Problema de Conexion
Re: Problema de Conexion
Hola Cristofer,
Clarificarme algo, al inicio pusiste que esta era tu configuracion:
Port1: Wan1
Port2: Lan 1
Lan 1.1
Lan 1.2
Port3: Wan2
Port4: DMZ
Lan 1.1 y 1.2 son subinterfaces tipo VLAN me imagino, cierto? o lo tienes como Zonas?
En el "Monitor de rutas" te deberian salir 2 rutas directamente conectadas para LAN 1.1 y LAN1.2 respectivamente, si?
En tus "Políticas de ruteo" tu usas Port2 como tu interfaz de ingreso o entrante. No veo en ninguna referencia a las subinterfaces individuales.
Las políticas de firewall, has usado las subinterfaces en tu selección?
Dejame saber, espero te ayude.
Saludos,
Garsa
Clarificarme algo, al inicio pusiste que esta era tu configuracion:
Port1: Wan1
Port2: Lan 1
Lan 1.1
Lan 1.2
Port3: Wan2
Port4: DMZ
Lan 1.1 y 1.2 son subinterfaces tipo VLAN me imagino, cierto? o lo tienes como Zonas?
En el "Monitor de rutas" te deberian salir 2 rutas directamente conectadas para LAN 1.1 y LAN1.2 respectivamente, si?
En tus "Políticas de ruteo" tu usas Port2 como tu interfaz de ingreso o entrante. No veo en ninguna referencia a las subinterfaces individuales.
Las políticas de firewall, has usado las subinterfaces en tu selección?
Dejame saber, espero te ayude.
Saludos,
Garsa
-
- Mensajes: 23
- Registrado: 17 Jun 2016, 21:40
Re: Problema de Conexion
Garsa como estas disculpa la demora, y mira efectivamente esa es mi configuración, en el Port2: Tengo mi Lan, y de ahí saco 2 subinterfeces tipo VLAN pero no están configuradas como VLAN ni zonas solo están como IP Secundarias. Antes tenia yo una política de firewall donde indicaba que aceptara el trafico dirigido a la LAN 1.1 y LAN 1.2 y viceversa. Funcionba bien y solo permitia que la LAN 1.1 pueda comuncarse como los usuarios de mi LAN: Es decir:
Lan: 10.10.10.1
Lan 1.1: 10.10.20.1
Lan 1.2: 10.10.30.1
Entonces lo que hacia era que mis usuarios de mi LAN puedan tener acceso desde LAN a LAN 1.1 y viceversa. En cambio la LAN 1.2 solo salia a internet y no se enteraba de las otras LANS. Ahora al realizar la Wan Balance se me murió, nadie puede ver a nadie, ni viceversa. desde la LAN solo llego hasta la 10.10.20.1 que es la que configuro, pero de ahi al resto no.
Trate de ser lo mas claro posible.
Saludos y gracias
Lan: 10.10.10.1
Lan 1.1: 10.10.20.1
Lan 1.2: 10.10.30.1
Entonces lo que hacia era que mis usuarios de mi LAN puedan tener acceso desde LAN a LAN 1.1 y viceversa. En cambio la LAN 1.2 solo salia a internet y no se enteraba de las otras LANS. Ahora al realizar la Wan Balance se me murió, nadie puede ver a nadie, ni viceversa. desde la LAN solo llego hasta la 10.10.20.1 que es la que configuro, pero de ahi al resto no.
Trate de ser lo mas claro posible.
Saludos y gracias
Re: Problema de Conexion
Hola Cristofer,
No te preocupes.
Mira, obviamente es mas fácil o rápido llamar a soporte y hacer una sesión remota para que ellos te ayuden. Aun así, disfruto resolviendo estos problemas así que si no tienes afán y quieres seguir investigando, vale!?
Me imagino que tu tienes tu WAN LLB configurado algo asi, dale una mirada para confirmar.
[Debes identificarte para poder ver enlaces.]
No me quiero meter mucho en el WAN Balance aun, ya que la colectividad basica entre las LAN y LAN 1.1, no esta funcionando.. asi que quiero mirar un poco mas ahi.
