Problemas para redundancia a Internet

Para discusiones sobre temas técnicos (solución de problemas, configuraciones) cuyo tema no pertenezca especificamente a otros foros.
fstrier
Mensajes: 55
Registrado: 13 Nov 2008, 14:50

Problemas para redundancia a Internet

Mensaje por fstrier »

Gente:

Quiero brindar redundancia y/o balanceo por dos vínculos a Internet (conectados en WAN1 y WAN2), para el tráfico saliente, y me encuentro con varios problemas:

1) DNS

Debido a que los ISP que disponemos no permiten consultas DNS desde IP públicas origen que no son de su red, se vuelve inevitable que los querys al primer DNS den timeout cuando el vínculo caído es del ISP que brinda el DNS. Esto retarda todas las resoluciones. Entonces intenté utilizar los DNS que trae los FortiGate, pero las cosas empeoraron, lo cual corroboré cuando vi el doc "FortiGate DNS queries to default DNS servers can fail" http://kc.forticare.com/default.asp?id=2043&Lang=1&SID=
Entonces la pregunta es ¿qué DNS debería usar para que el primer query no de timeout/fail?

2) Policy Route & Link redundancy:
El único doc del tema que vi es:
"Configuring Dual Internet Links (Design Considerations)" http://kc.forticare.com/default.asp?id=376&SID=&Lang=1

No me quedó claro cómo hacer para distribuir (tipo round-robin) el tráfico saliente por ambos vínculos, o sea, balanceando carga, ya que en las Policy Route las reglas se ejecutan de arriba hacia abajo pero no simultáneamente. ¿Hay algún documento mejor sobre el tema?

Gracias!
Fabián.

Avatar de Usuario
gabyrossi
Mensajes: 10853
Registrado: 30 Oct 2007, 19:47

Re: Problemas para redundancia a Internet

Mensaje por gabyrossi »

Hola, como estas? cotesto tus preguntas:

1) El fortigate no es tiene dns, solo hace forward de dns. Los que trae por default son solo por default.
Si tenes 2 isp en el primer dns tendras el dns que usas para navegar. Si se cae o cambias el dns por el otro isp o tendras ese timaout.
Lo mejor es tener un dns interno y te olvidas de estos problemas. Y el fortigate hace forward de ese dns internto y listo.


2)-Hola, es muy facil. Cuando tenes mas de un isp configurado en el forti, tendras uno con menor prioridad y sera tu isp principal. Si queres sacar algo por el otro deberas hacer policyrouter por el otro isp.
Si no le pones gw en la policyroute cuando se caiga ese proveedor saldra por el otro, y si le pones gw y se cae intentara sacarlo por ahi hasta que levante.

Entonces por default saldra todo por la wan con menos prioridad (prioridad mas chica) osea por el principal y lo que quieras sacar por el otro lo manejas con policy routes. Obivmanete tendra que haber politicas de firewall.

saludos
Gabriel
NSE 5 - 6.0 - Fortinet - Network Security Analyst
FCNSP - FCNSA -

fstrier
Mensajes: 55
Registrado: 13 Nov 2008, 14:50

Re: Problemas para redundancia a Internet

Mensaje por fstrier »

Gabriel, ante todo, muchas gracias por tu pronta respuesta.


1) DNS:

Cuando mencionas tener un DNS interno, transfiero el problema a ese DNS, ya que tendrá como forwarders a los DNS de los ISP, ¿o existe otra alternativa mejor?

2) Load balance:

Te comento que yo tengo ambos ISP con el mismo peso de ruta estática a su default gateway y quité todas las policy routes. Pensé que así se balanceaba... ¿entonces debería cambiar el peso de uno de los DG y hacer una policy route que no especifique gateway para balancear en forma automática? ¿policy route detecta vínculo caído por medio del ping server definido?

Mil gracias por tu ayuda.
Fabián.

