Problemas con politicas desdepues de actualizar Firmware

Para temas sobre el uso de las politicas de filtrado en los productos FortiGate.
Cerrado
HernanAraujo
Mensajes: 7
Registrado: 16 Feb 2018, 13:29

Problemas con politicas desdepues de actualizar Firmware

Mensaje por HernanAraujo »

Buenas tardes, quien me podría ayudar con la siguiente consulta, acabamos de actualizar nuestro firewall Fortigate 200D de la versión 5.2.11 a la 5.6.3, previo respaldo de la configuración y todo lo pertinente, hecho esto por alguna razón que desconocemos no se han aplicado las políticas correctamente, o por lo menos una que no sabemos cuál es pero que nos tiene la vida triste, tenemos un paquete de monitoreo por sensores llamado PRTG el cual supervisa el estado de la conexión con todas las localidades de la organización, el mismo trabaja con sensores de monitoreo a través de ICMP, en esos complejos también tenemos firewalls fortinet todos aún bajo la versión del firmware 5.2.11 y en otros tenemos CheckPoint, el problema radica hasta ahora en que alguna de las localidades no responden ping a el monitor PRTG por lo que el monitor los ve como caídos cuando en realidad no lo están, ya revisamos si el mismo está configurado para rechazar consultas ICMP pero no, está habilitado, de hecho solo 3 complejos de 17 son los que están rechazando ping y siendo rechazados, todos los demás si están trabajando con normalidad…!!! Alguien acá, nos podría arrojar luces de que puede estar pasando...???
Felipe
Mensajes: 229
Registrado: 02 Ago 2011, 14:27

Re: Problemas con politicas desdepues de actualizar Firmware

Mensaje por Felipe »

Buenas tardes,

¿Habéis realizado todos los pasos pertinentes de actualización? Según el update path asociado al 5.6.3 deberíais haber realizado estas tres actualizaciones:

5.2.11 >> 5.4.7 >> 5.6.2 >> 5.6.3

Si no lo hicisteis de este modo os aconsejo que carguéis de nuevo el firmware 5.2.11 y su configuración inicial y que actualicéis paso a paso.

Saludos.
HernanAraujo
Mensajes: 7
Registrado: 16 Feb 2018, 13:29

Re: Problemas con politicas desdepues de actualizar Firmware

Mensaje por HernanAraujo »

Felipe escribió: 20 Feb 2018, 10:07 Buenas tardes,

¿Habéis realizado todos los pasos pertinentes de actualización? Según el update path asociado al 5.6.3 deberíais haber realizado estas tres actualizaciones:

5.2.11 >> 5.4.7 >> 5.6.2 >> 5.6.3

Si no lo hicisteis de este modo os aconsejo que carguéis de nuevo el firmware 5.2.11 y su configuración inicial y que actualicéis paso a paso.

Saludos.
Realmente la actualización la llevo a cabo una firma consultora por lo que realmente no sabría decirte si siguieron los pasos correctos para la actualización de la misma, de todos modos aprovecho tu intervención para preguntarse, si de ser así el escenario, en el cual se llevó a cabo la actualización dando un solo salto en las versiones sin pasar por las demás mencionadas, eso podría estar afectando las políticas. No he querido probar aún, pero ese firewall lo teníamos en clostering HA, y el segundo aún conserva la configuración del anterior, por lo que se podría intentar aplicarle el respaldo de la configuración de ese, a el nuevo, será que es compatible.?
moler
Mensajes: 60
Registrado: 27 Abr 2015, 01:45

Re: Problemas con politicas desdepues de actualizar Firmware

Mensaje por moler »

No, no cargues la config del viejo al nuevo.

Hicies un diagnose sniffer para ver si el echo request esta pasando por el firewall actualizado? y si pasa, si hay respuesta?. No se como estaran configuradas las politicas, pero no creo que dejen de funcionar por la actualizacion. Lo dicho, antes que nada debes analizar el comportamiento del trafico con un sniffer, o por lo menos es lo que yo haria.
Felipe
Mensajes: 229
Registrado: 02 Ago 2011, 14:27

Re: Problemas con politicas desdepues de actualizar Firmware

Mensaje por Felipe »

Buenas,

Si la actualización se ha realizado de un sólo salto puede justificar el mal funcionamiento de la configuración. Por esa razón Fortinet propone el update path, porque entre las versiones de cada salto son compatibles y los cambios en la configuración son realizados convenientemente.

