200B en HA

Para temas sobre nuevas y futuras caracteristicas, o caracteristicas nuevas que os gustaría que se incluyeran en un futuro.
Avatar de Usuario
Mvasquez
Mensajes: 155
Registrado: 26 May 2010, 20:00

200B en HA

Mensaje por Mvasquez » 24 Abr 2014, 22:38

Hola, buen día.
tengo mis dudas sobre dejar en HA 2 equipo Fortigate 200B v5.0 (GA Patch 7)

Activo - Activo
Activo - Pasivo

Mi layer 3, cuenta con ruteo hacia la IP de Forti, pero debo dejar 2 bocas del layer 3, para la misma puerta del forti?
luego, para los router, que cuento con 3, deben tener la interface 11 de los 2 forti en cada router?


para dejar en HA, claramente debo seleccionar 2 puertos de cada firewall, es necesario dejar con DHCP entre lazados o IP fijas en recomendaciones? en las mejores prácticas?

la pass de HA debe tener alguna longitud y complejidad adicional?
Versión de firmware 200B v5.0 (GA Patch 7)

Avatar de Usuario
gabyrossi
Mensajes: 10756
Registrado: 30 Oct 2007, 19:47

Re: 200B en HA

Mensaje por gabyrossi » 25 Abr 2014, 03:23

Hola, cada firewall tendra la misma config. la misma ip en cada interface y pbviamente tendra las conexiones duplicadas hacia los switches /router que tengan conectados.

las interfaces no pueden ser ni ppoe ni dchp. tienen que ser ip fijas.

2 interfaces para heratbeat conectadas unas a otras.

la pass no menor a 6 caracteres.


revisa la doc.del ha

docs.fortinet.com

saludos
NSE 5 - 6.0 - Fortinet - Network Security Analyst
FCNSP - FCNSA -

Avatar de Usuario
Mvasquez
Mensajes: 155
Registrado: 26 May 2010, 20:00

Re: 200B en HA

Mensaje por Mvasquez » 28 Abr 2014, 18:34

Hola Gaby, me queda más claro.

Que modo me recomiendas?
activo a activo o pasivo?
Versión de firmware 200B v5.0 (GA Patch 7)

Avatar de Usuario
gabyrossi
Mensajes: 10756
Registrado: 30 Oct 2007, 19:47

Re: 200B en HA

Mensaje por gabyrossi » 28 Abr 2014, 19:21

hola si el 200b de procemiento esta bien. holgado.. ponelo en activo-pasivo.
saludos.
NSE 5 - 6.0 - Fortinet - Network Security Analyst
FCNSP - FCNSA -

Avatar de Usuario
Mvasquez
Mensajes: 155
Registrado: 26 May 2010, 20:00

Re: 200B en HA

Mensaje por Mvasquez » 23 May 2014, 19:49

Hola!
bueno ya tengo los 2 equipos conectados y configurados.

para poder conectar al segundo equipo. le cambia la IP de acceso a mi red para poder conectarme. pero al momento de configurar la HA en el segundo host.

este queda siempre como Standar Alone,

tengo 2 interface conectados a cada equipo PORT5 y PORT6, con IP fijas.

Interface 5
172.1.1.5/255.255.255.0 host1
172.1.1.50/255.255.255.0 host2

Interface 6
173.1.1.6/255.255.255.0 host1
173.1.1.60/255.255.255.0 host2


Pero no puedo cambiar el estado del HA en el segundo equipo
Versión de firmware 200B v5.0 (GA Patch 7)

Avatar de Usuario
Mvasquez
Mensajes: 155
Registrado: 26 May 2010, 20:00

Re: 200B en HA

Mensaje por Mvasquez » 23 May 2014, 19:51

tendré que generar una Politica para las interfaces? :?
Versión de firmware 200B v5.0 (GA Patch 7)

Avatar de Usuario
Mvasquez
Mensajes: 155
Registrado: 26 May 2010, 20:00

Re: 200B en HA

Mensaje por Mvasquez » 23 May 2014, 20:27

Me salta otra duda.

cuento con 3 enlaces, los cuales estan normalmente funcionando. con detección de caidas en todos, politicas por interface más FSAE,
la idea de montar el HA, es que si falla el fornti, el otro funcione sin desconectar nada.

entonces la mejor función seria en ACTIVO - ACTIVO ?
ya que encontre una info, acá en el foro que tendría que desconectar y conectar los cables en el segundo firewall. en modo ACTIVO - PASIVO?
Versión de firmware 200B v5.0 (GA Patch 7)

Avatar de Usuario
gabyrossi
Mensajes: 10756
Registrado: 30 Oct 2007, 19:47

Re: 200B en HA

Mensaje por gabyrossi » 23 May 2014, 20:38

hola, lo mas facil es hacer la config del ha en uno
hacer backup, editar el backup modificarle el nombre de host y la prioridad del hay
y restaurar la config en el 2do.

y listo.

obviamente teniendo cableado los heartbet y ninguna interface en dhcp ni ppoe.

saludos.
NSE 5 - 6.0 - Fortinet - Network Security Analyst
FCNSP - FCNSA -

Avatar de Usuario
Mvasquez
Mensajes: 155
Registrado: 26 May 2010, 20:00

Re: 200B en HA

Mensaje por Mvasquez » 26 May 2014, 18:28

gabyrossi escribió:hola, lo mas facil es hacer la config del ha en uno
hacer backup, editar el backup modificarle el nombre de host y la prioridad del hay
y restaurar la config en el 2do.

y listo.

obviamente teniendo cableado los heartbet y ninguna interface en dhcp ni ppoe.

saludos.

