Problemas para redundancia a Internet

Para discusiones sobre temas técnicos (solución de problemas, configuraciones) cuyo tema no pertenezca especificamente a otros foros.
javier8221
Mensajes: 10
Registrado: 30 Sep 2010, 02:02

Re: Problemas para redundancia a Internet

Mensaje por javier8221 »

Hola Gaby tengo un problema parecido al que se trata en este post te comento lo que tengo:

En la empresa donde trabajo contamos con un fortigate 110c firmware 3.0(MR6) y tenemos 2 enlaces de internet WAN1 con IP manual y WAN2 con IP dinamica ambos activados wan1 con prioridad 1 y wan 2 con prioridad 3 ambos a la misma distancia, el segmento de red de la lan es 192.168.20.0/24 y en este segmento tengo varios rangos de ip con diferetes privilegios de salida a internet, aqui la cuenstion es que un rango en especial que es 192.168.20.[150-169] salga por la wan2 y nose donde poner una politica que haga esto porque en policy route no s epueden poner rangos o no entendi bien como ponerlos espero me puedan orientar de como hacer esto... disculpa si no fui muy explicito y dime si necesitas un darto adicional

Saludos y gracias de antemano.
Avatar de Usuario
gabyrossi
Mensajes: 10898
Registrado: 30 Oct 2007, 19:47

Re: Problemas para redundancia a Internet

Mensaje por gabyrossi »

hola aver si me quedo claro

wan1 con prioridad 1
wan2 con prioridad 3 las 2 wan con la misma distancia.

si es asi, TODO sale por wan1, salvo que haya politica de ruteo para sacar tarfico por wan2.

en politicas de ruteo no se pueden usar rangos, solo podes utilizar mascaras.

te recomiendo que uses el programa advanced subnter calculator de la firma SolarWinds, (es gratis)
[Debes identificarte para poder ver enlaces.]

en la solapa subnet addres podras revisar si te sirve alguna mascara para tratar de acercarte a las ips que necesitas.
saludos
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
javier8221
Mensajes: 10
Registrado: 30 Sep 2010, 02:02

Re: Problemas para redundancia a Internet

Mensaje por javier8221 »

Gaby eres un master con este programita me pude acercar a las ips que quiero tengan salida con la wan2 muchisimas gracias ya quedo.
Avatar de Usuario
gabyrossi
Mensajes: 10898
Registrado: 30 Oct 2007, 19:47

Re: Problemas para redundancia a Internet

Mensaje por gabyrossi »

hola, barbaro

saludos
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
Renata11
Mensajes: 2
Registrado: 21 Jun 2011, 19:31

Re: Problemas para redundancia a Internet

Mensaje por Renata11 »

Buenas tardes;

Yo trabajo en una empresa y mi problema es el siguiente, tengo dos conexiones ISP, ambas son con telmex, la primera la tengo configurada en la interface 1, y en la Wan 1 esta configurada mi red local, al tratar de conectar el otro ISP en la Wan 2, el internet me falla y pierdo la conectividad al internet, nos e si me puedan ayudar para poder resolver este problema ya que me gustaria tener los dos enlaces conectados y de ahi poder realizar en un futuro si se me cae la conexion sacarla por la otra, de antemano gracias y quedo a sus dudas y comentarios.
Avatar de Usuario
gabyrossi
Mensajes: 10898
Registrado: 30 Oct 2007, 19:47

Re: Problemas para redundancia a Internet

Mensaje por gabyrossi »

hola, de doble wean se hablo mucho en el foro, trata de buscar los post y si tenes alguna duda mas puntual, preguntas.

saludos
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
jhulett
Mensajes: 24
Registrado: 14 Dic 2010, 15:32

Re: Problemas para redundancia a Internet

Mensaje por jhulett »

Hola gaby, revivo este tema para preguntarte algo puntual. Tengo el siguiente esquema.

wan1(IP fija) con prioridad 1
wan2 (IP dinamica) con prioridad 3 : las 2 wan con la misma distancia y peso. Solo wan1 con una ruta estatica definida.
Hasta aqui todo sale por wan1. (por supuesto con firewall policy)

"Retrieve default gateway from server"
"Override internal DNS." ambos los tengo tildados, ¿es correcto?

