Problema con configuracion de HA

[aprendizforti]

Hola,

Tengo un problema al poner en cluster (quiero ponerlo en Activo-Pasivo) dos Fortis 80C. Están en modo NAT, y los he actualizado a la última versión (5.0.2). De momento los tengo sin registrar y sin licencia (lo haré cuando los lleve al cliente). El problema viene cuando al llegar a la parte de configuración de HA, les pongo el nombre de grupo de cluster, la contraseña del cluster, le pongo que sea Activo-Pasivo, le pongo la interfaz de cluster (le he puesto la interfaz DMZ), y cuando doy a aceptar....me vuelve automáticamente a standalone y no hace nada...

No se que estoy haciendo mal, pero no me dejo configurarlo....entiendo que no hay que tocar nada en la interfaz DMZ, verdad? las interfaces DMZ de cada Forti están conectadas con un cable cruzado de uno a otro.

Por otro lado tengo una duda...en la versión 5, no se como pasar de tener un solo interfaz "internal" a 6 interfaces independientes...¿alguna ayuda?

Muchas gracias.

[gabyrossi]

hola, pusiste 5.0 por algun requerimiento especial?
si no es asi, te recomiendo que utilices v 4.0


saludos.

[aprendizforti]

hola, pusiste 5.0 por algun requerimiento especial?
si no es asi, te recomiendo que utilices v 4.0


saludos.

La verdad es que lo puse por que pensaba que era mejor dejarlo ya en la última versión...¿me recomiendas lo vuelva a "actualizar" con la versión 4? ?la v4 mr3 patch12 por ejemplo?

¿Que opinas sobre el tema del HA? es muy raro, verdad? ¿y lo de cambiar el modo swicht de los interfaces interal a modo interface?

Un saludo,

[gabyrossi]

Hola, si no tenes un requerimiento especifico, yo por ahora usuaria 4.0 mr3

tema ha, habria que ver la config. de los 2 equipos.

tema interfaces, lo podes hacer , pero para hacerlo, no tenes que tener usadas la interfac internal.. politicas, ni objetos, ni dhcp, etc.

saludos.

[aprendizforti]

Hola, si no tenes un requerimiento especifico, yo por ahora usuaria 4.0 mr3

tema ha, habria que ver la config. de los 2 equipos.

tema interfaces, lo podes hacer , pero para hacerlo, no tenes que tener usadas la interfac internal.. politicas, ni objetos, ni dhcp, etc.

saludos.

La configuración de los dos equipos es la misma, están sin configurar...estoy utilizando la interfaz internal para conectarme para gestionarlos...para poder separar cada una de las interfaces, sería mejor entonces utilizar la interfaz wan1 por ejemplo para gestionarlos, y una vez que están ya separadas las 6 interfaces de "internal" utilizar una de ellas para gestionar los equipos?

¿Debería cambiarles el direccionamiento IP del interfaz internal para ello? ¿o con no utilizarlo valdría....?

Muchas gracias.

[gabyrossi]

hola, pero no me queda claro que necesitas probar? o que queres hacer....

[aprendizforti]

hola, pero no me queda claro que necesitas probar? o que queres hacer....

Finalmente he bajado de versión a la V4 MR3 patch12 y todo ha funcionado perfecto. He configurado los dos fortis en cluster, he eliminado la política en la que estaba utilizada la pata "internal", y he podido modificar la configuración para que las 6 interfaces pasen de switch a modo interface (6 puertos independientes).

También he configurado el HA en la pata de DMZ, y voy a utilizar las dos WAN para hacer dual wan (salida por dos proveedores distintos). Entiendo que para esto, tengo que duplicar cada una de las políticas en las que intervenga tráfico de una pata WAN a otra pata cualquiera, verdad?

Luego hay otra cosa...necesito publicar varias web, un servidor de Exchange para acceder desde fuera (OWA), y alguna otra cosa más...te pregunto, ¿que es mejor? hacer varias VIP sobre una única IP pública, o hacer que cada servicio publicado hacia fuera esté sobre una IP pública...o lo que es lo mismo, utilizar varias IPs públicas, o una única para todos...

Muchas gracias.