Yo preguntaría a la consultora el método de trabajo que siguieron o consultaría la documentación que os proporcionaran.

Si conectas el sistema al otro nodo con la versión del firmware vieja, ¿funcionan bien todas las políticas? Si la respuesta es sí podrías realizar tú las actualizaciones paso a paso sobre el otro nodo del cluster y ver si funciona adecuadamente una vez llegados a la 5.6.3. En caso de que así fuera podrías volcar dicha configuración sobre el firewall afectado.

Saludos.
HernanAraujo
Mensajes: 7
Registrado: 16 Feb 2018, 13:29

Re: Problemas con politicas desdepues de actualizar Firmware

Mensaje por HernanAraujo »

moler escribió: 20 Feb 2018, 20:11 No, no cargues la config del viejo al nuevo.

Hicies un diagnose sniffer para ver si el echo request esta pasando por el firewall actualizado? y si pasa, si hay respuesta?. No se como estaran configuradas las politicas, pero no creo que dejen de funcionar por la actualizacion. Lo dicho, antes que nada debes analizar el comportamiento del trafico con un sniffer, o por lo menos es lo que yo haria.
Hola, disculpa la tardanza, se me presentaron otras cosas, hice el diagnose sniffer y estos son los resultados que me arrojo, lo hice sin filtro de interfaz y apuntando hacia una de las 3 redes con la que estoy presentando el problema, te comparto los resultados a continuación, a ver si tu puedes ver algo que mi pericía no me permite.

Código: Seleccionar todo

Connected

Evenpro_1 $ diagnose sniffer packet  any "host 172.20.30.1"

interfaces=[any]

filters=[host 172.20.30.1]

