Buenos días,
He estado intentando mirar una solución en este foro a mi problema, pero no veo nada que se acerque a lo que quiero. Les comento como tengo configurado el fortigate y que es lo que quiero hacer por si podéis ayudarme. (Fortigate 310B 4.0 (MR3 Patch 5) )
Tengo dos salidas hacia internet por diferentes proveedores, y las dos están conectadas al mismo puerto físico de mi fortigate por trunk. La VLAN 80 es la salida principal y quiero que la VLAN 81 sea la de BACKUP, para eso he creado dos rutas estáticas con la misma AD pero dando menos prioridad a la que quiero que salga hacia la VLAN 80. Las dos rutas se instalan en la tabla de enrutamiento y todo el tráfico sale por la VLAN 80. Hasta ahí todo correcto
El problema viene cuando simulo la caída del operador (que no de la interfaz física)... el fortigate no se entera de la perdida de conexión con el operador, ya que no es la IP siguiente salto ni la propia del Fortigate y todo el tráfico sigue intentando salir por la VLAN 80, por lo que no hay salida a internet.
He visto que se puede configurar PING Server en la interfaz, pero no vemos esa opción ni en la GUI ni por CLI. En cambio hemos visto que en routing-->setting hay una opción de dead gateway. Cuando lo configuramos para que haga PING a la IP del proveedor (o cualquier otra IP de Internet) en la VLAN 80, la ruta estática se borra de la tabla de enrutamiento y todo sale por la VLAN 81. No comprendo este comportamiento ya que debería de borrarse de la tabla cuando el ping no respondiese.
¿Alguien tiene alguna idea de como podemos solventar este problema?
Muchas gracias,
-P
Backup Enlaces WAN
Re: Backup Enlaces WAN
hola, si con eso deberias resolver el problema.
las 2 rutas tienen la misma distancia?
sila ruta se borra quiere decir que no esta llegan a la ip que pones y por eso pasa a la otra interface.
saludos
las 2 rutas tienen la misma distancia?
sila ruta se borra quiere decir que no esta llegan a la ip que pones y por eso pasa a la otra interface.
saludos
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
Re: Backup Enlaces WAN
En teoria si esta todo bien configurado como nos comentas deberia funcionar.
Pregunta: ¿Por que estas conectando los 2 enlaces de internet en un solo puerto del fortigate por trunk?
¿No tenes mas puertos disponibles o que?
Me parece muy ventajoso poder tener un enlace en cada puerto y hacer el ruteo y balanceo como se hace siempre, configurando los ping server y todo.
Pregunta: ¿Por que estas conectando los 2 enlaces de internet en un solo puerto del fortigate por trunk?
¿No tenes mas puertos disponibles o que?
Me parece muy ventajoso poder tener un enlace en cada puerto y hacer el ruteo y balanceo como se hace siempre, configurando los ping server y todo.
Re: Backup Enlaces WAN
Muchas gracias por sus repuestas,
Creo haber adivinado el problema pero no se como solucionarlo. La interfaz VLAN 80 debería de natear los paquetes hacia Internet, cuando hago el ping server este sale sin natear (con la IP Privada de la interfaz), por lo que nunca vuelve y por eso me elimina la ruta. Hay alguna forma para decirle al ping server del fortigate que se natee con la IP pública que quiero???
Saludos
Creo haber adivinado el problema pero no se como solucionarlo. La interfaz VLAN 80 debería de natear los paquetes hacia Internet, cuando hago el ping server este sale sin natear (con la IP Privada de la interfaz), por lo que nunca vuelve y por eso me elimina la ruta. Hay alguna forma para decirle al ping server del fortigate que se natee con la IP pública que quiero???
Saludos
Re: Backup Enlaces WAN
hola, sarietti hice preguntas interesantes, podrias contarnos?
saludos
saludos
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
Re: Backup Enlaces WAN
Ya está localizado el problema y solucionado.
El problema está en que esa pata está configurada con una IP privada y los paquetes que salen por esa interfaz se NATEAN. Entonces cuando se lanza el ping para comprobar un servidor desde el fortigate sale sin natear y no llega nunca.
La solución fue crear una interfaz de loopback con un rango de la ip pública de nateo y ya funciona todo
Saludos y gracias
El problema está en que esa pata está configurada con una IP privada y los paquetes que salen por esa interfaz se NATEAN. Entonces cuando se lanza el ping para comprobar un servidor desde el fortigate sale sin natear y no llega nunca.
La solución fue crear una interfaz de loopback con un rango de la ip pública de nateo y ya funciona todo
Saludos y gracias