.1.4:21"
id=20085 trace_id=128 msg="Match policy routing: to 172.31.3.1 via ifindex-8"
id=20085 trace_id=128 msg="find a route: gw-172.31.3.1 via dmz"
id=20085 trace_id=128 msg="find SNAT: IP-172.31.3.2, port-53300"
id=20085 trace_id=128 msg="Allowed by Policy-79: SNAT"
id=20085 trace_id=128 msg="SNAT 62.75.138.232->172.31.3.2:53300"
id=20085 trace_id=128 msg="run helper-ftp(dir=original)"
No sé si será un problema de las rutas o qué pero no consigo enrutar nada de wan1 a dmz.
id=20085 trace_id=128 msg="vd-root received a packet(proto=6, 62.75.138.232:44883->172.31.1.2:2100) from wan1."
id=20085 trace_id=128 msg="allocate a new session-00190344"
id=20085 trace_id=128 msg="find SNAT: IP-172.16.1.4(from IPPOOL), port-21"
id=20085 trace_id=128 msg="VIP-172.16.1.4:21, outdev-wan1"
id=20085 trace_id=128 msg="DNAT 172.31.1.2:2100->172.16.1.4:21"
id=20085 trace_id=128 msg="Match policy routing: to 172.31.3.1 via ifindex-8"
id=20085 trace_id=128 msg="find a route: gw-172.31.3.1 via dmz"
id=20085 trace_id=128 msg="find SNAT: IP-172.31.3.2, port-53300"
id=20085 trace_id=128 msg="Allowed by Policy-79: SNAT"
id=20085 trace_id=128 msg="SNAT 62.75.138.232->172.31.3.2:53300"
id=20085 trace_id=128 msg="run helper-ftp(dir=original)"
No sé si será un problema de las rutas o qué pero no consigo enrutar nada de wan1 a dmz.
Re: VirtualIP en un ordenador de otra LAN conectadas usando
hola, revisa el helper del ftp y proba deshabilitandolo
[Debes identificarte para poder ver enlaces.]
saludos
[Debes identificarte para poder ver enlaces.]
saludos
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
Re: VirtualIP en un ordenador de otra LAN conectadas usando
Hola,
Analizando mediante debug flow en el Fortigate de destino, sí que he conseguido ver tráfico entrante pero no llega a manisfestarse en las sesiones activas. Es como si no hubiera respuesta...
id=20085 trace_id=3 msg="vd-root received a packet(proto=6, 62.75.138.232:40229->172.16.1.4:21) from dmz."
id=20085 trace_id=3 msg="allocate a new session-00071f1b"
Un saludo.
Analizando mediante debug flow en el Fortigate de destino, sí que he conseguido ver tráfico entrante pero no llega a manisfestarse en las sesiones activas. Es como si no hubiera respuesta...
id=20085 trace_id=3 msg="vd-root received a packet(proto=6, 62.75.138.232:40229->172.16.1.4:21) from dmz."
id=20085 trace_id=3 msg="allocate a new session-00071f1b"
Un saludo.
Re: VirtualIP en un ordenador de otra LAN conectadas usando
Hola,
Por fin he conseguido que funcione. El problema es que tengo que agregar una ruta en el Forti de destino para el tráfico de vuelta:
Rutas estáticas actuales:
edit 2
set device "dmz"
set dst 192.168.1.0 255.255.255.0
set gateway 172.17.2.2
next
edit 3
set device "dmz"
set dst 172.20.0.0 255.255.0.0
set gateway 172.17.2.2
next
edit 5
set device "wan1"
set gateway 172.17.0.2
next
edit 4
set device "wan2"
set gateway 172.17.1.2
next
Ruta que hay que añadir:
set device "dmz"
set dst 0.0.0.0 0.0.0.0
set gateway 172.17.2.2
Inicialmente lo teníamos así pero el Forti se empeñaba en salir a Internet para los servicios Fortiguard y resolución de DNS por la DMZ y para evitar que hubiera problemas tuvimos que limitar el acceso a DMZ solo para unas subredes en concreto.
Tendré que revisar ese tema nuevamente.
Un saludo y gracias a todos.
Por fin he conseguido que funcione. El problema es que tengo que agregar una ruta en el Forti de destino para el tráfico de vuelta:
Rutas estáticas actuales:
edit 2
set device "dmz"
set dst 192.168.1.0 255.255.255.0
set gateway 172.17.2.2
next
edit 3
set device "dmz"
set dst 172.20.0.0 255.255.0.0
set gateway 172.17.2.2
next
edit 5
set device "wan1"
set gateway 172.17.0.2
next
edit 4
set device "wan2"
set gateway 172.17.1.2
next
Ruta que hay que añadir:
set device "dmz"
set dst 0.0.0.0 0.0.0.0
set gateway 172.17.2.2
Inicialmente lo teníamos así pero el Forti se empeñaba en salir a Internet para los servicios Fortiguard y resolución de DNS por la DMZ y para evitar que hubiera problemas tuvimos que limitar el acceso a DMZ solo para unas subredes en concreto.
Tendré que revisar ese tema nuevamente.
Un saludo y gracias a todos.