[Felipe]

Buenas,

Respecto a utilizar VIPs con o sin portforwarding dependerá de la disponibilidad de IPs públicas que tengas y del número de máquinas y servicios en cada máquina de que dispongas. Si sólo vas a publicar un servicio de una máquina de la LAN no creo que merezca desaprovechar una IP pública entera por lo que yo activaría IP forwarding, permitiendo de esta forma utilizar los otros puertos de la IP pública para otras máquinas. Si por el contrario la misma máquina necesita que se publiquen muchos servicios igual es mejor usar la VIP entera.

No estoy muy familiarizado con el dual WAN, pero creo que es correcto lo que has puesto (espera la confirmación de Gaby que es el que sabe de verdad), aunque además habría que añadir una segunda ruta estática con el nuevo gateway y la distancia apropiada (indicará cual de las dos WAN es la prioritaria).

Saludos.

[aprendizforti]

Buenas,

Respecto a utilizar VIPs con o sin portforwarding dependerá de la disponibilidad de IPs públicas que tengas y del número de máquinas y servicios en cada máquina de que dispongas. Si sólo vas a publicar un servicio de una máquina de la LAN no creo que merezca desaprovechar una IP pública entera por lo que yo activaría IP forwarding, permitiendo de esta forma utilizar los otros puertos de la IP pública para otras máquinas. Si por el contrario la misma máquina necesita que se publiquen muchos servicios igual es mejor usar la VIP entera.

No estoy muy familiarizado con el dual WAN, pero creo que es correcto lo que has puesto (espera la confirmación de Gaby que es el que sabe de verdad), aunque además habría que añadir una segunda ruta estática con el nuevo gateway y la distancia apropiada (indicará cual de las dos WAN es la prioritaria).

Saludos.

Lo cierto es que cada una de las máquinas que se haría NAT (publicar un servicio hacia fuera) ofrece un servicio distinto, por lo que se podría hacer todo casi seguro que una única IP pública y haciendo port forwarding...

Por lo de la dual WAN, ya he creado las dos rutas estáticas, con la misma distancia, para que haga balanceo de carga y salga por una o por otra indistintamente...

También necesito hacer que ciertos usuarios accedan a su equipo por Terminal Server...he estado mirando el tema del VPN SSL, pero no se si es mejor el "Web-only mode" o el "Tunnel mode". Parece que fundamentalmente difieren en que en el primero no hay que instalar ningún tipo de cliente, si no que usando un navegador con java es suficiente...y en el segundo sí que te instala un cliente vpn. Luego dentro de eso, dudo entre que portal elegir de los tres que hay (full-access, tunnel-access, web-access)...algún consejo?

Muchas gracias.

[gabyrossi]

HOla, bueno las dudas se fueron resolviendo y contestando...

Lo de dual wan ... 2 interfaces 2 proevedores... si esta en ha, cada fortigate terndra lo mismo seteado de la misma manera que las demas interfaces.

tema ssl vpn..
dependera del uso y del usuario en cuestion.

ssl modo portal o web, acceden por web (navegador) teniendo una seria de proxy para usar (http,vnc,ftp, rdp... etc)
Para varios de esto, tendra que tener instalado el java y la primera vez en el nav egador pedira instalar un par de activex.

ssl modo tunel, se usa un cliente ssl, y la idea es poder conectarte y luego usar las herramientas que uno tiene en su propia maquina.

los dos se filtran por politicas de acceso/puertos.

Mas info podrias verla en el cookbook o el el admin de vpn
[Debes identificarte para poder ver enlaces.]
[Debes identificarte para poder ver enlaces.]

saludos.

[aprendizforti]

HOla, bueno las dudas se fueron resolviendo y contestando...

Lo de dual wan ... 2 interfaces 2 proevedores... si esta en ha, cada fortigate terndra lo mismo seteado de la misma manera que las demas interfaces.

tema ssl vpn..
dependera del uso y del usuario en cuestion.

ssl modo portal o web, acceden por web (navegador) teniendo una seria de proxy para usar (http,vnc,ftp, rdp... etc)
Para varios de esto, tendra que tener instalado el java y la primera vez en el nav egador pedira instalar un par de activex.

ssl modo tunel, se usa un cliente ssl, y la idea es poder conectarte y luego usar las herramientas que uno tiene en su propia maquina.

los dos se filtran por politicas de acceso/puertos.