54.284160 172.20.5.176.35697 -> 172.20.30.1.161: udp 57

58.288376 172.20.5.176.35697 -> 172.20.30.1.161: udp 57

88.128023 172.20.5.176 -> 172.20.30.1: icmp: echo request

89.128383 172.20.5.176 -> 172.20.30.1: icmp: echo request

90.128553 172.20.5.176 -> 172.20.30.1: icmp: echo request

146.539845 172.20.5.176.38701 -> 172.20.30.1.161: udp 54

150.544142 172.20.5.176.38701 -> 172.20.30.1.161: udp 54

181.735838 172.20.5.184 -> 172.20.30.1: icmp: echo request

211.085592 172.20.5.176 -> 172.20.30.1: icmp: echo request

212.086005 172.20.5.176 -> 172.20.30.1: icmp: echo request

213.086172 172.20.5.176 -> 172.20.30.1: icmp: echo request

238.666728 172.20.5.176.45814 -> 172.20.30.1.161: udp 56

242.670830 172.20.5.176.45814 -> 172.20.30.1.161: udp 56

243.354677 172.20.5.184 -> 172.20.30.1: icmp: echo request

330.796173 172.20.5.176.35502 -> 172.20.30.1.161: udp 56

333.942596 172.20.5.176 -> 172.20.30.1: icmp: echo request

334.797247 172.20.5.176.35502 -> 172.20.30.1.161: udp 56

334.942801 172.20.5.176 -> 172.20.30.1: icmp: echo request

335.943152 172.20.5.176 -> 172.20.30.1: icmp: echo request

423.286442 172.20.5.176.55479 -> 172.20.30.1.161: udp 56

427.290585 172.20.5.176.55479 -> 172.20.30.1.161: udp 56

457.547137 172.20.5.176 -> 172.20.30.1: icmp: echo request

458.547563 172.20.5.176 -> 172.20.30.1: icmp: echo request

459.547699 172.20.5.176 -> 172.20.30.1: icmp: echo request

481.114562 172.20.5.184 -> 172.20.30.1: icmp: echo request

515.397068 172.20.5.176.49510 -> 172.20.30.1.161: udp 56

519.401241 172.20.5.176.49510 -> 172.20.30.1.161: udp 56

541.539585 172.20.5.184 -> 172.20.30.1: icmp: echo request

580.926670 172.20.5.176 -> 172.20.30.1: icmp: echo request

581.926883 172.20.5.176 -> 172.20.30.1: icmp: echo request

582.927465 172.20.5.176 -> 172.20.30.1: icmp: echo request

607.518152 172.20.5.176.59883 -> 172.20.30.1.161: udp 56

611.522320 172.20.5.176.59883 -> 172.20.30.1.161: udp 56

699.697444 172.20.5.176.40193 -> 172.20.30.1.161: udp 54

703.701535 172.20.5.176.40193 -> 172.20.30.1.161: udp 54

704.265951 172.20.5.176 -> 172.20.30.1: icmp: echo request

705.266277 172.20.5.176 -> 172.20.30.1: icmp: echo request

706.268833 172.20.5.176 -> 172.20.30.1: icmp: echo request

781.135739 172.20.5.184 -> 172.20.30.1: icmp: echo request

791.815900 172.20.5.176.56173 -> 172.20.30.1.161: udp 56

795.820098 172.20.5.176.56173 -> 172.20.30.1.161: udp 56

827.611664 172.20.5.176 -> 172.20.30.1: icmp: echo request

828.611810 172.20.5.176 -> 172.20.30.1: icmp: echo request

829.612288 172.20.5.176 -> 172.20.30.1: icmp: echo request

 

45 packets received by filter

0 packets dropped by kernel

 

Evenpro_1 $  
HernanAraujo
Mensajes: 7
Registrado: 16 Feb 2018, 13:29

Re: Problemas con politicas desdepues de actualizar Firmware

Mensaje por HernanAraujo »

Felipe escribió: 21 Feb 2018, 09:09 Buenas,

Si la actualización se ha realizado de un sólo salto puede justificar el mal funcionamiento de la configuración. Por esa razón Fortinet propone el update path, porque entre las versiones de cada salto son compatibles y los cambios en la configuración son realizados convenientemente.

Yo preguntaría a la consultora el método de trabajo que siguieron o consultaría la documentación que os proporcionaran.

Si conectas el sistema al otro nodo con la versión del firmware vieja, ¿funcionan bien todas las políticas? Si la respuesta es sí podrías realizar tú las actualizaciones paso a paso sobre el otro nodo del cluster y ver si funciona adecuadamente una vez llegados a la 5.6.3. En caso de que así fuera podrías volcar dicha configuración sobre el firewall afectado.

Saludos.
Hola, buenos días amigo, ya se hizo la consulta con la firma consultora y efecto realizaron la actualización dando un solo salto entre las versiones, por lo que ahora conociendo lo que se gracias a su valiosa información, me encuentro buscando donde descargar los firmwares correspondientes a las actualizaciones que se deberían haber hecho, pero no encuentro enlace alguno que me lleve a una ruta de descarga, podría indicarme dónde puedo descargar esos firmware, para presentar el reporte a mis superiores ya con los archivos descargados por si se decidiera a hacer un downgrade del firewall para tratar de hacer el update de manera correcta...!!! Mucho le sabría agradecer...!!!

NOTA: Nuestro dispositivo es un Fortigate 200D
moler
Mensajes: 60
Registrado: 27 Abr 2015, 01:45

Re: Problemas con politicas desdepues de actualizar Firmware

Mensaje por moler »

El firmware lo descargas de la pagina de fortinet, tienes que estar registrado junto con el alta de tus equipos. La consultora que te hizo la actualizacion no realizo la tarea de acuerdo a lo recomendado por el fabricante, deberian ellos realizar el downgrade y actualizar como corresponde.

Respecto al snifer, agregale 4 para ver los puertos. De esa manera sabras si el echo request realmente esta pasando por el firewall.

diagnose sniffer packet any "host 172.20.30.1" 4
HernanAraujo
Mensajes: 7
Registrado: 16 Feb 2018, 13:29

Re: Problemas con politicas desdepues de actualizar Firmware

Mensaje por HernanAraujo »

moler escribió: 22 Feb 2018, 21:47 El firmware lo descargas de la pagina de fortinet, tienes que estar registrado junto con el alta de tus equipos. La consultora que te hizo la actualizacion no realizo la tarea de acuerdo a lo recomendado por el fabricante, deberian ellos realizar el downgrade y actualizar como corresponde.

Respecto al snifer, agregale 4 para ver los puertos. De esa manera sabras si el echo request realmente esta pasando por el firewall.

diagnose sniffer packet any "host 172.20.30.1" 4
Listo, lo que pediste hermano, le agregue el 4 como solicitaste, he aquí los resultados.

