WAN LLB. Problema de caducidad de sesiones web

Para temas relacionados con el enrutamiento (estatico, basado en politicas, RIP, OSPF,...)
Responder
barbaman
Mensajes: 5
Registrado: 02 Sep 2017, 11:28

WAN LLB. Problema de caducidad de sesiones web

Mensaje por barbaman »

Hola, soy novato en la administración del Fortigate. En concreto tengo un 90D con firmware 5.4.5.

He configurado muchos servicios y el forti funciona en general muy bien, pero se me está dando el caso de que algunos PCs cliente tienen problemas con sesiones web en páginas de bancos (y otras). Básicamente acceden a banca electrónica y aleatoriamente les sucede que su sesión caduca y deben volver a identificarse. Esto les sucede incluso navegando por las páginas, es decir que la sesión no debería caducar por tiempo. Usamos inspección SSL de tipo "certificate-inspection"; también tenemos el certificado del Fortigate instalado en los navegadores.

Mi sospecha es la siguiente: estamos usando 2 WAN con carga balanceada y funciona muy bien pero, ¿es posible que en mitad de una sesión web bancaria el tráfico pase de una WAN a otra y el servidor externo cierre la sesión por seguridad? Hoy mismo he creado algunas Reglas LLB indicando que la dirección del banco X salga por WAN1 (por ejemplo) y parece que funciona bien (el tiempo lo dirá).

Sin embargo tengo algunas dudas:
- ¿no se pueden usar comodines en la dirección del banco? por lo visto solo puedo poner Reglas con direcciones FQDN y no Wildcard FQDN, lo que facilitaría mucho el trabajo ya que muchas páginas cargan contenido de varios dominios, por ejemplo "bancoprueba.es", "static.bancoprueba.es", etc.. lo suyo sería poner una regla con comodín "*.bancoprueba.es". Pero bueno, eso en principio tampoco me importa demasiado.
- Por otro lado, si un usuario inicia una sesión http por WAN1, por ejemplo, ¿se puede configurar que siga saliendo por ese enlace durante un tiempo determinado? Por ejemplo, que los próximos 10 minutos no haya cambios en la salida a Internet.. quizás esto no tenga mucho sentido.

¡Gracias por vuestro tiempo!
Víctor.
Golfonauta
Mensajes: 6
Registrado: 09 Jul 2015, 15:58

Re: WAN LLB. Problema de caducidad de sesiones web

Mensaje por Golfonauta »

Yo tambien acabo de activar wan llb con 2 isp distintos y estoy interesado en el tema. Siento no poder ayudarte en esto ahora, he leido que se pueden crear reglas para que toda una vlan interna salga por solo uno de los isp por ejemplo, pero todavia no he probado nada.
barbaman
Mensajes: 5
Registrado: 02 Sep 2017, 11:28

Re: WAN LLB. Problema de caducidad de sesiones web

Mensaje por barbaman »

Hola de nuevo, escribo para informaros que desde que habilité las reglas LLB para que las peticiones a algunos dominios salgan por una determinada WAN (p.e. bancoprueba.es -> por WAN1) estoy recibiendo menos incidencias de los usuarios en lo que respecta a la caducidad de sesiones web. Por lo tanto parece que es una solución válida; claro que solo han pasado un par de días desde que lo habilité, ya veremos si es definitivo.
Un saludo!
Responder