He creado una policy route para el acceso a traves de wan2(he visto el programa advanced subnter calculator)
incoming interfase --- local 1
source address/mask --- xx.xx.xx.100/30
destination address/mask ---xx.xx.xx.100/30
force traffic to: wan2
defaul gateway: 0.0.0.0
¿estpolicy route esta bien?, solo quiero que las direcciones xx.xx.xx.101/102 tengan acceso a traves de wan2. No tengo mas policy routes definidas.
¿tengo que configurar en los PCs las direcciones 101/102 con la mascara /30?
¿tengo que tener definidas estas direcciones (101/102) definidas en el address del fortinet con la mascara /30?, asi las tengo

luego creo una firewall policy
source interface: local 1 --- equipos xx.xx.xx.102/103
destination interface: wan2 --- all --- ANY --- ACEPT
nat: tildado

¿que me puede estar faltando porque mis equipos con IP 101 y 102 no salen a internet?

tambien tengo otra duda: en la configuracion de las interfaces (local 1, wan 1 y wan 2), el campo "Detect Interface Status for Gateway Load Balancing" lo tengo seleccionado, asi como el "Detect Protocol" unicamente "ping", pero que valor debo colocar en "Detect Server"? la dir IP que corresponda a cada otra wan?

saludos!
Avatar de Usuario
gabyrossi
Mensajes: 10898
Registrado: 30 Oct 2007, 19:47

Re: Problemas para redundancia a Internet

Mensaje por gabyrossi »

hola... a ver....

"Retrieve default gateway from server"
"Override internal DNS." ambos los tengo tildados, ¿es correcto?


Si es correcto cuando es dhcp o adsl.

He creado una policy route para el acceso a traves de wan2(he visto el programa advanced subnter calculator)
incoming interfase --- local 1
source address/mask --- xx.xx.xx.100/30
destination address/mask ---xx.xx.xx.100/30
force traffic to: wan2
defaul gateway: 0.0.0.0
¿estpolicy route esta bien?, solo quiero que las direcciones xx.xx.xx.101/102 tengan acceso a traves de wan2. No tengo mas policy routes definidas.

el destino, debe ser 0.0.0.0/0.0.0.0 que es internet.

¿tengo que configurar en los PCs las direcciones 101/102 con la mascara /30?

las pc quedan como estab. no se toca nada

tambien tengo otra duda: en la configuracion de las interfaces (local 1, wan 1 y wan 2), el campo "Detect Interface Status for Gateway Load Balancing" lo tengo seleccionado, asi como el "Detect Protocol" unicamente "ping", pero que valor debo colocar en "Detect Server"? la dir IP que corresponda a cada otra wan?

Eso es por default. es apra hacer balanceo de carga

saludos
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
jhulett
Mensajes: 24
Registrado: 14 Dic 2010, 15:32

Re: Problemas para redundancia a Internet

Mensaje por jhulett »

Gabriel, he hecho la modificacion en la policy route (destination address/mask -- 0.0.0.0./0.0.0.0). De hecho, la he hecho seleccionado solo una IP xx.xx.xx.102/255.255.255.255 en la policy route. (igual con gateway 0.0.0.0)

la wan2 es por adsl(toma la IP por DHCP) y tambien veo que toma un valor, asi como de DNS y GW.

he verificado nuevamente que las distancias sean las mismas (10), asi como el peso y la prioridad (para wan1 -- 1 y para wan 2 -- 3)

he definido la address del PC 102 con esa mascara (255.255.255.255) en el firewall

la policy firewal
source interface: local 1 --- xx.xx.xx.102
destination interface: wan2 --- all --- ANY --- ACCEPT
nat: tildado

tambien tengo otra policy firewall de wan2 a local 1, similar, permitiendo todo a todo el mundo.

sin embargo dicha PC (102) no sale a internet. ¿que otra cosa puedo revisar?

sera que esta afectando una policy route que tengo de una vpn modo interface que hago contra otro fortinet y que tiene distancia 8? donde utilizo la wan1.

saludos!
Avatar de Usuario
gabyrossi
Mensajes: 10898
Registrado: 30 Oct 2007, 19:47

Re: Problemas para redundancia a Internet

Mensaje por gabyrossi »

hola,
tambien tengo otra policy firewall de wan2 a local 1, similar, permitiendo todo a todo el mundo.


esa politica no sirve, borrala.
pregunta si no haces policy route, la pc navega? obviamente por la wan1 o tampoco?

saludos
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
jhulett
Mensajes: 24
Registrado: 14 Dic 2010, 15:32

Re: Problemas para redundancia a Internet

Mensaje por jhulett »

hola!, saludos!.

si no hago policy route y el PC esta agregado a policy firewall (tanto para la wan1 como para la wan2) entonces navega(por wan1). Si desmargo la policy firewall correspondiente a la wan2 entonces el PC tambien navega (y sale por wan1). Con ambas politicas seleccionadas y sin policy route entonces se va por wan1.