Hola Gaby
Bueno efectivamente genere esto, tardo como 30 min en levantar el segundo firewall, pero no me muestra en el HA el segundo host.

Configure, cargue la config en el segundo host. cambie el nombre de host

Código: Seleccionar todo

FWHA1 # config system global

FWHA1 (global) # set hostname “FWHA2”



Si en Prioridad de Dispositivo del segundo host lo deje en 150.
No tiene los permisos requeridos para ver los archivos adjuntos a este mensaje.
Versión de firmware 200B v5.0 (GA Patch 7)

Avatar de Usuario
gabyrossi
Mensajes: 10756
Registrado: 30 Oct 2007, 19:47

Re: 200B en HA

Mensaje por gabyrossi » 27 May 2014, 03:12

tenes cableado los hearbeat???

ninguna interface esta en modo dhcp ni ppoe?

saludos
NSE 5 - 6.0 - Fortinet - Network Security Analyst
FCNSP - FCNSA -

Avatar de Usuario
Mvasquez
Mensajes: 155
Registrado: 26 May 2010, 20:00

Re: 200B en HA

Mensaje por Mvasquez » 27 May 2014, 16:42

Estan todas en manual.
Tengo la interface 5 y 6

Interface 5
172.1.1.5/255.255.255.0

Interface 6
173.1.1.6/255.255.255.0
Última edición por Mvasquez el 27 May 2014, 16:47, editado 1 vez en total.
Versión de firmware 200B v5.0 (GA Patch 7)

Avatar de Usuario
Mvasquez
Mensajes: 155
Registrado: 26 May 2010, 20:00

Re: 200B en HA

Mensaje por Mvasquez » 27 May 2014, 16:45

Imagen
No tiene los permisos requeridos para ver los archivos adjuntos a este mensaje.
Versión de firmware 200B v5.0 (GA Patch 7)

Avatar de Usuario
gabyrossi
Mensajes: 10756
Registrado: 30 Oct 2007, 19:47

Re: 200B en HA

Mensaje por gabyrossi » 27 May 2014, 18:55

Hola, si haces get system ha status

que muestra?

es el unico ha de fortigate que tenes en la red?

saludos
NSE 5 - 6.0 - Fortinet - Network Security Analyst
FCNSP - FCNSA -

Avatar de Usuario
Mvasquez
Mensajes: 155
Registrado: 26 May 2010, 20:00

Re: 200B en HA

Mensaje por Mvasquez » 27 May 2014, 19:25

Ahi va!

Código: Seleccionar todo

FWHA1 # get system status 

 <Enter>

 

FWHA1 # get system status

Version: FortiGate-200B v5.0,build3608,140410 (GA Patch 7)

Virus-DB: 22.00236(2014-05-27 05:09)

Extended DB: 1.00000(2012-10-17 15:46)

IPS-DB: 4.00500(2014-05-26 23:45)

IPS-ETDB: 0.00000(2001-01-01 00:00)

Serial-Number: FG200B....

Botnet DB: 1.00558(2014-05-26 10:31)

BIOS version: 04000006

Log hard disk: Need format

Internal Switch mode: interface

Hostname: FWHA1

Operation Mode: NAT

Current virtual domain: root

Max number of virtual domains: 10

Virtual domains status: 1 in NAT mode, 0 in TP mode

Virtual domain configuration: disable

FIPS-CC mode: disable

Current HA mode: a-p, master

Branch point: 271

Release Version Information: GA Patch 7

System time: Tue May 27 13:23:49 2014
Versión de firmware 200B v5.0 (GA Patch 7)

Avatar de Usuario
Mvasquez
Mensajes: 155
Registrado: 26 May 2010, 20:00

Re: 200B en HA

Mensaje por Mvasquez » 27 May 2014, 19:28

Código: Seleccionar todo

FWHA1 # show system ha 

config system ha

    set group-name "My-Cluster"

    set mode a-p

    set password ENC XoiFJfejmof0rX0ORYrIGuQBKSB+zFaT10dmrYFqrE2x6SqjoIkZVvC

    set hbdev "port5" 50 "port6" 50

    set override disable

end

FWHA1 #
Versión de firmware 200B v5.0 (GA Patch 7)

Responder