Avatar de Usuario
gabyrossi
Mensajes: 10853
Registrado: 30 Oct 2007, 19:47

Re: Problemas para redundancia a Internet

Mensaje por gabyrossi »

Hola.
1- Ese es el trabajo del dns, fowardear hacia afuera. Y es la unica forma si tenes dos proveedores de internet y no tener problemas.

2- cuando tener dos proveedores vivos, osea sacar algo por uno y otras cosas por otro tenes que tener los 2 con la misma distancia pero con distinta prioridad.
la prioridad se cambia por consola (cli). Cuando es un isp con ip estatica lo modificas en la ruta estatica. config router static -> luego-> set priority y le pones el valor por ejemplo 1 al que va a ser tu principal.
luego un valor mayor al otro proveedor.
si es un proveedor que es dhcp o adsl, la prioridad la modificas en la intrface -> config system interface . edit wan2 (ejemplo).

luego las ips o los servicios que quieras sacar por wan 2 deberas hacer una policy route con esa configuracion y con gw en 0.0.0.0 para que si se te cae esa conexion sale por la default. Lo demas por default saldra por la wan con menor prioridad.
Siempre tendras que tener las politicas de firewall para que puedan navegar y los ping server en las interfaces.

saludos
Gabriel
NSE 5 - 6.0 - Fortinet - Network Security Analyst
FCNSP - FCNSA -

fstrier
Mensajes: 55
Registrado: 13 Nov 2008, 14:50

Re: Problemas para redundancia a Internet

Mensaje por fstrier »

Gabriel:
La verdad sos un capo!!!

Excelente y muy claro lo de policy route, hoy mismo lo estaré probando.

Respecto de DNS, yo entiendo que es trabajo de DNS hacer forward, pero quería evitar el primer timeout "obligado" cuando se cae el vínculo predeterminado (por este tema de que los ISP filtran por IP origen y deniegan el query del otro caño); capaz que me estoy equivocando y no debería usar forwarders en el DNS interno, y simplemente resolver con los root domains... no se que opinas.

Abrazo y mil gracias.
Fabián.

Avatar de Usuario
gabyrossi
Mensajes: 10853
Registrado: 30 Oct 2007, 19:47

Re: Problemas para redundancia a Internet

Mensaje por gabyrossi »

hola, de nada
Siempre en los dns tendras configurados los 2 dns de los 2 proveedores pero cuando se cae el primario por algo tiene cache de dns y no deberias "sentir" ese time out.


saludos
Gabriel
NSE 5 - 6.0 - Fortinet - Network Security Analyst
FCNSP - FCNSA -

etejadas
Mensajes: 1
Registrado: 27 May 2009, 22:44

Re: Problemas para redundancia a Internet

Mensaje por etejadas »

TENGO :
UN INFOINTERNET - LINEA DEDICADAD EN WAN1 , EN MODO MANUAL, PRIORIDAD 1 VIA CLI EN CONFIG ROUTER STATIC
Y TENGO UN SPEEDY EN WAN2, EN MODO PPPOE, EN BRIGTH Y PRIORID 2 VIA CLI EN CONFIG INTERFACE, ME SALE POR DEFECTO EL GATEWAY 192.168.98.1.

...... QUE VALOR LE DEBO PONER EN WAN2/GATEWAY EN ROUTER STATIC, WAN2 ?? ........DEBO PONER EL SIGUIENTE HOST DESPUES DE MI ROUTER??.

ME FUNCIONA WAN1, PERO NO LOGRO QUE FUNCIONE WAN2, YA CREE LAS POLITICAS DEL FIREWALL Y DEL ROUTER FORZANDOLO A QUE SALGAN POR WAN2 ALGUNAS PCS.....PERO NO SALEN

....REVISE LOS PASOS QUE MENCIONAN LOS CUALES HE SEGUIDO ...PERO NADA........ME PODRIAN AYUDAR.
GRACIAS.

