Link monitor

Para temas relacionados con el enrutamiento (estatico, basado en politicas, RIP, OSPF,...)
Responder
inforSer
Mensajes: 22
Registrado: 29 May 2018, 09:23

Link monitor

Mensaje por inforSer »

Hola
Si tengo 3 WANS, y quiero que pase de 1 a otra en caso de failover de la salida a internet

tengo que configurar el link monitor en las 3?
o solo en la 1º?

las rutas estáticas ya las tengo configuradas por prioridad
AndresW
Mensajes: 451
Registrado: 09 Jun 2014, 17:05

Re: Link monitor

Mensaje por AndresW »

Hola:

Lo ideal es que en las 3 mantengas un link-monitor, ya que por ejemplo se puede dar el caso de que justo cuando falle la 1, la 2 también podría estar con problemas que no hayas identificado previamente, además que esta igualmente es susceptible a fallar mientras presta servicios y no se gatillaría correctamente el failover hacia la 3. Con esto te aseguras que todas tus WAN están siempre operativas, y las que no, se mantienen fuera de la tabla de enrutamiento hasta su restitución.

Si vas a utilizar el método de ping para determinar el estado de los enlaces, te recomiendo NO usar el típico 8.8.8.8 u 8.8.4.4, puesto que Google aplica rate-limits que podrían generar falsos positivos en algún momento. En su defecto podrías monitorear la IP del next-hop/default gateway de cada ISP, o bien HTTP.


inforSer escribió: 29 Sep 2021, 13:53 Hola
Si tengo 3 WANS, y quiero que pase de 1 a otra en caso de failover de la salida a internet

tengo que configurar el link monitor en las 3?
o solo en la 1º?

las rutas estáticas ya las tengo configuradas por prioridad
Saludos!

_____________________________________________________________

Grupo de Telegram referente a FortiGate --> https://t.me/FortiGate_es
inforSer
Mensajes: 22
Registrado: 29 May 2018, 09:23

Re: Link monitor

Mensaje por inforSer »

Perfecto
he configurado modo ping y he puesto las dns de los ISP, en cada WAN 1 server diferente, osea, 1 destino diferente
gracias!
AndresW
Mensajes: 451
Registrado: 09 Jun 2014, 17:05

Re: Link monitor

Mensaje por AndresW »

Bien. Sin embargo los servidores DNS por lo general, y sobre todo en ambientes de operadores, son protegidos ante diferentes ataques, y en este caso te volvería a sugerir que no hagas el ping hacia este tipo de servicios, por la misma razón que te expliqué en la respuesta anterior. Ahora si quieres mantenerlo no hay ningún problema y funcionará, pero debes tener este antecedente en conocimiento para evitar futuros eventuales dolores de cabeza.
Saludos!

_____________________________________________________________

Grupo de Telegram referente a FortiGate --> https://t.me/FortiGate_es
inforSer
Mensajes: 22
Registrado: 29 May 2018, 09:23

Re: Link monitor

Mensaje por inforSer »

Entonces donde me recomiendas hacer el ping para el link monitor?
ni google, ni dns,..
poco me queda más fiable, no?
AndresW
Mensajes: 451
Registrado: 09 Jun 2014, 17:05

Re: Link monitor

Mensaje por AndresW »

Primero no tienes para qué ser irónico, si vienes a un foro público a preguntar sobre algo en particular es por que no tienes manejo del tema.

Segundo, te dije que puedes utilizar la IP que tú estimes conveniente, sea esta Google o los DNS de tus operadores y el link-monitor funcionará correctamente, sin embargo podrías tener el problema que te comenté al principio. Finalmente la decisión está en ti.

En las respuestas anteriores te he recomendado reiteradamente hacerlo contra los default gateways de cada ISP.
inforSer escribió: 30 Sep 2021, 12:06 Entonces donde me recomiendas hacer el ping para el link monitor?
ni google, ni dns,..
poco me queda más fiable, no?
Última edición por AndresW el 30 Sep 2021, 13:55, editado 1 vez en total.
Saludos!

_____________________________________________________________

Grupo de Telegram referente a FortiGate --> https://t.me/FortiGate_es
inforSer
Mensajes: 22
Registrado: 29 May 2018, 09:23

Re: Link monitor

Mensaje por inforSer »

AndresW escribió: 30 Sep 2021, 13:32 Primero no tienes para qué ser irónico, si vienes a un foro público a preguntar sobre algo en particular es por que no tienes manejo del tema.

Segundo, te dije que puedes utilizar la IP que tú estimes conveniente, sea esta Google o los DNS de tus operadores y el link-monitor funcionará correctamente, sin embargo podrías tener el problema que te comenté al principio. Finalmente la decisión está en ti.

En las respuestas anteriores te he recomendado reiteradamentr hacerlo contra los default gateways de cada ISP.
inforSer escribió: 30 Sep 2021, 12:06 Entonces donde me recomiendas hacer el ping para el link monitor?
ni google, ni dns,..
poco me queda más fiable, no?

En ningún momento quería ser así, siento la respuesta tal como la realicé.

Como puedo saber los gateways de cada ISP?

Gracias.
AndresW
Mensajes: 451
Registrado: 09 Jun 2014, 17:05

Re: Link monitor

Mensaje por AndresW »

¿Entonces cómo configuraste esto?
las rutas estáticas ya las tengo configuradas por prioridad

Ya que para haber seteado las rutas estáticas con prioridad necesitabas las direcciones IP de cada default gateway.
Saludos!

_____________________________________________________________

Grupo de Telegram referente a FortiGate --> https://t.me/FortiGate_es
inforSer
Mensajes: 22
Registrado: 29 May 2018, 09:23

Re: Link monitor

Mensaje por inforSer »

Te refieres a esto?

Imagen

Pero esas Gateway IP es la IP de cada router de esa ISP
si hago el link monitor a ellas, no es un problema?
AndresW
Mensajes: 451
Registrado: 09 Jun 2014, 17:05

Re: Link monitor

Mensaje por AndresW »

Si, las direcciones que definiste en la columna Gateway IP. Sin embargo si estos se tratan de CPE que cada ISP mantiene en tu empresa, en ese caso no tendría mucho sentido puesto que no sería un monitoreo real, pero en cambio si son enlaces L2 no ruteados donde el default gateway se encuentra en las instalaciones del operador, ahí sería útil.

Si este no es el caso, y tienes un router local por cada proveedor, entonces ocupa las IP de los DNS, que aunque en algún momento te sugerí no utilizarlas por las razones ya expuestas, van a ser un target más confiable, aunque susceptibles a eventuales falsos positivos.
Saludos!

_____________________________________________________________

Grupo de Telegram referente a FortiGate --> https://t.me/FortiGate_es
inforSer
Mensajes: 22
Registrado: 29 May 2018, 09:23

Re: Link monitor

Mensaje por inforSer »

Perfecto
eso haré
utilizar las DNS de cada ISP para el link monitor
ya que tengo 1 router de cada ISP en mis instalaciones

Gracias por todo
AndresW
Mensajes: 451
Registrado: 09 Jun 2014, 17:05

Re: Link monitor

Mensaje por AndresW »

Te va a funcionar bien con los DNS, lo de los rate-limits podría darte problemas como también podría no darte, es una ruleta rusa.

Suerte!
Saludos!

_____________________________________________________________

Grupo de Telegram referente a FortiGate --> https://t.me/FortiGate_es
Responder