Perdida Inet Saliente

[Jpalo]

Buenas a todos, como andan? Espero que me puedan ayudar en esta xq la verdad ya me tiene loco y no lo puedo resolver. Voy a intentar explicar lo mas detalladamente todo el escenario junto al problema.

Para empezar, tengo 2 Fortigate 60C con 3 enlaces diferentes:
Fortigate A: 2 enlaces configurados configurados de la sig forma: 1 predeterminado y el otro por politicas de ruteo (esta funcionando de 10, salvo el failover, cdo cae la predeterminada no me sale por la otra... si funciona cuando cae el enlace que sale con las politicas de ruteo...pero bueno, esto es otro problema)
Fortigate B: 1 enlace
Ademas un servidor de DNS interno junto al Active directory.

Ahora mi problema es que me quedo sin salida a internet desde las computadoras locales, tanto las que salen por el Forti A como las del B (solo salida a inet). Desde la consola de los fortigates si tengo salida. Desde las pc, no tira ping a ningun lado, salvo interno y a los forti tmb.
Despues de probar muchas variantes, encontre estas 2 soluciones al problema:
Solucion 1: Cambiar los dns de las pc locales manualmente a por ej: los de google, 8.8.8.8 (retomo salida a inet)
Solucion 2: Reiniciar los 2 Fortigate (si o si los 2, si reinicio solo 1 no se arregla, indiferentemente cual reinicie)

Lo raro es que empezo a hacer esto de un dia para el otro, recientemente actualizamos el firmware de los fortigate a MR2 Parche 8... para arreglar el problema de las CPU (que abri post aca tmb para eso) y esperando que tmb solucione este otro problema.. pero sigue ahi el maldito.

La verdad me confunde las 2 soluciones, ya que reiniciando el forti se me hace que es problema de los forti (estubieron mas de 5 meses usandose con los cpu al 100% por el problema del firmware) y cambiar los dns se me hace a problema en el server de dns.

Desde ya muchas gracias y espero su respuesta xq me tiene loco esto jeje
Saludos.-

[gabyrossi]

hola, como estas?

revisa los ping server en los 2 enlaces para que haga failover. tambien tiene que haber politicas duplicadas por los 2 enlaces.

tema dns:
que dns usas en el fortigate que tiwene 2 enlaces?
las pc cual usan?
que tipo de enlace son? revisa que no hagas override de dns en la interfaces si son adsl o cablemodem.

saludos

[Jpalo]

Grande Gabbyrossi, siempre ayudando. todo bien y vos?

Tema failover: los ping server tengo pingueando los dns google (8.8.8.... peso y spilover en 0 (default). Tema politicas, vi cdo explicabas lo de duplicadas, pero no entendi para que... me parecia de gusto crear una politica por ej para la web, saliendo por el otro enlace ya que solo va a entrar por la ip que esta registrada. Vos decis crear las mismas politicas para los 2 enlaces independientemente de q sean? tanto las de salida como las de entrada? Igual dsp lo pruebo.

Tema dns:
El forti de los 2 enlaces, en la parte de opciones tengo puesto en Servidor primario, dsn del enlace primario y en dns secundario el dsn del enlace secundario (el que sale por politicas de ruteo). Y nombre de dominio local, el dominio nuestro. Pero tenia entendido que esto es para que navegue desde los forti, para el tema de actualizaciones y mi problema es en las pc locales.

En las pc usamos los dns locales que tenemos congigurado junto al servidor de active.

El enlace primario es un dedicado y el secundario cablemodem (junto con el otro enlace del otro forti).