Avatar de Usuario
gabyrossi
Mensajes: 10853
Registrado: 30 Oct 2007, 19:47

Re: Problemas para redundancia a Internet

Mensaje por gabyrossi »

Hola, como estas? Veo que revisaste mal el documento o los link.

Prfimero si es adsl o dhcp no necesita una ruta estatica, la prioridad se modifica por consola directamente en la interface , en este caso wan2.

las 2 deben tener la misma distancia y en tu caso la wan2 debe tener en prioridad un numero mayor al que tiene la ruta estatica de la wan1.

para forzar ip por lña wan 2 a demas e tener las politicas de firewall tenes que tener las policy routes.

si todabia no se entiende,revisa los link nuevamente que se pasaron sobre dual link internet.


saludos
Gabriel
NSE 5 - 6.0 - Fortinet - Network Security Analyst
FCNSP - FCNSA -

futurist71
Mensajes: 1
Registrado: 10 Mar 2010, 15:47

Re: Problemas para redundancia a Internet

Mensaje por futurist71 »

Buenas Tardes,

Hasta ahora lo que veo es que teniendo 2 conexiones (WAN1 y WAN2) puedes configurar el Fortigate como Failover. Pero como se puede hacer un Round Robin con un sólo Fortigate (Standalone). O sólo el Round Robin es para clusters de Fortigate?

Saludos,

Avatar de Usuario
gabyrossi
Mensajes: 10853
Registrado: 30 Oct 2007, 19:47

Re: Problemas para redundancia a Internet

Mensaje por gabyrossi »

Hola si tenes la version de 4.0 podes hacer mas cosas sobre este tema

con 3.0 teniendo la misma distancia y misma prioridad la salida a internet sera por cualquiera de elos dependiendo del algoritmo de fortigate,

saludos
NSE 5 - 6.0 - Fortinet - Network Security Analyst
FCNSP - FCNSA -

ArielMB
Mensajes: 102
Registrado: 22 Mar 2010, 21:01

Re: Problemas para redundancia a Internet

Mensaje por ArielMB »

buenas tardes, una consulta, que comando debo usar para ver la distancia y prioridad de cada puerto?

gracias

Avatar de Usuario
gabyrossi
Mensajes: 10853
Registrado: 30 Oct 2007, 19:47

Re: Problemas para redundancia a Internet

Mensaje por gabyrossi »

hola, cuando la interface es ip fija la distancia y prioridad la podes hacer por consola en la ruta estatica al gw.

ejemplo:

con router static
edit 1
set priority 1
set distance 10
end

cuando es dhcp y/o adsl la distancia y la prioridad es en la interface
con system interface
edit wan2
set priority 3
set distance 10
end


saludos
NSE 5 - 6.0 - Fortinet - Network Security Analyst
FCNSP - FCNSA -

ArielMB
Mensajes: 102
Registrado: 22 Mar 2010, 21:01

Re: Problemas para redundancia a Internet

Mensaje por ArielMB »

Gabriel, desde ya muchas gracias por la pronta respuesta, lo que me faltaria saber es consultar la distancia que tiene la interfase de ip fija porque no me la muestra como la que tengo ppoe entonces antes de tocar queria saber que distancia tiene configurada.

muchas gracias.

Avatar de Usuario
gabyrossi
Mensajes: 10853
Registrado: 30 Oct 2007, 19:47

Re: Problemas para redundancia a Internet

Mensaje por gabyrossi »

hola, si no la muestra es la que trae por default la ruta estatica , y por default es 10.

para ver todos los comandos seteados completo en una rutas estaticas seria:

show full-configuration router static

saludos
NSE 5 - 6.0 - Fortinet - Network Security Analyst
FCNSP - FCNSA -

ArielMB
Mensajes: 102
Registrado: 22 Mar 2010, 21:01

Re: Problemas para redundancia a Internet

Mensaje por ArielMB »

perfecto, muchas gracias

Responder