Y aqui ocurre algo particular. Si en mi policy firewall tengo un protection profile con paginas bloqueadas, entonces el PC a pesar que sale popr wan1 no toma dicho protection profile, es decir, no toma restricciones de navegacion de paginas. (y es que en la policy firewall a wan2 no tengo profiles definidos)

Pero "creo" que he dado con una solucion.

He creado policy route tanto para wan1 como para wan2. Arriba coloco la policy route hacia wan2, puntual, de algunos PC que quiero que salgan por wan2 (ubique las IP basado en la mascara por el programa advanced subnter calculator)... luego cree otra policy route (abajo) para wan1 , y todo wan1 xx.xx.xx.0/24 lo pongo a salir por wan1. Entonces claro, la primera policy route me permite sacar las IP que me interesan por wan2 y la segunda policy route me saca todas las demas IP por la wan1.

Asi lo he hecho y me ha funcionado, por supuesto que jugando con las policy firewall.

He leido este documento: Configuring Dual Internet Links (Design Considerations)
[Debes identificarte para poder ver enlaces.]
donde explican de modo general (sin entrar en detalle, creen que uno es experto y asume algunas cosas) como configurar dual links en diferentes ambientes:

De esta forma distribuyo las cargas, sin embargo tengo la inquietud de hacer tambien load balance de forma que cuando se caiga un link automaticamente se active el otro. Voy a seguir leyendo e implementando a ver como funciona eso.

Saludos!
Avatar de Usuario
gabyrossi
Mensajes: 10898
Registrado: 30 Oct 2007, 19:47

Re: Problemas para redundancia a Internet

Mensaje por gabyrossi »

hola nunca hace falta hacer policy route por wan1 yaq que es tu default (priority menor o mas bajaI).

saludos
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
jhulett
Mensajes: 24
Registrado: 14 Dic 2010, 15:32

Re: Problemas para redundancia a Internet

Mensaje por jhulett »

En Router --- static route : tengo dos rutas estaticas, una es la propia del ISP (wan1)(distancia 10/priority 1), la otra es de una subnetA --- subnetB a traves de un Tunel VPN modo interface(distancia 8/priority 3).

Para el otro ISP (IP por DHCP) no tengo una ruta estatica (que lei es lo que debe ser por ser adsl)

Pero si creo una policy route para la wan2(sin tener otras policy route), para un pool de IP que quiero que salgan por la wan2, el detalle es que si no creo una policy route para wan1 tambien entonces no me salen usuarios por la wan1, haga lo que haga en las policy firewall.

Igualmente, si creo una policy route para wan2 tengo que crear una policy route para la vpn porque sino entonces se me cae la VPN contra el otro fortigate.

En total tengo tres policy route y de esa manera puedo decirle a un pool de IP (usuarios) que salgan por la wan2 y se logra.

¿a que se puede deber esto?,

En el documento solo dice esto:
Design Scenario #2: Load Sharing (only)
You want to make use of both Internet links simultaneously but do not have any requirements for failing traffic over in the event of link failure.
What is the minimum needed as far as routing is concerned?
one default route for the primary link
direct other traffic over the other link using specific static routes
For more information, see the article Load sharing between two WAN interfaces.


Saludos!
Avatar de Usuario
gabyrossi
Mensajes: 10898
Registrado: 30 Oct 2007, 19:47

Re: Problemas para redundancia a Internet

Mensaje por gabyrossi »

hola, podrias mostras las rutas estaticas? y las policy route?

repito no te hace falta la policy rpoute por la wan1

saludos
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
jhulett
Mensajes: 24
Registrado: 14 Dic 2010, 15:32

Re: Problemas para redundancia a Internet

Mensaje por jhulett »

PR01.JPG
No tiene los permisos requeridos para ver los archivos adjuntos a este mensaje.
Responder