Mas info podrias verla en el cookbook o el el admin de vpn
[Debes identificarte para poder ver enlaces.]
[Debes identificarte para poder ver enlaces.]

saludos.

Hay algo en lo que dudo con el SSL VPN...

El modo portal o web, da acceso a usuarios mediante un navegador sin tener que intalarse ningún cliente VPN...pero no entiendo eso que dices de proxy...ni los servicios que se podrán utilizar...en mi caso, lo que querría es que los usuarios se conecten mediante Terminal Server a su PC interno de la red, y ahí ya hagan lo mismo que si estuvieran conectados físicamente en ellos (y utilizar las aplicaciones que tuviera instaladas en su PC)...es decir, que puedan salir a fuera de internet, a la misma red interna, etc...

Con el SSL tunnel mode, entiendo que hay que instalarse en el equipo remoto el Forticliente obligatoriamente, verdad? y una vez ya conectado con él, accederías por Terminal Server a su equipo interno...para ya ahí, estar conectado como si lo estuviera físicamente, y utilizar las aplicaciones de su PC.

¿Alguien me saca de dudas?

Muchas gracias,

[aprendizforti]

Hola de nuevo,

He estado viendo, y parece que hay una opción en el tunnel mode que no es con el Forticlient...si no que es también mediante navegador, ¿es así? lo que busco es no tener que instalar en la máquina remota ningún Forticlient...si no que se puedan conectar desde cualquier PC, simplemente autenticándose por medio del navegador...

Gracias.

[Felipe]

Buenas,

En efecto dentro del portal web el usuario, si se ha configurado correctamente las opciones del portal y el grupo, puede levantar el modo túnel, con lo que en lugar de acceder a servicios es posible acceder a la subred interna completa (los límites de la misma se configuran con la política del firewall, de ssl.root a la red interna).

No sé si habrán corregido el problema pero para sistemas Linux no es posible instalar el plugin que permita usar el modo túnel a través del navegador. En windows es posible para versiones modernas de IE y Firefox que yo sepa. Si los clientes son Windows la respuesta a tu pregunta es sí, es posible utilizar únicamente el navegador pero se deberán instalar el plugin (proporciona el enlace en el propio portal).

Saludos.

[aprendizforti]

Buenas,

En efecto dentro del portal web el usuario, si se ha configurado correctamente las opciones del portal y el grupo, puede levantar el modo túnel, con lo que en lugar de acceder a servicios es posible acceder a la subred interna completa (los límites de la misma se configuran con la política del firewall, de ssl.root a la red interna).

No sé si habrán corregido el problema pero para sistemas Linux no es posible instalar el plugin que permita usar el modo túnel a través del navegador. En windows es posible para versiones modernas de IE y Firefox que yo sepa. Si los clientes son Windows la respuesta a tu pregunta es sí, es posible utilizar únicamente el navegador pero se deberán instalar el plugin (proporciona el enlace en el propio portal).

Saludos.

Hola Felipe,

Cuando configuro el portal, simplemente valdría con añadir un "modo tunnel" donde están los widgets, y ahí simplemente se autenticará el usuario, y una vez autenticado se le asignará una IP del rango de SSL VPN que tengo configurado...es así. Luego ya podrán conectarse conforme a las políticas que yo le configure, pero ya como si estuvieran en una red interna....¿es así?

Es que este método me parece mucho más cómodo que utilizar servicios...y si ahora se puede utilizar sin el Forticliente...pues fantástico.

Muchas gracias.

[Felipe]

Perdona la tardanza,

En efecto, en teoría una vez el usuario accede a la [Debes identificarte para poder ver enlaces.] y se autentica en el portal; si habilitaste el modo tunel (Enable Tunnel Mode) en las características del portal, podrá activar el túnel y se le asignará una IP del pool de IPs definidos en las características del modo túnel (cuando definiste el Portal).

Para definir las políticas de acceso a la red interna eliges la interfaz ssl.root con el pool de IPs definidos para la VPN como origen y la interfaz interna con la red o segmento de red que quieras que sea accedido por los usuarios de VPN. Los servicios que pueden acceder se pueden definir en la propia política.

Todo esto es posible si configuraste la VPN en modo interfaz (se utiliza la interfaz virtual ssl.root).

Espero que te sirva saludos.