Código: Seleccionar todo

Connected

 

Evenpro_1 $ diagnose sniffer packet any "172.20.30.1" 4

interfaces=[any]

filters=[172.20.30.1]

pcap_compile: syntax error in filter expression: syntax error

 

Evenpro_1 $ diagnose sniffer packet any "host 172.20.30.1" 4

interfaces=[any]

filters=[host 172.20.30.1]

19.192666 port1 in 172.20.5.176 -> 172.20.30.1: icmp: echo request
20.193481 port1 in 172.20.5.176 -> 172.20.30.1: icmp: echo request
21.194449 port1 in 172.20.5.176 -> 172.20.30.1: icmp: echo request
25.855216 port1 in 172.20.5.176.51424 -> 172.20.30.1.161: udp 54
26.164414 port1 in 172.20.5.184 -> 172.20.30.1: icmp: echo request
29.861453 port1 in 172.20.5.176.51424 -> 172.20.30.1.161: udp 54
142.500561 port1 in 172.20.5.176 -> 172.20.30.1: icmp: echo request
143.500839 port1 in 172.20.5.176 -> 172.20.30.1: icmp: echo request
144.500995 port1 in 172.20.5.176 -> 172.20.30.1: icmp: echo request
150.206867 port1 in 172.20.5.176.38869 -> 172.20.30.1.161: udp 56
154.211018 port1 in 172.20.5.176.38869 -> 172.20.30.1.161: udp 56
265.742739 port1 in 172.20.5.176 -> 172.20.30.1: icmp: echo request
266.449321 port1 in 172.20.5.184 -> 172.20.30.1: icmp: echo request
266.743303 port1 in 172.20.5.176 -> 172.20.30.1: icmp: echo request
267.743454 port1 in 172.20.5.176 -> 172.20.30.1: icmp: echo request
274.431121 port1 in 172.20.5.176.57049 -> 172.20.30.1.161: udp 54
278.435357 port1 in 172.20.5.176.57049 -> 172.20.30.1.161: udp 54
326.090964 port1 in 172.20.5.184 -> 172.20.30.1: icmp: echo request
388.999035 port1 in 172.20.5.176 -> 172.20.30.1: icmp: echo request
389.999496 port1 in 172.20.5.176 -> 172.20.30.1: icmp: echo request
391.000933 port1 in 172.20.5.176 -> 172.20.30.1: icmp: echo request
398.740658 port1 in 172.20.5.176.52181 -> 172.20.30.1.161: udp 56
402.741784 port1 in 172.20.5.176.52181 -> 172.20.30.1.161: udp 56
512.252901 port1 in 172.20.5.176 -> 172.20.30.1: icmp: echo request
513.253086 port1 in 172.20.5.176 -> 172.20.30.1: icmp: echo request
514.253233 port1 in 172.20.5.176 -> 172.20.30.1: icmp: echo request
522.149974 port1 in 172.20.5.176.40797 -> 172.20.30.1.161: udp 56
526.154126 port1 in 172.20.5.176.40797 -> 172.20.30.1.161: udp 56
565.237923 port1 in 172.20.5.184 -> 172.20.30.1: icmp: echo request
625.018669 port1 in 172.20.5.184 -> 172.20.30.1: icmp: echo request
636.192029 port1 in 172.20.5.176 -> 172.20.30.1: icmp: echo request
637.192517 port1 in 172.20.5.176 -> 172.20.30.1: icmp: echo reques
638.192762 port1 in 172.20.5.176 -> 172.20.30.1: icmp: echo request
638.346260 port1 in 172.20.5.176.53446 -> 172.20.30.1.161: udp 56
642.350515 port1 in 172.20.5.176.53446 -> 172.20.30.1.161: udp 56
754.502550 port1 in 172.20.5.176.35975 -> 172.20.30.1.161: udp 56
758.506674 port1 in 172.20.5.176.35975 -> 172.20.30.1.161: udp 56
759.350457 port1 in 172.20.5.176 -> 172.20.30.1: icmp: echo request
760.350789 port1 in 172.20.5.176 -> 172.20.30.1: icmp: echo request
761.351195 port1 in 172.20.5.176 -> 172.20.30.1: icmp: echo request
864.677739 port1 in 172.20.5.184 -> 172.20.30.1: icmp: echo request
870.706946 port1 in 172.20.5.176.33502 -> 172.20.30.1.161: udp 56