La pregunta seria, xq cdo reinicio los forti me vuelve inet?.. sin cambiar los dns de las maquinas locales...
unas de las locas ideas que se me ocurrieron fue que se bugueen las politicas de los forti (ya no se que probar jajaja)

[gabyrossi]

hola

tema1:
politicas salientes, porque si se te cae una enlace tiene que salir el trafico por el otro...
por eso digo que tienen que estar duplicadas.

tema2:
el dns local entonces tendria que tener dns de los 2 proeveedores.
por casualidad no tenes mensajes de alertas en el status de fortigate? que este entrando en modo conservador?
que firmware tenian antes de hacer la actualizacion del equipo? y en cuanto esta e procesamiento y memoria?

[Jpalo]

tema 1: dejando un all to all no seria suficiente? osea cdo cae el enlace primario, solo caen las vpns y el servidor de mails... puerto 80 y 443 lo saco todo por politicas de ruteo al oro enlace... no le encuentro la logica.

tema 2: recien entre post tuyo y este salto el problema... encontre otra variante, reinicio el fortigate A (los 2 enlaces) y retoman conexion los 2 fortigates (no se xq el A me hace caer al B, lo unico que tienen en comun es el isp - los 2 de cablemodem-)
Tema de estado conservador: el unico evento que tengo guardado en sistema y a la hora que pierdo la conexion:
Fecha Hora Nivel Subtipo Id Accion Mensaje
2011-08-12 14:15:41 information his-performance 40704 perf-stats Performance statistics


Tema de agregar los dns d los isp a las maquinas locales seria de gusto, las locales siempre tubieron los dns del servidor local y siempre andubieron bien. Si mal no recuerdo andubo todo perfecto hasta un domingo que estubo todo el dia caido el enlace primario (el dedicado). Ademas, cambiar los dns por ej al servidor de mails, me va a traer conflictos de autentificacion con los usuarios.

Tema CPU, datos aprox van variando:
Sin salida a inet: CPU: 7% Mem: 32
Con saluda a inet: CPU: 24% Mem:28

Firmware viejo (tenia el mismo problema): v4.0,build5272,100625 (MR1).
Firmware nuevo (sigo con el problema jeje): v4.0 mr2 parche 8

[gabyrossi]

hola..
no me entendes.

tema1: por mas que haces rutas y politicas de ruteo si no tenes politicas de firewall para dejar pasar el tradico no vas a navegar.

tema2: nadie dijo de cambair los dns en las pc.
lo que digo es que TU DNS privadotengas como formwarder los 2 dns de los enlaces que tenes.

sigo insisitiendo que es un tema de dns.

saludos

[Jpalo]

Buenas gaby, disculpa que te deje asi plantado/a (no se si sos gabriel o gabriela).
Tema de los dns ya lo solucione... llame a Telmex (ahora Claro) le comente todo el problema y me pasaron otro con los que ahora funciona de 10 ( a pesar de que les dije que despues de un domingo que estubo todo el dia caido empezo con todo estos problemas, "supuestamente" no cambiaron nada... pero bueno, ya esta solucionado).
PD: Por dentro los putie mucho, un poco a mi mismo tmb xq resulto ser una boludez.

Tema del failover todavia no lo puedo hacer funcionar, la verdad no le encuentro la logica al espejado de politicas en el escenario que tengo yo (de todas formas lo hice pero sigue sin funcionar).
Te la describo:
Como principal, tengo el enlace de telmex
Secundario, Fibertel

Yo deribo todo el trafico saliente por puerto 80 y 443 (tcp/udp) de telmex por politicas de ruteo a fibertel. Por ende, todas las politicas para permitir el trafico saliente ya estan (sino no estaria navegando en este momento). Cuando cae fibertel, si hace el failover hacia telmex y navego saliendo por ahi. El tema es que cuando cae Telmex, no hace el failover y pierdo la conexion (siendo que las politicas permitiendo la navegacion por fibertel ya estan).

Los gateway los tengo asi:
Telmex (primario): distancia 10 prioridad 1
Fiber (secundario): distancia 10 prioridad 5


Como prueba, inverti las prioridades (estando telmex caido) y logicamente retomo conexion. Seguramente debe ser otra boludez como lo de los dns, pero no m puedo dar cuenta esta vez.

