Ayuda con backup de internet

[20deoctubre]

La verdad que antes de preguntar esto directamente he buscado muchisimo en el foro y en la kb de fortinet pero se que algo que estoy haciendo mal por lo que esta vez me voy a atrever a preguntarlo directamente =((...

No me funciona la configuración para que poder tener un backup de internet exitoso, comento mi configuración a continuación:

Necesito hacer un backup en las dos wan de un fortigate 50b (V4 MR3) y tener una PC que siempre este saliendo por la WAN 2.

Siguiendo el link [Debes identificarte para poder ver enlaces.], Me di cuenta que necesito seguir tres pasos:

a) Routing. Se menciona que se necesita tener una default route por cada interfaz, pero en el siguiente link
viewtopic.php?f=10&t=491&hilit=dual
se menciona que si tienes ISP que te entrgan la IP publica por DHCP client o ADSL (en mi caso PPPoE) no se necesita crear una ruta estática por loq ue me brinque este paso. O me estoy equivocando aquí? La única ruta estática que tengo creada en este punto es para forzar a una computadora a que siempre se vaya por la WAN 2.
En este punto también se menciona lo de las distancias de las interfaces WAN, la wan 1 tiene distancia 5 y la wan 2 tiene distancia 10, cabe mencionar que esto lo modifique directamente en la ruta System/network/interface.

b) Determining whether link is down (ping servers).
Esto lo realice en la parte de settings de la pestaña de router, ahí agregue un ping server para cada interfaz, esta esto mal? y lo apunte a la direccion 8.8.8.8

c) Firewall policies
Tengo una politica de from internal all to wan X all para cada una de las dos interfaces wan de mi FortiGate.

De verdad les juro que sí he leído el foro y los links que ponen en el foro (por eso les pongo los links para que vean que no les estoy mintiendo) pero se que tengo un detalle por ahí, ojala alguien lo pueda detectar y ayudarme con el.

Saludos...

[20deoctubre]

Me acabo de dar cuenta que mi escenario no es el 1 sino el 3. Por lo que comento unas correcciones haber que piensan.

Las rutas estáticas siguen vacías al ser mis dos proovedores de IP dinámica, uno es PPPoE y el otro es DHCP. Lo único importante a notar aquí es que tildé la opción de retrieve gateway.

En cuanto a las policies routes. Según lo que entiendo necesito dos de estas, una para un servidor que necesito siempre saliendo por WAN 2 y otra como default (esto según el documento "Configuring Dual Internet Links (Design Considerations) de la knowledge base de fortinet.

Para el default route se comenta en el mismo documento que mencioné arriba, que se recomienda solamente elegir la interface de salida preferida (en mi caso WAN 1) y dejar el gateway en blanco (por ahí en el foro leí que tmb. puede ser 0.0.0.0 la vdd no he tenido oportunidad de probarlo).

En la ruta que necesito para que un servidor en específico siempre salga por la WAN 2 especifique su dirección ip con una mascara 255.255.255.255 (es esto correcto) y en el campo de gateway coloqué el gateway que me muestra la ruta Network/Interface/WAN 2/aquired gateway. Es esto correcto ?

Otro comentario, en todos los posts del foro que he leído (inclusive tmb. en el documento oficial de fortinet que menciono arriba), que los ping servers se encuentran en la ruta Network/Interface sin embargo en el FortiGate de mi cliente no los encontré, pero pude ver la opción de ping server en la ruta Router/Settings (si mal no recuerdo), es este el ping server que necesito para hacer mi backup de internet o se trata de otra cosa ?

[gabyrossi]

hola, volvamos ce cero.....

mostrame ruta estatica -> distancia y prioridad.
y la interface ppoe -> distancia y prioridad

luego las policy routes que hiciste y las firewall policy

saludos

[20deoctubre]

Te adjunto tondo lo que me pides...
Rutas estáticas no tengo por uno de mis ISPs es DHCP y el otro es PPPoE... Leí en un documento de fortinet que con marcar la opción de retrieve gateway se generan automáticamente...

Toda la información que me pides la adjunto en el dibujo en paint que realicé. También en el último dibujo te muestro la ruta que seguí para habilitar los ping servers y la manera en que quedaron configurados por si a caso pudiera estar ahí mi error.

[20deoctubre]

Te adjunto tondo lo que me pides...
Rutas estáticas no tengo por uno de mis ISPs es DHCP y el otro es PPPoE... Leí en un documento de fortinet que con marcar la opción de retrieve gateway se generan automáticamente...

Toda la información que me pides la adjunto en el dibujo en paint que realicé. También en el último dibujo te muestro la ruta que seguí para habilitar los ping servers y la manera en que quedaron configurados por si a caso pudiera estar ahí mi error.

Gracias por tu tiempo

[gabyrossi]

hola, como estas? tendras solo policy routes por la wan2.
no necesitas policy routes por wan1, ya que con la policy id 3 estas volviendo a forzar todo el trafico por wan1. Pero wan1 es tu defualt por tener priority 1.
si borras esa policy (id 3) deberia funcionar.

asegurate que las 2 wan esta ok.
podes desenchufar una y seguir navegando, volver a conectarla y luego sacar la otra y seguir navegando.

saludos

[20deoctubre]

wuuu eso quiere decir que tenía casi todo bien nada mas borro la policy route de la wan 1 y prueba ahora mismo...
al fin pude conseguir un equipo prestado para hacer las pruebas en mi oficina

ya lo checo y otra vez gracias por tu tiempo posteo resultados mas al rato

[20deoctubre]

Te comento que hice las pruebas pero siguio sin funcionarme.

