200B en HA pierde config/sync. ?

Para discusiones sobre temas técnicos (solución de problemas, configuraciones) cuyo tema no pertenezca especificamente a otros foros.
Responder
zer0
Mensajes: 13
Registrado: 30 Jun 2014, 01:25

200B en HA pierde config/sync. ?

Mensaje por zer0 »

Hola grupo, por aqui nuevamente consultando un extraño problema con dos equipos FW. 200b en HA que no logro entender. Resulta que ambos equipos no se habian reiniciado en 7 años, lo cual para hacerle un mantenimiento la idea era pasar al bckp reinciar el main y luego hacer lo contrario pero ya con el main listo. Siempre que por algun otro mantenimiento hicimos este procedimiento todo funciono perfecto. Menos esta vez. :oops: :shock:

Al hacer lo mencionado arriba el bckp no tenia la misma config que el main, cosa que me parecia raro ya que siempre estuvo sincronizada. Luego al volver al main viendo que el bckp no tenia la misma config el main tomo la config del backp cosa que tuve que volver a poner a mano muchas cosas que se habian perdido.... Esto nunca me habia sucedido antes. (( Como dato extra esta situacion paso previo simular un failover de los equipo routers core para que los fw conmuten es decir sin reiniciarlos.)) :? :? alguna sugerencia de que verificar para estar seguro que todo este bien o que pudo haber pasado ? Fue duro pasar por esta situacion con equipos en produccion. Tenia un archivo bck guardado pero ante la situacion entre en panico y no me anime a restorear desde la GUI la config... ya que no sabia si como funcionaria.....Muchas Gracias.!
AndresW
Mensajes: 452
Registrado: 09 Jun 2014, 17:05

Re: 200B en HA pierde config/sync. ?

Mensaje por AndresW »

Hola:

La verdad es que no es muy extraño lo que comentas, y espero que me disculpes si soy demasiado objetivo, pero en mi opnión fue única y exclusivamente tu responsabilidad lo que ocurrió. A continuación te explico el por qué:

Cuando reinicias un clúster o un miembro de este, lo primero que debes validar es que el checksum en ambos dispositivos corresponda al mismo antes de siquiera tocar los firewalls, y más aún si estamos hablando de un ambiente productivo, ya que con esto te aseguras que no existe un mismatch en las configuraciones tal como te ocurrió. Por eso cuando hiciste el rollback hacia el primario cargó la configuración del backup que iba incompleta.

En relación a qué pudo haber ocurrido, ciertamente es difícil afirmarlo, puesto que el problema de sincronización podría deberse a inconvenientes en la(s) interfaz(ces) heartbeat que no te percataste previamente o bien producto de un bug en el firmware, que por la versión de hardware que tienes ya no cuentas con updates a la fecha. Todo esto lo habrías evitado si hubieras forzado la sincronización manualmente antes de hacer nada.

Lo que te puedo recomendar es que para futuras tareas de mantenimiento tomes las medidas de verificación de parámetros antes.
zer0 escribió: 04 Dic 2021, 13:42 Hola grupo, por aqui nuevamente consultando un extraño problema con dos equipos FW. 200b en HA que no logro entender. Resulta que ambos equipos no se habian reiniciado en 7 años, lo cual para hacerle un mantenimiento la idea era pasar al bckp reinciar el main y luego hacer lo contrario pero ya con el main listo. Siempre que por algun otro mantenimiento hicimos este procedimiento todo funciono perfecto. Menos esta vez. :oops: :shock:

Al hacer lo mencionado arriba el bckp no tenia la misma config que el main, cosa que me parecia raro ya que siempre estuvo sincronizada. Luego al volver al main viendo que el bckp no tenia la misma config el main tomo la config del backp cosa que tuve que volver a poner a mano muchas cosas que se habian perdido.... Esto nunca me habia sucedido antes. (( Como dato extra esta situacion paso previo simular un failover de los equipo routers core para que los fw conmuten es decir sin reiniciarlos.)) :? :? alguna sugerencia de que verificar para estar seguro que todo este bien o que pudo haber pasado ? Fue duro pasar por esta situacion con equipos en produccion. Tenia un archivo bck guardado pero ante la situacion entre en panico y no me anime a restorear desde la GUI la config... ya que no sabia si como funcionaria.....Muchas Gracias.!
Última edición por AndresW el 04 Dic 2021, 21:32, editado 2 veces en total.
Saludos!