Salute y gracias x la buena onda.

[gabyrossi]

hola,
Buenisimo que lo pudieron resolver, siempre insisti que era problemas de dns. je

como estas? configuraste ping servers en las interfaces wan???

slaudos

[Jpalo]

Buenas
jaja si es verdad.. tenia toda la pinta de que eran los dns (ademas que poniendo los de google funcionaba de 10). Lastima que recien ayer me pasaron los nuevos ¬¬. En fin, tema resuelto.

Sisi tengo puesto el ping server en las 2 interfaces de la siguiente manera:
Tildada la opcion: Detectar Estado de Interfaz para Balanceo de Salidas a Internet
Detectar Servidor: 8.8.8.8
Protocolo: "tildada opcion ping"

En la parte Opciones tengo puesto (por default)
Detección de Gateway Muerto:
Intervalo de detección : 5 (segundos)
Detección de Fail-over: 5 (pings consecutivos perdidos)

Es mas, cuando cae telmex (enlace primario) en el log de evento me sale que el ping server se cae y levanta al rato.

[gabyrossi]

hola, en las policy routes no pongas puerta de enlace.

dejale 0.0.0.0

saludos

[Jpalo]

Sisi, asi lo tengo puesto.
Aca te pongo un ej de como las tengo hechas (4 policy, para puertos 80 y 443 tcp/udp)

Protocolo: 6
Interfaz Entrante : Internal (la lan)
Dirección Origen / máscara de red: 192.168.0.0/255.255.255.0 (porque quiero que todos usen esta politica)
Dirección Destino / máscara de red: 0.0.0.0/0.0.0.0
Puertos Destino: Desde 80 hasta 80
ipo de Servicio patrón de bit: 00 (hex) máscara de bit: 00 (hex) (por default)

Forzar la salida del trafico por:
Interfaz Saliente: interfase de Fibertel (enlace secundario)
Dirección de Gateway: 0.0.0.0

Las arme segun me parecio, dsp lei una guia y creo haberlas hecho bien (ademas que estan funcionando).

Con el enlace principal caido, intente usando los dns de google para ver si era tema de los de fiber... pero nada

[gabyrossi]

hola, esto que es?

Forzar la salida del trafico por:
Interfaz Saliente: interfase de Fibertel (enlace secundario)
Dirección de Gateway: 0.0.0.0


no necesiats forzar nada.... ya con la ruta estatica o la interface tomando dhcp y gw el que tena la prioridad mas bajo sera el default. solo tendras policy por la secunbdaria.

cual seria el problema entonces?

[Jpalo]

Cuando arme las politicas de ruteo las hice como te describi en el post anterior.
La logica que segui fue: por el protocolo 6, todo el trafico saliente que venga por la red interna y sea por puerto 80, lo voy a forzar salir por la interfaz secundaria (osea la de fiber, donde la gateway la dejo en 0.0.0.0 para poder hacer el fail over).

Por eso la parte de forzar salida en las policy routes
Forzar la salida del trafico por:
Interfaz Saliente: interfase de Fibertel (enlace secundario)
Dirección de Gateway: 0.0.0.0

El problema es que cuando se cae el enlace primario, no navego por el secundario. Mientras que el enlace primario esta up, las politicas de ruteo si se aplican y navego por el secundario.

[gabyrossi]

hola y estaras navegando por fibertel?
podrias mostrar las interfaces, distancia, prioridad. rutas y policy routes?
No muestres las ip publicas.

slaudos

[Jpalo]

Con el enlace primario up si navego por el secundario, lo se xq me fijo en [Debes identificarte para poder ver enlaces.] y efectivamente es la ip del enlace scundario.

gateway primaria

gateway secundaria

Interfaz Interna

Interfaz Primaria

Interfaz Secundaria

Pliticas Ruteo 80

Politicas Ruteo 80