Problema de Conexion

Para temas sobre el uso de las politicas de filtrado en los productos FortiGate.
cristofer666
Mensajes: 23
Registrado: 17 Jun 2016, 21:40

Problema de Conexion

Mensaje por cristofer666 »

Estimados junto con saludar, les comento que mantengo un Fortigate 80D en el cual tengo configurado de la siguiente forma:

Port1: Wan1
Port2: Lan 1
Lan 1.1
Lan 1.2
Port3: Wan2
Port4: DMZ

En post anterior les manifestaba que había realizado una Wan Balanceada entre (Port1: Wan1 y Port3: Wan2), antes de realizar este procedimiento mantenía la configuración de mis LAN y podía acceder a cada una de mis LANS sin ningún problema. Al establecer la Wan Balanceada se me perdio la conectividad entre mis LANS. Problema que aun no puedo resolver.

Adicional a esto estoy configurando en el port4 una red DMZ donde quiero ubicar mi servidor de correo. Para esto ya genere una Ip Virtual desde port2:LAN a port4:DMZ.

También procedí a crear una política que permita la salida a Internet desde los equipos de mi port4:DMZ.

Al validar observo que no puedo salir al Internet. y Revisando los LOGS se observa que al validar el DNS que tengo registrado en el fortinet solo envía pero no recibe.

En atenta espera de vuestra ayuda.

Saludos cordiales.
No tiene los permisos requeridos para ver los archivos adjuntos a este mensaje.
Avatar de Usuario
makco10
Mensajes: 1345
Registrado: 03 Jun 2011, 19:42
Ubicación: Honduras
Contactar:

Re: Problema de Conexion

Mensaje por makco10 »

Hola,

nos muestras tus rutas estaticas y tambien las politicas de ruteo.
Defend Your Enterprise Network With Fortigate Next Generation Firewall

NSE4
NSE5
cristofer666
Mensajes: 23
Registrado: 17 Jun 2016, 21:40

Re: Problema de Conexion

Mensaje por cristofer666 »

Estas son mis rutas y politicas de rutas.

Gracias por tu tiempo
No tiene los permisos requeridos para ver los archivos adjuntos a este mensaje.
Avatar de Usuario
makco10
Mensajes: 1345
Registrado: 03 Jun 2011, 19:42
Ubicación: Honduras
Contactar:

Re: Problema de Conexion

Mensaje por makco10 »

ok la politica de wan-load-balance deberia de ser con la interface de tu lan no con la dmz.

LAN -> wan-load-balance

Valida tu configuracion : [Debes identificarte para poder ver enlaces.]
Defend Your Enterprise Network With Fortigate Next Generation Firewall

NSE4
NSE5
cristofer666
Mensajes: 23
Registrado: 17 Jun 2016, 21:40

Re: Problema de Conexion

Mensaje por cristofer666 »

Te comento que la politica del firewall de la wan-load-balance esta contra la lan y contra la dmz. Y como te explico mi LAN navega bien no tengo problema, la que no navega es mi DMZ.
Avatar de Usuario
makco10
Mensajes: 1345
Registrado: 03 Jun 2011, 19:42
Ubicación: Honduras
Contactar:

Re: Problema de Conexion

Mensaje por makco10 »

mmm entiendo, solo por prueba quita el ssl certificate inspection.

de ahi lo que podrias hacer es probar configurando la dmz hacia el wan1 o wan2 solo para validar si navegas y no es otro tema.
Defend Your Enterprise Network With Fortigate Next Generation Firewall

NSE4
NSE5
cristofer666
Mensajes: 23
Registrado: 17 Jun 2016, 21:40

Re: Problema de Conexion

Mensaje por cristofer666 »

Te comento, que en la configuración de las políticas del firewall no aparece ni la wan1 ni la wan2, aparece solo la wan-load-balance para elegir.
Avatar de Usuario
makco10
Mensajes: 1345
Registrado: 03 Jun 2011, 19:42
Ubicación: Honduras
Contactar:

Re: Problema de Conexion

Mensaje por makco10 »

si es decir me referia a quitar el wan-load-balance, pero esta raro si en la lan no tienes problemas. Aun no navegas luego de quitar el ssl inspection?.
Defend Your Enterprise Network With Fortigate Next Generation Firewall

NSE4
NSE5
cristofer666
Mensajes: 23
Registrado: 17 Jun 2016, 21:40

Re: Problema de Conexion

Mensaje por cristofer666 »

afirmativo, no navego, lo raro es que veo que el dns sale pero no retorna, en algun punto estoy bloqueado pero no veo donde
Garsa
Mensajes: 94
Registrado: 01 Ago 2014, 21:37

Re: Problema de Conexion

Mensaje por Garsa »

Hola Cristofer,

Puedes compartir el output de siguiente scenario?

