conexión IP Virtual

Para temas sobre el uso de las politicas de filtrado en los productos FortiGate.
Responder
nandoga
Mensajes: 7
Registrado: 10 Nov 2015, 22:42

conexión IP Virtual

Mensaje por nandoga »

Buen día,

Actualmente en una sede tengo un fortigate 200D v5.4.4,build1117, tengo un servidor el cual accedo desde una ip publica, a través de una IP virtual. Mis usuarios se conectan al servidor externamente y dentro de la misma red a la ip publica y funciona.

Debido a un cambio de proveedor, debo trasladar este servicio a un fortigate 100D v5.4.4,build1117 que esta ubicado en otra sede (se comunican por MPLS) configure la IP virtual, política (igual que el 200D) y puedo acceder al servidor externamente, pero desde mi LAN no lo puedo hacer no responde la IP publica.

revisando el trafico desde una IP de la LAN me envía a la política 0, pero no se como resolverlo.

Fortigate 100D # id=20085 trace_id=246 func=print_pkt_detail line=4793 msg="vd-root received a packet(proto=6, 192.168.112.162:1100->186.214.109.41:8081) from port1. flag [S], seq 395645460, ack 0, win 65535"
id=20085 trace_id=246 func=init_ip_session_common line=4944 msg="allocate a new session-00b28777"
id=20085 trace_id=246 func=fw_pre_route_handler line=182 msg="VIP-192.168.1.32:8081, outdev-unkown"
id=20085 trace_id=246 func=__ip_session_run_tuple line=2810 msg="DNAT 186.214.109.41:8081->192.168.1.32:8081"
id=20085 trace_id=246 func=vf_ip_route_input_common line=2576 msg="Match policy routing: to 192.168.1.32 via ifindex-12"
id=20085 trace_id=246 func=vf_ip_route_input_common line=2586 msg="find a route: flag=00000000 gw-186.214.109.41 via port2"
id=20085 trace_id=246 func=fw_forward_handler line=564 msg="Denied by forward policy check (policy 0)"

Conexión a la IP publica configurada en el fortigate 200D:

Fortigate 100D # id=20085 trace_id=162 func=print_pkt_detail line=4793 msg="vd-root received a packet(proto=6, 192.168.112.162:1098->190.115.117.42:8081) from port1. flag [S], seq 388225660, ack 0, win 65535"
id=20085 trace_id=162 func=init_ip_session_common line=4944 msg="allocate a new session-00add23b"
id=20085 trace_id=162 func=vf_ip_route_input_common line=2576 msg="Match policy routing: to 190.115.117.42 via ifindex-7"
id=20085 trace_id=162 func=vf_ip_route_input_common line=2586 msg="find a route: flag=00000000 gw-201.28.18.13 via wan2"
id=20085 trace_id=162 func=fw_forward_handler line=697 msg="Allowed by Policy-27: SNAT"
id=20085 trace_id=162 func=shaper_handler line=830 msg="exceeded shaper limit, drop"

Agradezco su colaboración.
nandoga
Mensajes: 7
Registrado: 10 Nov 2015, 22:42

Re: conexión IP Virtual

Mensaje por nandoga »

Resumiendo, las IP virtuales configuradas en mi Fortigate 200D, las IP publicas me responden desde mi LAN y desde cualquier internet, y las IP virtuales configuradas en mi Fortigate 100D, responden desde internet y no responden desde mi LAN.

Las configuraciones y politicas están iguales
Garsa
Mensajes: 94
Registrado: 01 Ago 2014, 21:37

Re: conexión IP Virtual

Mensaje por Garsa »

Nandoga,

Prodrias añadir tu configuration del VIP y al parecer tienes una política de ruteo también?
Mira en la politica donde tienes aplicado el VIP y asegurate que no tengas NAT enable.

id=20085 trace_id=246 func=fw_pre_route_handler line=182 msg="VIP-192.168.1.32:8081, outdev-unkown"
id=20085 trace_id=246 func=__ip_session_run_tuple line=2810 msg="DNAT 186.214.109.41:8081->192.168.1.32:8081"

Tu debes tener dos politicas..
Externo a InternoVIP (o donde sea que este 192.168.1.32
e Interno a InternoVIP (aqui es donde creo que tienes el VIP + el DNAT activado)

espero te ayude,

Saludos,

Garsa
Responder