Problema de Conexion

Para temas sobre el uso de las politicas de filtrado en los productos FortiGate.
Garsa
Mensajes: 94
Registrado: 01 Ago 2014, 21:37

Re: Problema de Conexion

Mensaje por Garsa »

Hola Cristofer,

Clarificarme algo, al inicio pusiste que esta era tu configuracion:

Port1: Wan1
Port2: Lan 1
Lan 1.1
Lan 1.2
Port3: Wan2
Port4: DMZ

Lan 1.1 y 1.2 son subinterfaces tipo VLAN me imagino, cierto? o lo tienes como Zonas?
En el "Monitor de rutas" te deberian salir 2 rutas directamente conectadas para LAN 1.1 y LAN1.2 respectivamente, si?

En tus "Políticas de ruteo" tu usas Port2 como tu interfaz de ingreso o entrante. No veo en ninguna referencia a las subinterfaces individuales.
Las políticas de firewall, has usado las subinterfaces en tu selección?

Dejame saber, espero te ayude.

Saludos,

Garsa
cristofer666
Mensajes: 23
Registrado: 17 Jun 2016, 21:40

Re: Problema de Conexion

Mensaje por cristofer666 »

Garsa como estas disculpa la demora, y mira efectivamente esa es mi configuración, en el Port2: Tengo mi Lan, y de ahí saco 2 subinterfeces tipo VLAN pero no están configuradas como VLAN ni zonas solo están como IP Secundarias. Antes tenia yo una política de firewall donde indicaba que aceptara el trafico dirigido a la LAN 1.1 y LAN 1.2 y viceversa. Funcionba bien y solo permitia que la LAN 1.1 pueda comuncarse como los usuarios de mi LAN: Es decir:

Lan: 10.10.10.1
Lan 1.1: 10.10.20.1
Lan 1.2: 10.10.30.1

Entonces lo que hacia era que mis usuarios de mi LAN puedan tener acceso desde LAN a LAN 1.1 y viceversa. En cambio la LAN 1.2 solo salia a internet y no se enteraba de las otras LANS. Ahora al realizar la Wan Balance se me murió, nadie puede ver a nadie, ni viceversa. desde la LAN solo llego hasta la 10.10.20.1 que es la que configuro, pero de ahi al resto no.

Trate de ser lo mas claro posible.

Saludos y gracias
Garsa
Mensajes: 94
Registrado: 01 Ago 2014, 21:37

Re: Problema de Conexion

Mensaje por Garsa »

Hola Cristofer,

No te preocupes.

Mira, obviamente es mas fácil o rápido llamar a soporte y hacer una sesión remota para que ellos te ayuden. Aun así, disfruto resolviendo estos problemas así que si no tienes afán y quieres seguir investigando, vale!?

Me imagino que tu tienes tu WAN LLB configurado algo asi, dale una mirada para confirmar.
[Debes identificarte para poder ver enlaces.]

No me quiero meter mucho en el WAN Balance aun, ya que la colectividad basica entre las LAN y LAN 1.1, no esta funcionando.. asi que quiero mirar un poco mas ahi.

Me puedes dar el output de lo siguiente?

get router info routing-table static ## O si usas un protocolo dinamico solo cambia el static por el protocolo que uses para las rutas

Nuevamente el flow trace que tanto me ayuda. Anota lo siguiente para poder hacer el filtro.

IP de un pc en la LAN (10.10.10.x):
IP de un pc en la LAN 1.1 (10.10.20.x):
Servicio permitido en tu politica (PING ?):

di de ena
di de fl sh con ena
di de fl sh func ena
di de fl filter addr 10.10.10.X # you LAN IP
di de fl filter port 8
di de fl trace start 10

Comienza un ping desde 10.10.10.X a la IP de tu PC en LAN1.1
Cuando tengas la info y termines..

di de fl trace stop
di de reset
di de disa

Añade el output aqui. Me avisas como te va.

Saludos,

Garsa
cristofer666
Mensajes: 23
Registrado: 17 Jun 2016, 21:40

Re: Problema de Conexion

Mensaje por cristofer666 »

Estimado Garsa:

Disculpa la demora, no había estado en oficina, pero mira te comento el WLB se ha hecho acorde al gráfico que has indicado, el output es el siguiente:

Código: Seleccionar todo

Fortigate # get router info routing-table static
S*      0.0.0.0/0 [1/0] via 11.11.11.237, port3
                  [1/0] via 12.12.12.129, port1
S       10.0.0.0/24 [10/0] is directly connected, Marpesca