Me puedes dar el output de lo siguiente?
get router info routing-table static ## O si usas un protocolo dinamico solo cambia el static por el protocolo que uses para las rutas
Nuevamente el flow trace que tanto me ayuda. Anota lo siguiente para poder hacer el filtro.
IP de un pc en la LAN (10.10.10.x):
IP de un pc en la LAN 1.1 (10.10.20.x):
Servicio permitido en tu politica (PING ?):
di de ena
di de fl sh con ena
di de fl sh func ena
di de fl filter addr 10.10.10.X # you LAN IP
di de fl filter port 8
di de fl trace start 10
Comienza un ping desde 10.10.10.X a la IP de tu PC en LAN1.1
Cuando tengas la info y termines..
di de fl trace stop
di de reset
di de disa
Añade el output aqui. Me avisas como te va.
Saludos,
Garsa
No te preocupes.
Mira, obviamente es mas fácil o rápido llamar a soporte y hacer una sesión remota para que ellos te ayuden. Aun así, disfruto resolviendo estos problemas así que si no tienes afán y quieres seguir investigando, vale!?
Me imagino que tu tienes tu WAN LLB configurado algo asi, dale una mirada para confirmar.
[Debes identificarte para poder ver enlaces.]
No me quiero meter mucho en el WAN Balance aun, ya que la colectividad basica entre las LAN y LAN 1.1, no esta funcionando.. asi que quiero mirar un poco mas ahi.
Me puedes dar el output de lo siguiente?
get router info routing-table static ## O si usas un protocolo dinamico solo cambia el static por el protocolo que uses para las rutas
Nuevamente el flow trace que tanto me ayuda. Anota lo siguiente para poder hacer el filtro.
IP de un pc en la LAN (10.10.10.x):
IP de un pc en la LAN 1.1 (10.10.20.x):
Servicio permitido en tu politica (PING ?):
di de ena
di de fl sh con ena
di de fl sh func ena
di de fl filter addr 10.10.10.X # you LAN IP
di de fl filter port 8
di de fl trace start 10
Comienza un ping desde 10.10.10.X a la IP de tu PC en LAN1.1
Cuando tengas la info y termines..
di de fl trace stop
di de reset
di de disa
Añade el output aqui. Me avisas como te va.
Saludos,
Garsa
-
- Mensajes: 23
- Registrado: 17 Jun 2016, 21:40
Re: Problema de Conexion
Estimado Garsa:
Disculpa la demora, no había estado en oficina, pero mira te comento el WLB se ha hecho acorde al gráfico que has indicado, el output es el siguiente:
Disculpa la demora, no había estado en oficina, pero mira te comento el WLB se ha hecho acorde al gráfico que has indicado, el output es el siguiente:
Código: Seleccionar todo
Fortigate # get router info routing-table static
S* 0.0.0.0/0 [1/0] via 11.11.11.237, port3
[1/0] via 12.12.12.129, port1
S 10.0.0.0/24 [10/0] is directly connected, Marpesca
Código: Seleccionar todo
fortigate # id=20085 trace_id=1 func=print_pkt_detail line=4903 msg="vd-root received a packet(proto=1, 192.168.1.109:3->192.168.2.38:2048) from port2. type=8, code=0, id=3, seq=24581."
id=20085 trace_id=1 func=resolve_ip_tuple_fast line=4967 msg="Find an existing session, id-002ed274, original direction"
id=20085 trace_id=1 func=ids_receive line=252 msg="send to ips"
id=20085 trace_id=1 func=__ip_session_run_tuple line=2880 msg="SNAT 192.168.1.109->12.12.12.133:62464"
id=20085 trace_id=2 func=print_pkt_detail line=4903 msg="vd-root received a packet(proto=1, 192.168.1.109:3->192.168.2.38:2048) from port2. type=8, code=0, id=3, seq=24582."
