Problemas con WebFilter y acceso Web

[inigoayo]

Hola amigos,

Os comento un problema que llevamos arrastrando desde hace tiempo y a pesar de haber abierto algún que otro ticket no conseguimos dar con la solución.
Somos varias delegaciones conectadas entre sí utilizando Fortigate 60B/60 mediante una solución de red privada de Euskaltel. La conectividad entre delegaciones se realiza utilizando el interfaz DMZ en todas ellas y el resto de interfaces se dejan para conexiones a Internet de diferente clase y por las que se sacan los diferentes servicios (navegación, correo, etc..).
Supongo que como en casi todos los sitios, tenemos diferentes políticas de navegación y dependiendo de la máquina o usuario, la navegación a Internet está más limitada, filtrada y encaminada hacia la WAN1 o la WAN2 en función del servicio.
El problema es que desde que tenemos la conexión entre delegaciones utilizando la DMZ (sin VPN) y que a través de dicha salida no tenemos acceso a Internet nos estamos encontrando que a veces el Fortigate se queda "pinzado" y los usuarios que salen a Internet utilizando un perfil tipo "scan" o algún otro que use webfilter se quedan bloqueados de forma que la navegación WEB no es posible. Funciona todo lo demás, ping, ftp, correo, etc a excepción de la navegación WEB.
La única solución que hemos encontrado a este problema (cuando se presenta) es reiniciar el Forti ya que cualquier otro intento es en vano.

Nos tememos que el problema en sí radica en las conexiones internas que hace el Fortigate para resolver servicios del Fortiguard y de webfilter. Fortinet nos dice que la salida predeterminada para estas cosas es la WAN1 pero por algún motivo a veces se empeña en salir por DMZ.

Nuestras rutas estáticas son:

172.16.0.0/255.255.0.0 172.31.3.1 dmz 10
172.20.0.0/255.255.0.0 172.31.3.1 dmz 10
0.0.0.0/0.0.0.0 172.31.1.1 wan1 10
0.0.0.0/0.0.0.0 172.31.2.1 wan2 10

Nuestras políticas de ruteo:

14 internal dmz 192.168.1.0 / 255.255.255.0 172.16.0.0 / 255.255.0.0
15 internal dmz 192.168.1.0 / 255.255.255.0 172.20.0.0 / 255.255.0.0
11 internal wan1 192.168.1.0 / 255.255.255.0 192.168.2.0 / 255.255.255.0
13 internal wan1 192.168.1.3 / 255.255.255.255 0.0.0.0 / 0.0.0.0
3 internal wan1 192.168.1.25 / 255.255.255.255 0.0.0.0 / 0.0.0.0
4 internal wan1 192.168.1.10 / 255.255.255.255 0.0.0.0 / 0.0.0.0
5 internal wan1 192.168.1.1 / 255.255.255.255 0.0.0.0 / 0.0.0.0
10 internal wan2 192.168.1.0 / 255.255.255.0 0.0.0.0 / 0.0.0.0

Agregar provisionalmente una ruta tipo 0.0.0.0/0.0.0.0 172.31.3.1 dmz 10 y borrarla inmediatamente después de haber realizado las pruebas, es garantía segura de que al de un rato, todos los que usan un perfil con webfilter se queden sin Internet, incluso aunque la ruta lleve ya minutos sin existir. Es como si se quedara en la caché interna del Forti y se siguiera empeñando en salir por DMZ.

¿Se os ocurren soluciones para resolver el problema o incluso para no tener que reiniciar el Forti cuando se presenta?

[gabyrossi]

hola....


Rutas estaticas:
las 2 primeras que van por la dmz, supongo que son redes a traves de un router. deberian tener distancia menor a 10.

Politicas de ruteo:
la que no entiendo es:

11 internal wan1 192.168.1.0 / 255.255.255.0 192.168.2.0 / 255.255.255.0

para ir a la 192.168.2.0/254 te vas por wan1???

Luegho algunas ip sacas por wan1 y toda la red 192.168.0.x sacas por wan2.
Preguntas; cuantos host estan detras de ese 60b ???????????? cuantas pc salen a navegan o trafican a travez de ese 60b?

saludos

[inigoayo]

Hola,

Si pongo una distancia menor de 10 en las salidas a las subredes de DMZ, entonces no me sale el tráfico por WAN1/WAN2 nunca.

La política de ruteo:

11 internal wan1 192.168.1.0 / 255.255.255.0 192.168.2.0 / 255.255.255.0 se utiliza para las conexiones VPN Dialup.
Las conexiones VPN DIalup con Forticlient asignan la IP local 192.168.2.X

La conexión a Internet WAN1 es un acceso por fibra óptica simétrico y los equipos que salen por ella son servidores.

13 internal wan1 192.168.1.3 / 255.255.255.255 0.0.0.0 / 0.0.0.0
3 internal wan1 192.168.1.25 / 255.255.255.255 0.0.0.0 / 0.0.0.0
4 internal wan1 192.168.1.10 / 255.255.255.255 0.0.0.0 / 0.0.0.0
5 internal wan1 192.168.1.1 / 255.255.255.255 0.0.0.0 / 0.0.0.0

El resto de equipos sale por defecto por WAN 2.

10 internal wan2 192.168.1.0 / 255.255.255.0 0.0.0.0 / 0.0.0.0

Un saludo

[gabyrossi]

hola, lo que dices de las 2 rutas esticas no es verdadd...