874.711080 port1 in 172.20.5.176.33502 -> 172.20.30.1.161: udp 56
882.430116 port1 in 172.20.5.176 -> 172.20.30.1: icmp: echo request
883.430507 port1 in 172.20.5.176 -> 172.20.30.1: icmp: echo request
884.430813 port1 in 172.20.5.176 -> 172.20.30.1: icmp: echo request
924.395405 port1 in 172.20.5.184 -> 172.20.30.1: icmp: echo request
986.849582 port1 in 172.20.5.176.37290 -> 172.20.30.1.161: udp 56
990.853802 port1 in 172.20.5.176.37290 -> 172.20.30.1.161: udp 56
1005.442609 port1 in 172.20.5.176 -> 172.20.30.1: icmp: echo request
1006.443050 port1 in 172.20.5.176 -> 172.20.30.1: icmp: echo request
1007.443366 port1 in 172.20.5.176 -> 172.20.30.1: icmp: echo request
1102.992895 port1 in 172.20.5.176.42943 -> 172.20.30.1.161: udp 56
1106.997071 port1 in 172.20.5.176.42943 -> 172.20.30.1.161: udp 56
1128.395966 port1 in 172.20.5.176 -> 172.20.30.1: icmp: echo request
1129.396423 port1 in 172.20.5.176 -> 172.20.30.1: icmp: echo request
1130.396727 port1 in 172.20.5.176 -> 172.20.30.1: icmp: echo request
1165.139639 port1 in 172.20.5.184 -> 172.20.30.1: icmp: echo request
1219.126513 port1 in 172.20.5.176.45289 -> 172.20.30.1.161: udp 5
1223.126728 port1 in 172.20.5.176.45289 -> 172.20.30.1.161: udp 56
1224.568114 port1 in 172.20.5.184 -> 172.20.30.1: icmp: echo request
1251.289987 port1 in 172.20.5.176 -> 172.20.30.1: icmp: echo request
1252.290619 port1 in 172.20.5.176 -> 172.20.30.1: icmp: echo request
1253.290811 port1 in 172.20.5.176 -> 172.20.30.1: icmp: echo request
1335.340529 port1 in 172.20.5.176.35967 -> 172.20.30.1.161: udp 54
1339.344634 port1 in 172.20.5.176.35967 -> 172.20.30.1.161: udp 54
1374.125258 port1 in 172.20.5.176 -> 172.20.30.1: icmp: echo request
1375.125664 port1 in 172.20.5.176 -> 172.20.30.1: icmp: echo reques
1376.126170 port1 in 172.20.5.176 -> 172.20.30.1: icmp: echo request
1451.512793 port1 in 172.20.5.176.58353 -> 172.20.30.1.161: udp 56
1455.516935 port1 in 172.20.5.176.58353 -> 172.20.30.1.161: udp 56
1464.558877 port1 in 172.20.5.184 -> 172.20.30.1: icmp: echo request
1498.213086 port1 in 172.20.5.176 -> 172.20.30.1: icmp: echo request
1499.213446 port1 in 172.20.5.176 -> 172.20.30.1: icmp: echo request
1500.214768 port1 in 172.20.5.176 -> 172.20.30.1: icmp: echo request
1524.280117 port1 in 172.20.5.184 -> 172.20.30.1: icmp: echo reques
1567.884867 port1 in 172.20.5.176.45225 -> 172.20.30.1.161: udp 56
1571.889063 port1 in 172.20.5.176.45225 -> 172.20.30.1.161: udp 56
1621.570850 port1 in 172.20.5.176 -> 172.20.30.1: icmp: echo request
1622.572263 port1 in 172.20.5.176 -> 172.20.30.1: icmp: echo request
1623.572598 port1 in 172.20.5.176 -> 172.20.30.1: icmp: echo request
1684.075315 port1 in 172.20.5.176.33778 -> 172.20.30.1.161: udp 56
1688.079401 port1 in 172.20.5.176.33778 -> 172.20.30.1.161: udp 56
1744.925612 port1 in 172.20.5.176 -> 172.20.30.1: icmp: echo reques
1745.926284 port1 in 172.20.5.176 -> 172.20.30.1: icmp: echo request
1746.927939 port1 in 172.20.5.176 -> 172.20.30.1: icmp: echo request
1764.655522 port1 in 172.20.5.184 -> 172.20.30.1: icmp: echo request