id=20085 trace_id=2 func=resolve_ip_tuple_fast line=4967 msg="Find an existing session, id-002ed274, original direction"
id=20085 trace_id=2 func=ids_receive line=252 msg="send to ips"
id=20085 trace_id=2 func=__ip_session_run_tuple line=2880 msg="SNAT 192.168.1.109->12.12.12.133:62464"
id=20085 trace_id=3 func=print_pkt_detail line=4903 msg="vd-root received a packet(proto=1, 192.168.1.109:3->192.168.2.38:2048) from port2. type=8, code=0, id=3, seq=24583."
id=20085 trace_id=3 func=resolve_ip_tuple_fast line=4967 msg="Find an existing session, id-002ed274, original direction"
id=20085 trace_id=3 func=ids_receive line=252 msg="send to ips"
id=20085 trace_id=3 func=__ip_session_run_tuple line=2880 msg="SNAT 192.168.1.109->12.12.12.133:62464"
id=20085 trace_id=4 func=print_pkt_detail line=4903 msg="vd-root received a packet(proto=1, 192.168.1.109:3->192.168.2.38:2048) from port2. type=8, code=0, id=3, seq=24584."
id=20085 trace_id=4 func=resolve_ip_tuple_fast line=4967 msg="Find an existing session, id-002ed274, original direction"
id=20085 trace_id=4 func=ids_receive line=252 msg="send to ips"
id=20085 trace_id=4 func=__ip_session_run_tuple line=2880 msg="SNAT 192.168.1.109->12.12.12.133:62464"
id=20085 trace_id=5 func=print_pkt_detail line=4903 msg="vd-root received a packet(proto=1, 192.168.1.109:3->192.168.2.38:2048) from port2. type=8, code=0, id=3, seq=24585."
id=20085 trace_id=5 func=resolve_ip_tuple_fast line=4967 msg="Find an existing session, id-002ed274, original direction"
id=20085 trace_id=5 func=ids_receive line=252 msg="send to ips"
id=20085 trace_id=5 func=__ip_session_run_tuple line=2880 msg="SNAT 192.168.1.109->12.12.12.133:62464"
id=20085 trace_id=6 func=print_pkt_detail line=4903 msg="vd-root received a packet(proto=1, 192.168.1.109:3->192.168.2.38:2048) from port2. type=8, code=0, id=3, seq=24586."
id=20085 trace_id=6 func=resolve_ip_tuple_fast line=4967 msg="Find an existing session, id-002ed274, original direction"
id=20085 trace_id=6 func=ids_receive line=252 msg="send to ips"
id=20085 trace_id=6 func=__ip_session_run_tuple line=2880 msg="SNAT 192.168.1.109->12.12.12.133:62464"
id=20085 trace_id=7 func=print_pkt_detail line=4903 msg="vd-root received a packet(proto=1, 192.168.1.109:3->192.168.2.38:2048) from port2. type=8, code=0, id=3, seq=24587."
id=20085 trace_id=7 func=resolve_ip_tuple_fast line=4967 msg="Find an existing session, id-002ed274, original direction"
id=20085 trace_id=7 func=ids_receive line=252 msg="send to ips"
id=20085 trace_id=7 func=__ip_session_run_tuple line=2880 msg="SNAT 192.168.1.109->12.12.12.133:62464"
id=20085 trace_id=8 func=print_pkt_detail line=4903 msg="vd-root received a packet(proto=1, 192.168.1.109:3->192.168.2.38:2048) from port2. type=8, code=0, id=3, seq=24588."
id=20085 trace_id=8 func=resolve_ip_tuple_fast line=4967 msg="Find an existing session, id-002ed274, original direction"
id=20085 trace_id=8 func=ids_receive line=252 msg="send to ips"
id=20085 trace_id=8 func=__ip_session_run_tuple line=2880 msg="SNAT 192.168.1.109->12.12.12.133:62464"
id=20085 trace_id=9 func=print_pkt_detail line=4903 msg="vd-root received a packet(proto=1, 192.168.1.109:3->192.168.2.38:2048) from port2. type=8, code=0, id=3, seq=24589."
