VirtualIP en un ordenador de otra LAN conectadas usando DMZ
Publicado: 21 Nov 2011, 15:16
Buenas amigos,
En la configuración de nuestra empresa somos varias delegaciones que utilizamos para conectarnos entre nosotras un Fortigate 60 utilizando el interfaz DMZ a través de una red privada ConnectLAN de Euskaltel por f.o. Tal y como lo tenemos configurado actualmente, si haces ping o traceroute desde cualquier máquina de una delegación a la otra, el tráfico se enruta automáticamente por la DMZ y llega sin problema al otro extremo y de hecho así estamos trabajando sin problemas.
Ejemplo:
tracert 172.16.1.4 Traza a 172.16.1.4 sobre caminos de 30 saltos como máximo.
1 <1 ms <1 ms <1 ms 192.168.1.52
2 1 ms <1 ms <1 ms 172.31.3.1
3 8 ms 8 ms 8 ms 10.8.15.2
4 8 ms 8 ms 8 ms 172.17.2.1
5 8 ms 8 ms 8 ms 172.16.1.4
En los interfaces WAN1 y WAN2 tenemos accesos ADSL y/o f.o. y los utilizamos para salir a Internet u ofrecer diferentes servicios en cada una de las delegaciones (FTP, servidor de correo, etc.)
El problema que tenemos es que en la WAN1 de la delegación 1 tenemos el acceso a Internet con mejor caudal y queremos crear un servicio mediante una IPVirtual pero cuyo servidor de destino está en otra delegación y a pesar de que aparentemente todo está bien configurado, no se genera nada de tráfico en el Fortigate de destino.
Ejemplo: IP pública de la WAN1:2100 -> (Virtual IP con NAT de puerto) -> Acceso FTP al servidor con ip 172.16.1.4:21
Si capturamos el tráfico al intentar acceder al servicio, el resultado es el siguiente:
id=20085 trace_id=116 msg="vd-root received a packet(proto=6, 62.75.138.232:52477->172.31.1.2:2100) from wan1."
id=20085 trace_id=116 msg="allocate a new session-00053755"
id=20085 trace_id=116 msg="find SNAT: IP-172.16.1.4(from IPPOOL), port-21"
id=20085 trace_id=116 msg="VIP-172.16.1.4:21, outdev-wan1"
id=20085 trace_id=116 msg="DNAT 172.31.1.2:2100->172.16.1.4:21"
id=20085 trace_id=116 msg="find a route: gw-172.31.3.1 via dmz"
id=20085 trace_id=116 msg="Allowed by Policy-79:"
id=20085 trace_id=116 msg="run helper-ftp(dir=original)
pero el tráfico se queda ahí muerto ya que el Forti no lo enruta hacia la DMZ o por lo menos en el otro lado no queda constancia de que llegue absolutamente nada.
¿Cuál puede ser el problema?
Un saludo.
En la configuración de nuestra empresa somos varias delegaciones que utilizamos para conectarnos entre nosotras un Fortigate 60 utilizando el interfaz DMZ a través de una red privada ConnectLAN de Euskaltel por f.o. Tal y como lo tenemos configurado actualmente, si haces ping o traceroute desde cualquier máquina de una delegación a la otra, el tráfico se enruta automáticamente por la DMZ y llega sin problema al otro extremo y de hecho así estamos trabajando sin problemas.
Ejemplo:
tracert 172.16.1.4 Traza a 172.16.1.4 sobre caminos de 30 saltos como máximo.
1 <1 ms <1 ms <1 ms 192.168.1.52
2 1 ms <1 ms <1 ms 172.31.3.1
3 8 ms 8 ms 8 ms 10.8.15.2
4 8 ms 8 ms 8 ms 172.17.2.1
5 8 ms 8 ms 8 ms 172.16.1.4
En los interfaces WAN1 y WAN2 tenemos accesos ADSL y/o f.o. y los utilizamos para salir a Internet u ofrecer diferentes servicios en cada una de las delegaciones (FTP, servidor de correo, etc.)
El problema que tenemos es que en la WAN1 de la delegación 1 tenemos el acceso a Internet con mejor caudal y queremos crear un servicio mediante una IPVirtual pero cuyo servidor de destino está en otra delegación y a pesar de que aparentemente todo está bien configurado, no se genera nada de tráfico en el Fortigate de destino.
Ejemplo: IP pública de la WAN1:2100 -> (Virtual IP con NAT de puerto) -> Acceso FTP al servidor con ip 172.16.1.4:21
Si capturamos el tráfico al intentar acceder al servicio, el resultado es el siguiente:
id=20085 trace_id=116 msg="vd-root received a packet(proto=6, 62.75.138.232:52477->172.31.1.2:2100) from wan1."
id=20085 trace_id=116 msg="allocate a new session-00053755"
id=20085 trace_id=116 msg="find SNAT: IP-172.16.1.4(from IPPOOL), port-21"
id=20085 trace_id=116 msg="VIP-172.16.1.4:21, outdev-wan1"
id=20085 trace_id=116 msg="DNAT 172.31.1.2:2100->172.16.1.4:21"
id=20085 trace_id=116 msg="find a route: gw-172.31.3.1 via dmz"
id=20085 trace_id=116 msg="Allowed by Policy-79:"
id=20085 trace_id=116 msg="run helper-ftp(dir=original)
pero el tráfico se queda ahí muerto ya que el Forti no lo enruta hacia la DMZ o por lo menos en el otro lado no queda constancia de que llegue absolutamente nada.
¿Cuál puede ser el problema?
Un saludo.