_____________________________________________________________

Grupo de Telegram referente a FortiGate --> https://t.me/FortiGate_es
zer0
Mensajes: 13
Registrado: 30 Jun 2014, 01:25

Re: 200B en HA pierde config/sync. ?

Mensaje por zer0 »

Muchas gracias por tu respuesta. Si no es molestias me podrias indicar los comandos a emplear para forzar sync de main to bckp y la verificacion que comentas.(hearbeat por ejemplo) Realice verificaciones antes pero nadie es perfecto y tal vez se me paso alguna.

Cordial Saludo.
AndresW
Mensajes: 452
Registrado: 09 Jun 2014, 17:05

Re: 200B en HA pierde config/sync. ?

Mensaje por AndresW »

Hola,

Respecto a los comandos que sería útil va a depender de la versión de FoS que tengas corriendo, pero vamos a suponer que operas con el último disponible para ese hardware (v5.2.15) te recomiendo lo siguiente:

1.- Descarga un backup de la configuración de cada firewall por si tuvieras que cargarla de urgencia.

2.- Revisa que la sincronización de configuración esté habilitada (viene por activada por default pero no está de más validarlo)

config system ha

sh | grep set sync-config

Debiera estar en enable
set sync-config enable
3.- En cada FG ejecuta el siguiente comando y compara que el resultado sea igual en ambos.

diag sys ha showcsum

4.- Si el checksum no coincide, procede a forzar la sincronización en el FG backup.

execute ha synchronize start

Y finalmente vuelve al punto 3 para validar que ahora si están ambos dispositivos in-sync.

5.- Asegúrate que la(s) interfaz(ces) que opera(n) como Heartbeat estén Up y sin marcar errores,

get hardware nic <Nombre_Interfaz>

Con estos puntos ya podrías estar un poco más tranquilo antes de reiniciar.
Saludos!

_____________________________________________________________

Grupo de Telegram referente a FortiGate --> https://t.me/FortiGate_es
zer0
Mensajes: 13
Registrado: 30 Jun 2014, 01:25

Re: 200B en HA pierde config/sync. ?

Mensaje por zer0 »

Perfecto voy a proceder a verificar la version es la 4 de fortios (en mi empresa no tienen contrato con fortigate). Tambien encontre este doc. No se si el comando es igual al que me indicas. gracias.

[Debes identificarte para poder ver enlaces.]

[Debes identificarte para poder ver enlaces.]
AndresW
Mensajes: 452
Registrado: 09 Jun 2014, 17:05

Re: 200B en HA pierde config/sync. ?

Mensaje por AndresW »

Hola,

[Debes identificarte para poder ver enlaces.]

El documento hace referencia a FortiOS 6.4.7, por lo tanto los comandos no son funcionales para 4.0.

[Debes identificarte para poder ver enlaces.]

Este link debiera serte útil si la versión de FoS está por encima de 4.0.

Es tan antigua la versión de firmware que utilizas que práctiamente no hay documentación específica disponible, ni siquiera en Fortinet que sólo mantiene desde 5.0 hacia arriba, pero te dejo este link donde puedes descargarlo:

[Debes identificarte para poder ver enlaces.]

De todas maneras, mi recomendación es que dentro de lo posible puedas hacer un upgrade a versiones más nuevas, tanto para corregir vulnerabilidades como por temas de estabilidad.
Saludos!

_____________________________________________________________

Grupo de Telegram referente a FortiGate --> https://t.me/FortiGate_es
Responder