172.16.0.0/255.255.0.0 172.31.3.1 dmz 10
172.20.0.0/255.255.0.0 172.31.3.1 dmz 10

esas 2 rutas quiere decir quepara ir a la 172.16.x.x 172.20.x.x van por la router (gw) 172.31.3.1

asique podes poner una distancia menor a 10 ya que solo usara esas 2 rutas si van a esas redes como destino.

lo demas que pones es lo que yo dije pero sigues sin responder:

Preguntas; cuantos host estan detras de ese 60b ???????????? cuantas pc salen a navegan o trafican a travez de ese 60b?

saludos

[inigoayo]

De acuerdo, tienes razón. La verdad es que he hecho ya tantas pruebas que al final hasta yo mismo me lío y tienes toda la razón en cuanto a las rutas estáticas. Es probable que funcione si cambio la métrica.

En cualquier caso el problema planteado es la primera parte del total de mis quebraderos porque la realidad es que yo necesito también enrutar servicios de WAN1 hacia otra subred en DMZ (otra delegación) y para ello voy a tener que cambiar la regla en la delegación correspondiente para que me enrute todos los destinos a DMZ (no solo el de mi subred y permitir así trafico de vuelta hacia Internet saliendo por mi WAN1) y esto esta demostrado que me da problemas tarde o temprano en la otra delegación.
Ese es el fondo del asunto. ¿Como puedo forzar a los servicios del Forti que siempre salgan por WAN1?

Por ultimo no veo que importancia tiene el hecho de que naveguen 10 equipos conectados al Forti o sean 30. Creo que tiene suficiente capacidad para procesar ese trafico y mas.

Un saludo.

[inigoayo]

Buenos días Gabyrossi,

Perdona si no me estoy explicando con suficiente claridad. Este problema que estoy planteando aquí arranca debido a una necesidad que surge y que fue resuelta en el siguiente post:

viewtopic.php?f=7&t=2700

El problema es que si añado las ruta en el Fortigate de la otra delegación para poder realizar lo que necesito:

set device "dmz"
set dst 0.0.0.0 0.0.0.0
set gateway 172.17.2.2

entonces, se me presenta el problema que he abierto en este hilo y es que los servicios Fortiguard se empeñan "a veces" en resolverse por DMZ.

Gracias por tus esfuerzos por ayudarme.

[gabyrossi]

hola, primero te aclaro algo... no es lo mismo que haya trafico de 10 o 30... dependiendo del modelo de equipo. si pregunte cuantos salian por ese equipo es porque nuinca lo dijiste. Y uno de los problemas que podrias tener es por tener mucho trafico.
No es lo mismo que en un 60b salgan a internet 50 que 100...


todo lo demas, perdon pero me perdi un poco .... no entiendo cual seria el problema y que necesitas resolver?

dmz y wan1 que distancia y prioridad tienen actualmente?

[inigoayo]

Hola,

Efectivamente, no es lo mismo 10 que 50 pero te aseguro que no es el problema que tenemos ya que no hay muchos usuarios navegando simultáneamente.
A ver si te puedo aclarar el problema; todo ha empezado cuando hemos querido enrutar servicios de una IP pública que entra por WAN1 y sean atendidos por un servidor que está en otra delegación y para llegar a ella, es necesario salir por el interfaz DMZ del Forti 1.

Mi primer problema fue resolver la siguiente situación:

FTP desde Internet -> WAN1 Forti 1 -> VIP NAT->DMZ Forti 1-> DMZ Forti 2-> Internal Forti 2 -> Servidor de delegación 2

Para resolver este problema tuve que agregar la ruta en el Forti 2

set device "dmz"
set dst 0.0.0.0 0.0.0.0
set gateway 172.17.2.2

para que retornara el tráfico del servidor y volviera hacia Internet por la WAN1 del Forti 1.

El problema es que al agregar dicha ruta estática en el Forti 2 que convive con 2 rutas de acceso a Internet para WAN1 y WAN2, el Forti 2 a veces se empeña en resolver ciertos servicios internos de Fortiguard y webfilter por DMZ y realmente esta salida no es un acceso a Internet propiamente dicho. Cuando ocurre esto, los usuarios de la delegación 2 no pueden salir a Internet (navegar).

¿Cómo puedo forzar que estos accesos que no se controlan por políticas salgan siempre por WAN1?

Un saludo.

[gabyrossi]

hola, no necesitas esa ruta.....

probaste con natear la politica que usas en el vip ?

saludos

[inigoayo]

Esta probado con Nat y sin Nat y demostrado que si no pongo la ruta, el trafico de vuelta no sale del Forti.
He utilizado debug flow para analizar el trafico y de verdad que si no pongo la ruta, no funciona.
En cualquier caso insisto en la cuestión principal; ¿Como forzar a que el trafico de Fortiguard sea SIEMPRE por WAN?

[gabyrossi]

hola, al agregar esa ruta esta forzando todo a salir por ahi... ya quew el destino es 0.0.0.0.0/0.0.0.0.0

tenes que aseguarte de que a forti2 llegue con una ip conocida por el forti2 ya sea ip de ahi o una ip del forti1.

eso se hace nateando alguna de las politicas.

saludos

[inigoayo]

Ok. Podría intentar hacer una NAT para que los datos no vayan con la IP pública y hacer que la ruta DMZ no tenga cualquier destino, aunque esto puede que me de problemas en el servidor FTP porque igual no puedo identificar la IP real. Probaré a ver qué pasa.
De todas formas, me da un poco de miedo tocar las rutas a DMZ porque insisto, en cuanto tocas algo, al Forti le da por resolver los servicios de Fortiguard a través de la DMZ y me deja a todo dios colgado sin acceso web...

Yo creo que todo esto se tednría que poder resolver si consiguiera que los servicios internos Fortiguard siempre salgan por WAN1 al margen de las rutas que hubiera...

Un saludo.

[gabyrossi]

claro, porque al poner esa ruta esta sacando todo el trafico pore dmz.
solo deberias tener rutas hacia las redes remotas..
slaudos