La idea es probar desde la maquina con ip 192.168.1.42 y ver que pasa con el trafico. Si quieres usar otra maquina, no hay problema, solo actualiza la IP en el comando. (Escogi esa porque la vi en el PBR)
Asegurate que estes guardande el output de la sesion SSH

di de reset
di de ena
di de fl sh con ena
di de fl sh function ena
di de fl filter clear
di de fl filter addr 192.168.1.42
di de fl trace start 100

## Si no te salio nada (esperando que la maquina este idle)
## Ve a 192.168.1.42 y desde ahi trata de navegar
## Si se te lleno la consola, esta bien podemos mirar que trafico esta saliendo

di de fl trace stop
di de reset
di de disa

Adjunta el log cuando puedas.

Saludos,

Garsa
cristofer666
Mensajes: 23
Registrado: 17 Jun 2016, 21:40

Re: Problema de Conexion

Mensaje por cristofer666 »

Muchas Gracias Garsa por tu ayuda, y mira escogi la 192.10.10.5 que es la que no puede navegar desde la red dmz. El log es el siguiente, la prueba que realice solo fue hacer un ping a [Debes identificarte para poder ver enlaces.] y a 8.8.8.8:

Código: Seleccionar todo

id=20085 trace_id=90 func=ids_receive line=239 msg="send to ips"

id=20085 trace_id=90 func=__ip_session_run_tuple line=2597 msg="SNAT 192.10.10.5->192.168.4.3:12532"

id=20085 trace_id=91 func=print_pkt_detail line=4478 msg="vd-root received a packet(proto=17, 192.10.10.5:37639->8.8.4.4:53) from port4. "

id=20085 trace_id=91 func=init_ip_session_common line=4631 msg="allocate a new session-0347291c"

id=20085 trace_id=91 func=vf_ip4_route_input line=1586 msg="Match policy routing: to 8.8.4.4 via ifindex-2"

id=20085 trace_id=91 func=vf_ip4_route_input line=1596 msg="find a route: flags=00000000 gw-190.95.158.129 via port1"

id=20085 trace_id=91 func=fw_forward_handler line=686 msg="Allowed by Policy-21: SNAT"

id=20085 trace_id=91 func=ids_receive line=239 msg="send to ips"

id=20085 trace_id=91 func=__ip_session_run_tuple line=2597 msg="SNAT 192.10.10.5->192.168.4.3:37639"

id=20085 trace_id=91 func=__ip_session_run_tuple line=2648 msg="run helper-dns-udp(dir=original)"

id=20085 trace_id=92 func=print_pkt_detail line=4478 msg="vd-root received a packet(proto=1, 192.10.10.5:12532->8.8.8.8:8) from port4. code=8, type=0, id=12532, seq=6."

id=20085 trace_id=92 func=resolve_ip_tuple_fast line=4541 msg="Find an existing session, id-034728e6, original direction"

id=20085 trace_id=92 func=ids_receive line=239 msg="send to ips"

id=20085 trace_id=92 func=__ip_session_run_tuple line=2597 msg="SNAT 192.10.10.5->192.168.4.3:12532"

id=20085 trace_id=93 func=print_pkt_detail line=4478 msg="vd-root received a packet(proto=17, 192.10.10.5:51031->186.5.11.2:53) from port4. "

id=20085 trace_id=93 func=resolve_ip_tuple_fast line=4541 msg="Find an existing session, id-0347289f, original direction"

id=20085 trace_id=93 func=__ip_session_run_tuple line=2597 msg="SNAT 192.10.10.5->192.168.4.3:51031"

id=20085 trace_id=93 func=ids_receive line=239 msg="send to ips"

id=20085 trace_id=93 func=__ip_session_run_tuple line=2648 msg="run helper-dns-udp(dir=original)"

id=20085 trace_id=94 func=print_pkt_detail line=4478 msg="vd-root received a packet(proto=17, 192.10.10.5:51031->186.5.11.2:53) from port4. "

id=20085 trace_id=94 func=__ip_session_run_tuple line=2597 msg="SNAT 192.10.10.5->192.168.4.3:51031"

id=20085 trace_id=94 func=resolve_ip_tuple_fast line=4541 msg="Find an existing session, id-0347289f, original direction"

id=20085 trace_id=94 func=__ip_session_run_tuple line=2648 msg="run helper-dns-udp(dir=original)"

id=20085 trace_id=94 func=ids_receive line=239 msg="send to ips"

id=20085 trace_id=95 func=print_pkt_detail line=4478 msg="vd-root received a packet(proto=1, 192.10.10.5:12532->8.8.8.8:8) from port4. code=8, type=0, id=12532, seq=7."

id=20085 trace_id=95 func=resolve_ip_tuple_fast line=4541 msg="Find an existing session, id-034728e6, original direction"

id=20085 trace_id=95 func=ids_receive line=239 msg="send to ips"

id=20085 trace_id=95 func=__ip_session_run_tuple line=2597 msg="SNAT 192.10.10.5->192.168.4.3:12532"

id=20085 trace_id=96 func=print_pkt_detail line=4478 msg="vd-root received a packet(proto=1, 192.10.10.5:12532->8.8.8.8:8) from port4. code=8, type=0, id=12532, seq=8."