id=20085 trace_id=9 func=resolve_ip_tuple_fast line=4967 msg="Find an existing session, id-002ed274, original direction"
id=20085 trace_id=9 func=ids_receive line=252 msg="send to ips"
id=20085 trace_id=9 func=__ip_session_run_tuple line=2880 msg="SNAT 192.168.1.109->12.12.12.133:62464"
id=20085 trace_id=10 func=print_pkt_detail line=4903 msg="vd-root received a packet(proto=1, 192.168.1.109:3->192.168.2.38:2048) from port2. type=8, code=0, id=3, seq=24590."
id=20085 trace_id=10 func=resolve_ip_tuple_fast line=4967 msg="Find an existing session, id-002ed274, original direction"
id=20085 trace_id=10 func=ids_receive line=252 msg="send to ips"
id=20085 trace_id=10 func=__ip_session_run_tuple line=2880 msg="SNAT 192.168.1.109->12.12.12.133:62464"
-
- Mensajes: 23
- Registrado: 17 Jun 2016, 21:40
Re: Problema de Conexion
Garsa alguna cosa te respondi el mensaje
Re: Problema de Conexion
Hola Cristofer,
En el output no se ve la respuesta de 192.168.2.38. El trafico de 192.168.1.109 se va a tu WAN ya que tienes la ruta estatica 0.0.0.0
Me puede dar:
get router info routing-table all
show system interface Lan1.1
show system interface Lan1.2
Quiero ver donde esta la ruta ara 192.168.2.0/24
Ya de ahi miramos las politicas.
Saludos,
Garsa
En el output no se ve la respuesta de 192.168.2.38. El trafico de 192.168.1.109 se va a tu WAN ya que tienes la ruta estatica 0.0.0.0
Me puede dar:
get router info routing-table all
show system interface Lan1.1
show system interface Lan1.2
Quiero ver donde esta la ruta ara 192.168.2.0/24
Ya de ahi miramos las politicas.
Saludos,
Garsa
-
- Mensajes: 23
- Registrado: 17 Jun 2016, 21:40
Re: Problema de Conexion
Estimado adjunto lo solicitado.
Código: Seleccionar todo
FG080D3914000084 # get router info routing-table all
Codes: K - kernel, C - connected, S - static, R - RIP, B - BGP
O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
* - candidate default
S* 0.0.0.0/0 [1/0] via 11.11.11.237, port3
[1/0] via 12.12.12.129, port1
S 10.0.0.0/24 [10/0] is directly connected, Marpesca
C 169.254.1.1/32 is directly connected, ssl.root
is directly connected, ssl.root
C 11.11.11.237/30 is directly connected, port3
C 12.12.12.129/26 is directly connected, port1
is directly connected, port1
is directly connected, port1
is directly connected, port1
is directly connected, port1
C 192.10.10.0/24 is directly connected, port4
C 192.168.1.0/24 is directly connected, port2
C 192.168.2.0/24 is directly connected, port2
C 192.168.3.0/24 is directly connected, port2
Código: Seleccionar todo
FG080D3914000084 # show system interface port2
config system interface
edit "port2"
set vdom "root"
set ip 192.168.1.4 255.255.255.0
set allowaccess ping https http fgfm
set type physical
set alias "LAN"
set device-identification enable
set fortiheartbeat enable
set snmp-index 2
set secondary-IP enable
config secondaryip
edit 1
set ip 192.168.2.1 255.255.255.0
set allowaccess ping https http fgfm
next
edit 2
set ip 192.168.3.1 255.255.255.0
set allowaccess ssh snmp telnet
next
end
next
end
Re: Problema de Conexion
Cristofer, tu usas VLANs en el switch que esta conectado al port2?
-
- Mensajes: 23
- Registrado: 17 Jun 2016, 21:40
Re: Problema de Conexion
Garsa, te comento no estoy usando la opción de VLAN solo las he creado como Direcciones Secundarias, pero en teoría deberían ser Vlans.
Re: Problema de Conexion
Hola Cristofer,
Miraste si a el switch que se conecta al Fortigate se le pueden configurar VLANs tambien?
Saludos,
Garsa
Miraste si a el switch que se conecta al Fortigate se le pueden configurar VLANs tambien?
Saludos,
Garsa