Solo por probar quite todas las policy routes y deja únicamente la que forza al 10.0.0.2 a salir por WAN 2. También quite el ping server de la WAN 2 y todo me funcionó como debe de ser. Es decir conectadas las dos WAN desconecto el puerto RJ11 del modem de TELMEX y acto seguido los equipos comienzan a salir por la WAN 2. El equipo con el qe hice la prueba es un fortiwifi y el equipo que tengo con mi cliente es un fortighate ambos 50b, crees que haya alguna diferencia en las pruebas que hice con ambos ? Y que dices al respecto no te suena raro que me este funcionando todo sin tener ninguna policy route referente a las wan ?

Saludos de nuevo

[20deoctubre]

Me acabo de dar cuenta de otra cosa.

Como comentario con esta prueba mis dos ISPs son el mismo carrier (telmex) por lo que los dos me entregan el mismo gateway, por lo que la policy route para la wan 2 (es decir la que tieen menos prioridad) no funcionó así como tampoco me funcionó el forzar siempre la dirección IP 10.0.0.2 por la wan 2, ya que al caerse WAN 2 toma la WAN 1.

Pero ya me funcionó lo del backup, espero que con esta configuración pueda ir a sitio para hacer las pruebas finales...

Otra vez muchisimas gracias por tu tiempo, me gustaría escuchar un comentario tuyo al respecto de que no estoy utilizando policy routes para quedarme mas tranquilo con este detalle... o pues buscarle hasta que funcione utilizando policy routes....

Gracias por tu tiempo...

[gabyrossi]

hola, la verdad que me perdi un poco...
nose que quedo configurado que anda y que no..
perdon pero me perdi...

[20deoctubre]

Lo que pasa es que quite la poltiica de la wan 1 como me dijiste pero el sistema en automatico comenzó a salir por la wan 2 como default (es decir salia por la wan 2 aun cuando la wan 1 estaba en servicio)...

Quite la política de la wan 2 también (es decir en las politicas de ruteo solo quedo la política de ruteo que hace referencia a que un servidor se force a salir siempre por la wan 2)...

Sin embargo el problema es que cuando la wan 1 se cae y despues de un tiempo vuelve, el sistema no vuelve a tomar la wan 1 como salida. Para que el sistema tome la ip de la wan 1 tengo que dar de baja manualmente la wan 2 para que forzosamente toma le ip de la wan 1.

Es como si el sistema no me estuviera haciendo caso a las distancias y prioridades que estoy manejando. Wan 1 prioridad 1 wan 2 prioridad 3 la misma distancia de 10 para ambas...

[gabyrossi]

hola, creo que no terminas de enter como funcionan la 2 wan y las poluicy route,
si haces una policy route por wan2 esta forzando todo para sacarlo porla wan2

vamos de nuevo

2 wan.... las 2 con distancia 10 y wan1 con prioridad 1 y la otra con prioridad 3...

si no haces policy route (ninguna policy ropute)
TOOOOODO sale por la wan1.
si queres que algunas ip salgan por wan 2 haces policy routes de las ip /mascara sacandolas por wan2

hasta ahi vamos?
eso no era lo que vos querias?

[20deoctubre]

Ya ya ya osea que las policy route no tienen nada que ver con el backup de internet ? Es que en alguna parte del documento de fortinet ese que se llama algo así como design considerations, decía que sen ecesitaba una policy route para identificar cual es la interfaz preferida para salir a internet...

y eso me estaba confundiendo, efectivamente ahortia tengo configurado una sola politica de ruteo que es para forzar una pc a salir por la wan 2 todo el tiempo independientemente de que se caiga la wan 2.

Bueno el caso es que el sistema automaticamente sale por la wan 2 en vez de la wan 1, tengo prioridad 1 en la wan 1 y 3 en la wan 2 misma distancia de 10...

Que buenoq ue me aclaras el punto de las politicas de ruteo por que me estaba volviendo loco aqui en el laboratorio haciendo prueba con las politicas de ruteo...

[20deoctubre]

gabyrossi ya me funciona todo a la perfección. Pero tengo una duda ya para cerrar el tema.

Solo por curiosidad he estado haciendo pruebas bajo dos escenarios.
Tengo una policy route para que una computadora siempre salga por la misma ruta (por la wan 2, en realidad esta no me ha funcionado del todo bien pero sospecho por que el gateway que pongo en la policy route es el mismo para ambas interfaces por que los dos modems con los que cuento son del mismo ISP = TELMEX, pero bueno ese no es el problema principal)...

1 configuracion. Wan 1 prioridad = 1, wan 2 prioridad = 3, distancia = 10 en ambas interfaces. Resultado, todo lo del backup del internet funciona correctamente.

2 configuracion. Wan 1 distancia = 5, wan 2 distancia = 10, prioridad = 10 en ambas interfaces. Resultado, todo lo del backup del internet funciona correctamente.

Como puedes ver he estado jugando toda la tarde con las prioridades y las distancias de las wan, y obtuve resultados satisfactorios para los dos escenarios, podras notar rapidamente qque soy un novato con fortigate pero pues de vdd le ando echando ganas a esto. Quisiera preguntarte con que configuracion me quedo y cual es la diferencia entre prioridad y distancia ??? ya con esto juro que te dejo en paz por lo menos por el dia de hoy jeje...

De nuevo gracias por valioso tiempo... Espero tu respuesta para tomar una desicion con que configuracion quedarme en sitio con mi cliente...

Saludos desde Mexico

[gabyrossi]

holam en el caso que tengan diferente distancias solo estara "viva" o accedible o usable la de menor distancia
osea
wan1 distancia 5
wan2 distancia 10
solo podras usar, salir a navegar o entrar desde afuera por la wan1.
la wan2 solo estara como failover. cayendose la wan1(teniendo pinga server en la interface) saldra todo por wan2 si se cae wan1.

la prioridad juega cuando la distancia de las rutas es la misma y el destino tambien.

saludos