1800.222401 port1 in 172.20.5.176.42190 -> 172.20.30.1.161: udp 57
1804.226610 port1 in 172.20.5.176.42190 -> 172.20.30.1.161: udp 57
1824.286083 port1 in 172.20.5.184 -> 172.20.30.1: icmp: echo request
1868.248593 port1 in 172.20.5.176 -> 172.20.30.1: icmp: echo request
1869.248908 port1 in 172.20.5.176 -> 172.20.30.1: icmp: echo request
1870.249068 port1 in 172.20.5.176 -> 172.20.30.1: icmp: echo request
1916.366877 port1 in 172.20.5.176.46445 -> 172.20.30.1.161: udp 56
1920.370980 port1 in 172.20.5.176.46445 -> 172.20.30.1.161: udp 56
1991.606298 port1 in 172.20.5.176 -> 172.20.30.1: icmp: echo request
1992.606438 port1 in 172.20.5.176 -> 172.20.30.1: icmp: echo request
1993.606553 port1 in 172.20.5.176 -> 172.20.30.1: icmp: echo request
2032.590123 port1 in 172.20.5.176.35532 -> 172.20.30.1.161: udp 56
2036.594260 port1 in 172.20.5.176.35532 -> 172.20.30.1.161: udp 56
2063.944626 port1 in 172.20.5.184 -> 172.20.30.1: icmp: echo request
2114.946282 port1 in 172.20.5.176 -> 172.20.30.1: icmp: echo request
2115.947303 port1 in 172.20.5.176 -> 172.20.30.1: icmp: echo request
2116.947477 port1 in 172.20.5.176 -> 172.20.30.1: icmp: echo request
2124.737184 port1 in 172.20.5.184 -> 172.20.30.1: icmp: echo request
2153.461082 port1 in 172.20.5.176.49514 -> 172.20.30.1.161: udp 56
2157.461786 port1 in 172.20.5.176.49514 -> 172.20.30.1.161: udp 56
2238.200990 port1 in 172.20.5.176 -> 172.20.30.1: icmp: echo request
2239.202274 port1 in 172.20.5.176 -> 172.20.30.1: icmp: echo request
2240.202413 port1 in 172.20.5.176 -> 172.20.30.1: icmp: echo request
2269.605641 port1 in 172.20.5.176.55248 -> 172.20.30.1.161: udp 56
2273.609795 port1 in 172.20.5.176.55248 -> 172.20.30.1.161: udp 56
2361.459276 port1 in 172.20.5.176 -> 172.20.30.1: icmp: echo request
2362.459388 port1 in 172.20.5.176 -> 172.20.30.1: icmp: echo request
2363.459531 port1 in 172.20.5.176 -> 172.20.30.1: icmp: echo request
2364.868262 port1 in 172.20.5.184 -> 172.20.30.1: icmp: echo request
2385.752722 port1 in 172.20.5.176.38048 -> 172.20.30.1.161: udp 56
2389.756906 port1 in 172.20.5.176.38048 -> 172.20.30.1.161: udp 56
2425.002627 port1 in 172.20.5.184 -> 172.20.30.1: icmp: echo request
2484.704027 port1 in 172.20.5.176 -> 172.20.30.1: icmp: echo request
2485.704611 port1 in 172.20.5.176 -> 172.20.30.1: icmp: echo request
2486.704808 port1 in 172.20.5.176 -> 172.20.30.1: icmp: echo request
2501.918251 port1 in 172.20.5.176.59484 -> 172.20.30.1.161: udp 56
2505.922463 port1 in 172.20.5.176.59484 -> 172.20.30.1.161: udp 56
2608.048215 port1 in 172.20.5.176 -> 172.20.30.1: icmp: echo request
2609.048838 port1 in 172.20.5.176 -> 172.20.30.1: icmp: echo request
2610.049294 port1 in 172.20.5.176 -> 172.20.30.1: icmp: echo request
2618.068434 port1 in 172.20.5.176.56695 -> 172.20.30.1.161: udp 54
2622.072571 port1 in 172.20.5.176.56695 -> 172.20.30.1.161: udp 54
2664.609380 port1 in 172.20.5.184 -> 172.20.30.1: icmp: echo request
2724.611980 port1 in 172.20.5.184 -> 172.20.30.1: icmp: echo request
2731.303930 port1 in 172.20.5.176 -> 172.20.30.1: icmp: echo request
2732.304597 port1 in 172.20.5.176 -> 172.20.30.1: icmp: echo request
