Fallo con webs aparentemente por routing asimétrico

Para temas relacionados con el enrutamiento (estatico, basado en politicas, RIP, OSPF,...)
Responder
Virutas
Mensajes: 3
Registrado: 04 Feb 2022, 10:42

Fallo con webs aparentemente por routing asimétrico

Mensaje por Virutas »

Hola,

Soy nuevo por el foro y tengo una consulta que haceros. Tenemos un Forti (6.4.4) configurado con SDWAN y dos salidas a internet de diferentes operadores. El caso es que algunas webs (sobre todo de administraciones públicas) dan problemas/error al enviar formularios o continuar sesiones y todo apunta a que es un tema de routing asimétrico puesto que, si añadimos una SDWAN Rule para esa URL saliendo únicamente por una de las WAN/FTTH no falla, pero si volvemos a dejar la regla normal con balanceo entre las dos WANs eso vuelve a fallar.

En system settings sólo tenemos esto:

Código: Seleccionar todo

config system settings
    set gui-dns-database enable
end
La duda que tengo es si habría que activar "auxiliary-session" (que se supone que si está disabled el tráfico volvería por la interfaz original por la que se hizo la petición porque no comprueba las SDWAN Rules) o "asymroute" (aunque esto he leido que afecta al antivirus y al IPS).

De forma provisional estamos usando las SDWAN Rules para esos destinos con sólo 1 WAN asignada, pero claro, si esa salida se cae se quedan sin acceder a esas URLs.

¿Alguna sugerencia?

Gracias!
AndresW
Mensajes: 451
Registrado: 09 Jun 2014, 17:05

Re: Fallo con webs aparentemente por routing asimétrico

Mensaje por AndresW »

Hola,

Primero que todo. ¿Qué protocolo estás utilizando para el SD-WAN?.

De todas formas te sugiero habilitar en cada interfaz WAN partícipe del SD-WAN una feature denomindada preserve-session-route, la que te permitirá enrutar los paquetes a través de la misma interfaz por los que estos llegan independiente del default gateway. Probablemente esto solucione tu problema.
Saludos!

_____________________________________________________________

Grupo de Telegram referente a FortiGate --> https://t.me/FortiGate_es
Virutas
Mensajes: 3
Registrado: 04 Feb 2022, 10:42

Re: Fallo con webs aparentemente por routing asimétrico

Mensaje por Virutas »

AndresW escribió: 04 Feb 2022, 19:30 Hola,

Primero que todo. ¿Qué protocolo estás utilizando para el SD-WAN?.

De todas formas te sugiero habilitar en cada interfaz WAN partícipe del SD-WAN una feature denomindada preserve-session-route, la que te permitirá enrutar los paquetes a través de la misma interfaz por los que estos llegan independiente del default gateway. Probablemente esto solucione tu problema.
Hola,

En la Performance SLA está configurado PING como protocolo, con destino 8.8.8.8 y 8.8.4.4.

Probaré lo que comentas, gracias.

Un saludo
Virutas
Mensajes: 3
Registrado: 04 Feb 2022, 10:42

Re: Fallo con webs aparentemente por routing asimétrico

Mensaje por Virutas »

Hola de nuevo,

Configuré el parámetro que indicabas y deshabilité las SDWAN Rules que forzaban a utilizar una única salida según la URL especificada, pero el problema apareció de nuevo. He quitado ese parámetro y habilitado de nuevo las reglas para que puedan funcionar correctamente esas URLs.

Un saludo
Responder