id=20085 trace_id=96 func=resolve_ip_tuple_fast line=4541 msg="Find an existing session, id-034728e6, original direction"

id=20085 trace_id=96 func=ids_receive line=239 msg="send to ips"

id=20085 trace_id=96 func=__ip_session_run_tuple line=2597 msg="SNAT 192.10.10.5->192.168.4.3:12532"

id=20085 trace_id=97 func=print_pkt_detail line=4478 msg="vd-root received a packet(proto=1, 192.10.10.5:12532->8.8.8.8:8) from port4. code=8, type=0, id=12532, seq=9."

id=20085 trace_id=97 func=resolve_ip_tuple_fast line=4541 msg="Find an existing session, id-034728e6, original direction"

id=20085 trace_id=97 func=ids_receive line=239 msg="send to ips"

id=20085 trace_id=97 func=__ip_session_run_tuple line=2597 msg="SNAT 192.10.10.5->192.168.4.3:12532"

id=20085 trace_id=98 func=print_pkt_detail line=4478 msg="vd-root received a packet(proto=1, 192.10.10.5:12532->8.8.8.8:8) from port4. code=8, type=0, id=12532, seq=10."

id=20085 trace_id=98 func=resolve_ip_tuple_fast line=4541 msg="Find an existing session, id-034728e6, original direction"

id=20085 trace_id=98 func=ids_receive line=239 msg="send to ips"

id=20085 trace_id=98 func=__ip_session_run_tuple line=2597 msg="SNAT 192.10.10.5->192.168.4.3:12532"

id=20085 trace_id=99 func=print_pkt_detail line=4478 msg="vd-root received a packet(proto=17, 192.10.10.5:33991->8.8.8.8:53) from port4. "

id=20085 trace_id=99 func=resolve_ip_tuple_fast line=4541 msg="Find an existing session, id-034728d7, original direction"

id=20085 trace_id=99 func=ids_receive line=239 msg="send to ips"

id=20085 trace_id=99 func=__ip_session_run_tuple line=2597 msg="SNAT 192.10.10.5->192.168.4.3:33991"

id=20085 trace_id=99 func=__ip_session_run_tuple line=2648 msg="run helper-dns-udp(dir=original)"

id=20085 trace_id=100 func=print_pkt_detail line=4478 msg="vd-root received a packet(proto=1, 192.10.10.5:12532->8.8.8.8:8) from port4. code=8, type=0, id=12532, seq=11."

id=20085 trace_id=100 func=resolve_ip_tuple_fast line=4541 msg="Find an existing session, id-034728e6, original direction"

id=20085 trace_id=100 func=ids_receive line=239 msg="send to ips"

id=20085 trace_id=100 func=__ip_session_run_tuple line=2597 msg="SNAT 192.10.10.5->192.168.4.3:12532"

cristofer666
Mensajes: 23
Registrado: 17 Jun 2016, 21:40

Re: Problema de Conexion

Mensaje por cristofer666 »

Estimados muchas gracias por su ayuda he podido solucionar con las instrucciones de Garsa. Mi problema estaba en la definicion de las Virtuales. Lo que yo realizo para que se conecte mi LAN con la DMZ, es lo siguiente:

LAN --->Virtual IP ---->DMZ

Entonces mi virtual Ip la había configurado en Interface como Any, graso error, porque al responderme el dns se me perdía en esa regla. Lo que realice fue reconfigurar y la Virtual la deje como Interface de mi LAN y vuala, ya navego normalmente y no tengo ningún problema.

Solo me faltaría solucionar la primera parte de mis redes que se puedan ver mi subredes, voy a probar con el trace y les comento. Gracias Garsa. Gracias Makco10. por vuestro tiempo
Garsa
Mensajes: 94
Registrado: 01 Ago 2014, 21:37

Re: Problema de Conexion

Mensaje por Garsa »

Ha! excelente Cristofer, me alegro te haya ayudado.

Explicame mejor esa 2nda parte a ver que puede ser. También muéstrame las politicas entre esas redes.

Saludos!
Avatar de Usuario
makco10
Mensajes: 1345
Registrado: 03 Jun 2011, 19:42
Ubicación: Honduras
Contactar:

Re: Problema de Conexion

Mensaje por makco10 »

Excelente.
Defend Your Enterprise Network With Fortigate Next Generation Firewall

NSE4
NSE5
cristofer666
Mensajes: 23
Registrado: 17 Jun 2016, 21:40

Re: Problema de Conexion

Mensaje por cristofer666 »

Como estas Garsa, mira el problema que menciono surge de la siguiente configuracion:

Como mencione tengo un 80D con 4 puertos los cuales utilizo el port2 para mi LAN (10.10.1.0). Dentro de eso port utilizo 2 Ip's Secundarias (10.10.2.0 10.10.3.0). En una primera ocasión no tenia una Wan Load Balance y mis secundarias con la red primarias, se veían, se podía realizar ping y todo. Para estoy surge la necesidad de agregar una WAN por lo que realizo mi Wan_Load_Balance, que al realizar la misma se me pierde la funcionalidad de que mis redes LAN secundarias se vean entre si y con mis redes primarias. Les he hecho casi de todo, por politicas de Firewall, por Politicas de Rutas, pero no consigo que esas se vean. Ese es mi inconveniente.

Saludos
Responder