Código: Seleccionar todo

fortigate # id=20085 trace_id=1 func=print_pkt_detail line=4903 msg="vd-root received a packet(proto=1, 192.168.1.109:3->192.168.2.38:2048) from port2. type=8, code=0, id=3, seq=24581."

id=20085 trace_id=1 func=resolve_ip_tuple_fast line=4967 msg="Find an existing session, id-002ed274, original direction"

id=20085 trace_id=1 func=ids_receive line=252 msg="send to ips"

id=20085 trace_id=1 func=__ip_session_run_tuple line=2880 msg="SNAT 192.168.1.109->12.12.12.133:62464"

id=20085 trace_id=2 func=print_pkt_detail line=4903 msg="vd-root received a packet(proto=1, 192.168.1.109:3->192.168.2.38:2048) from port2. type=8, code=0, id=3, seq=24582."

id=20085 trace_id=2 func=resolve_ip_tuple_fast line=4967 msg="Find an existing session, id-002ed274, original direction"

id=20085 trace_id=2 func=ids_receive line=252 msg="send to ips"

id=20085 trace_id=2 func=__ip_session_run_tuple line=2880 msg="SNAT 192.168.1.109->12.12.12.133:62464"

id=20085 trace_id=3 func=print_pkt_detail line=4903 msg="vd-root received a packet(proto=1, 192.168.1.109:3->192.168.2.38:2048) from port2. type=8, code=0, id=3, seq=24583."

id=20085 trace_id=3 func=resolve_ip_tuple_fast line=4967 msg="Find an existing session, id-002ed274, original direction"

id=20085 trace_id=3 func=ids_receive line=252 msg="send to ips"

id=20085 trace_id=3 func=__ip_session_run_tuple line=2880 msg="SNAT 192.168.1.109->12.12.12.133:62464"

id=20085 trace_id=4 func=print_pkt_detail line=4903 msg="vd-root received a packet(proto=1, 192.168.1.109:3->192.168.2.38:2048) from port2. type=8, code=0, id=3, seq=24584."

id=20085 trace_id=4 func=resolve_ip_tuple_fast line=4967 msg="Find an existing session, id-002ed274, original direction"

id=20085 trace_id=4 func=ids_receive line=252 msg="send to ips"

id=20085 trace_id=4 func=__ip_session_run_tuple line=2880 msg="SNAT 192.168.1.109->12.12.12.133:62464"

id=20085 trace_id=5 func=print_pkt_detail line=4903 msg="vd-root received a packet(proto=1, 192.168.1.109:3->192.168.2.38:2048) from port2. type=8, code=0, id=3, seq=24585."

id=20085 trace_id=5 func=resolve_ip_tuple_fast line=4967 msg="Find an existing session, id-002ed274, original direction"

id=20085 trace_id=5 func=ids_receive line=252 msg="send to ips"

id=20085 trace_id=5 func=__ip_session_run_tuple line=2880 msg="SNAT 192.168.1.109->12.12.12.133:62464"

id=20085 trace_id=6 func=print_pkt_detail line=4903 msg="vd-root received a packet(proto=1, 192.168.1.109:3->192.168.2.38:2048) from port2. type=8, code=0, id=3, seq=24586."

id=20085 trace_id=6 func=resolve_ip_tuple_fast line=4967 msg="Find an existing session, id-002ed274, original direction"

id=20085 trace_id=6 func=ids_receive line=252 msg="send to ips"

id=20085 trace_id=6 func=__ip_session_run_tuple line=2880 msg="SNAT 192.168.1.109->12.12.12.133:62464"

id=20085 trace_id=7 func=print_pkt_detail line=4903 msg="vd-root received a packet(proto=1, 192.168.1.109:3->192.168.2.38:2048) from port2. type=8, code=0, id=3, seq=24587."

id=20085 trace_id=7 func=resolve_ip_tuple_fast line=4967 msg="Find an existing session, id-002ed274, original direction"

id=20085 trace_id=7 func=ids_receive line=252 msg="send to ips"

id=20085 trace_id=7 func=__ip_session_run_tuple line=2880 msg="SNAT 192.168.1.109->12.12.12.133:62464"

id=20085 trace_id=8 func=print_pkt_detail line=4903 msg="vd-root received a packet(proto=1, 192.168.1.109:3->192.168.2.38:2048) from port2. type=8, code=0, id=3, seq=24588."

id=20085 trace_id=8 func=resolve_ip_tuple_fast line=4967 msg="Find an existing session, id-002ed274, original direction"

id=20085 trace_id=8 func=ids_receive line=252 msg="send to ips"

id=20085 trace_id=8 func=__ip_session_run_tuple line=2880 msg="SNAT 192.168.1.109->12.12.12.133:62464"

id=20085 trace_id=9 func=print_pkt_detail line=4903 msg="vd-root received a packet(proto=1, 192.168.1.109:3->192.168.2.38:2048) from port2. type=8, code=0, id=3, seq=24589."