2733.305143 port1 in 172.20.5.176 -> 172.20.30.1: icmp: echo request
2734.311631 port1 in 172.20.5.176.45998 -> 172.20.30.1.161: udp 56
2738.315800 port1 in 172.20.5.176.45998 -> 172.20.30.1.161: udp 56
2854.582954 port1 in 172.20.5.176 -> 172.20.30.1: icmp: echo request
2855.583596 port1 in 172.20.5.176 -> 172.20.30.1: icmp: echo request
2856.583984 port1 in 172.20.5.176 -> 172.20.30.1: icmp: echo request
2863.219557 port1 in 172.20.5.176.38848 -> 172.20.30.1.161: udp 56
2867.223805 port1 in 172.20.5.176.38848 -> 172.20.30.1.161: udp 56
2965.199872 port1 in 172.20.5.184 -> 172.20.30.1: icmp: echo request
2977.789633 port1 in 172.20.5.176 -> 172.20.30.1: icmp: echo request
2978.790102 port1 in 172.20.5.176 -> 172.20.30.1: icmp: echo request
2979.583007 port1 in 172.20.5.176.38348 -> 172.20.30.1.161: udp 57
2979.790521 port1 in 172.20.5.176 -> 172.20.30.1: icmp: echo request
2983.583373 port1 in 172.20.5.176.38348 -> 172.20.30.1.161: udp 5
3024.594220 port1 in 172.20.5.184 -> 172.20.30.1: icmp: echo request
3095.725524 port1 in 172.20.5.176.34818 -> 172.20.30.1.161: udp 56
3099.729636 port1 in 172.20.5.176.34818 -> 172.20.30.1.161: udp 56
3100.899604 port1 in 172.20.5.176 -> 172.20.30.1: icmp: echo request
3101.899956 port1 in 172.20.5.176 -> 172.20.30.1: icmp: echo request
3102.900421 port1 in 172.20.5.176 -> 172.20.30.1: icmp: echo request
3211.889415 port1 in 172.20.5.176.50564 -> 172.20.30.1.161: udp 56
3215.893586 port1 in 172.20.5.176.50564 -> 172.20.30.1.161: udp 56
3223.931239 port1 in 172.20.5.176 -> 172.20.30.1: icmp: echo request
3224.931648 port1 in 172.20.5.176 -> 172.20.30.1: icmp: echo request
3225.931782 port1 in 172.20.5.176 -> 172.20.30.1: icmp: echo request
3264.674060 port1 in 172.20.5.184 -> 172.20.30.1: icmp: echo request
3324.731484 port1 in 172.20.5.184 -> 172.20.30.1: icmp: echo request
3328.108367 port1 in 172.20.5.176.50211 -> 172.20.30.1.161: udp 54
3332.112593 port1 in 172.20.5.176.50211 -> 172.20.30.1.161: udp 54
3346.911250 port1 in 172.20.5.176 -> 172.20.30.1: icmp: echo request
3347.911678 port1 in 172.20.5.176 -> 172.20.30.1: icmp: echo request
3348.912162 port1 in 172.20.5.176 -> 172.20.30.1: icmp: echo request
3444.330688 port1 in 172.20.5.176.40161 -> 172.20.30.1.161: udp 56
3448.334814 port1 in 172.20.5.176.40161 -> 172.20.30.1.161: udp 56
3469.911385 port1 in 172.20.5.176 -> 172.20.30.1: icmp: echo request
3470.911592 port1 in 172.20.5.176 -> 172.20.30.1: icmp: echo request
3471.911851 port1 in 172.20.5.176 -> 172.20.30.1: icmp: echo request
[code]
HernanAraujo
Mensajes: 7
Registrado: 16 Feb 2018, 13:29

Re: Problemas con politicas desdepues de actualizar Firmware

Mensaje por HernanAraujo »

Listo compañeros, solucionado el problema, era una tontería, resulta que las políticas que gobiernan las VPN Ipsec que tenían el problema, estaban configuradas como "ALL" en la sección de servicios permitidos, pero a parte de ese "ALL" hay una (para mi) inentendible redundancia en donde hay que editar ese ALL e indicarle los ALL permitidos, tales como ALL_ICMP, ALL_ICMP6, ALL_TCP, etc...!!!

Muchas gracias por su ayuda...!!!
Cerrado