id=20085 trace_id=9 func=resolve_ip_tuple_fast line=4967 msg="Find an existing session, id-002ed274, original direction"

id=20085 trace_id=9 func=ids_receive line=252 msg="send to ips"

id=20085 trace_id=9 func=__ip_session_run_tuple line=2880 msg="SNAT 192.168.1.109->12.12.12.133:62464"

id=20085 trace_id=10 func=print_pkt_detail line=4903 msg="vd-root received a packet(proto=1, 192.168.1.109:3->192.168.2.38:2048) from port2. type=8, code=0, id=3, seq=24590."

id=20085 trace_id=10 func=resolve_ip_tuple_fast line=4967 msg="Find an existing session, id-002ed274, original direction"

id=20085 trace_id=10 func=ids_receive line=252 msg="send to ips"

id=20085 trace_id=10 func=__ip_session_run_tuple line=2880 msg="SNAT 192.168.1.109->12.12.12.133:62464"
cristofer666
Mensajes: 23
Registrado: 17 Jun 2016, 21:40

Re: Problema de Conexion

Mensaje por cristofer666 »

Garsa alguna cosa te respondi el mensaje
Garsa
Mensajes: 94
Registrado: 01 Ago 2014, 21:37

Re: Problema de Conexion

Mensaje por Garsa »

Hola Cristofer,

En el output no se ve la respuesta de 192.168.2.38. El trafico de 192.168.1.109 se va a tu WAN ya que tienes la ruta estatica 0.0.0.0
Me puede dar:

get router info routing-table all
show system interface Lan1.1
show system interface Lan1.2

Quiero ver donde esta la ruta ara 192.168.2.0/24

Ya de ahi miramos las politicas.

Saludos,

Garsa
cristofer666
Mensajes: 23
Registrado: 17 Jun 2016, 21:40

Re: Problema de Conexion

Mensaje por cristofer666 »

Estimado adjunto lo solicitado.

Código: Seleccionar todo

FG080D3914000084 # get router info routing-table all

Codes: K - kernel, C - connected, S - static, R - RIP, B - BGP

       O - OSPF, IA - OSPF inter area

       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2

       E1 - OSPF external type 1, E2 - OSPF external type 2

       i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area

       * - candidate default

 

S*      0.0.0.0/0 [1/0] via 11.11.11.237, port3

                  [1/0] via 12.12.12.129, port1

S       10.0.0.0/24 [10/0] is directly connected, Marpesca

C       169.254.1.1/32 is directly connected, ssl.root

                       is directly connected, ssl.root

C       11.11.11.237/30 is directly connected, port3

C       12.12.12.129/26 is directly connected, port1

                          is directly connected, port1

                          is directly connected, port1

                          is directly connected, port1

                          is directly connected, port1

C       192.10.10.0/24 is directly connected, port4

C       192.168.1.0/24 is directly connected, port2

C       192.168.2.0/24 is directly connected, port2

C       192.168.3.0/24 is directly connected, port2

Código: Seleccionar todo

FG080D3914000084 # show system interface port2

config system interface

    edit "port2"

        set vdom "root"

        set ip 192.168.1.4 255.255.255.0

        set allowaccess ping https http fgfm

        set type physical

        set alias "LAN"

        set device-identification enable

        set fortiheartbeat enable

        set snmp-index 2

        set secondary-IP enable

        config secondaryip

            edit 1

                set ip 192.168.2.1 255.255.255.0

                set allowaccess ping https http fgfm

            next

            edit 2

                set ip 192.168.3.1 255.255.255.0

                set allowaccess ssh snmp telnet

            next

        end
    next
end
 
Garsa
Mensajes: 94
Registrado: 01 Ago 2014, 21:37

Re: Problema de Conexion

Mensaje por Garsa »

Cristofer, tu usas VLANs en el switch que esta conectado al port2?
cristofer666
Mensajes: 23
Registrado: 17 Jun 2016, 21:40

Re: Problema de Conexion

Mensaje por cristofer666 »

Garsa, te comento no estoy usando la opción de VLAN solo las he creado como Direcciones Secundarias, pero en teoría deberían ser Vlans.
Garsa
Mensajes: 94
Registrado: 01 Ago 2014, 21:37

Re: Problema de Conexion

Mensaje por Garsa »

Hola Cristofer,

Miraste si a el switch que se conecta al Fortigate se le pueden configurar VLANs tambien?

Saludos,

Garsa
Responder