VIP con varios ISP

[Mar1an0]

Como de entrada y de salida, vip para salir y vip para entrar, no entendí.

Hola el VIP es para el nat entrante, el nat saliente se maneja con el central nat table, la interfaz aliente o un IP pool.
Puede ser que haya un policy router que apunte el trafico a una determinada interfaz, esto hace que los paquetes que ingresan por la interfaz X VIP vuelvan por otro lado.

Para corroborar podes ver el output de estos comando...

diagnose ip rtcache list (va a ser largo el output) Ver las rutas en cache

shwo router policy ( ver las politicas de ruteo)

get router info routing global all (ver todas las rutas conectadas, estaticas, dinamicas)

Tene en cuenta que la ruta estatica es el ultimo hit en el chequeo de rutas del FIB.
Primero el el cache
Luego el policy route
Luego las estaticas

Tambien puede ser que la ip este duplicada en la subnet publicas (fijate que no haya otro equipo IP virtual con esas ips)

Saludos!

[zstreet]

No entendi, intente hacer lo de la tabla nat pero no entiendo.

Podrian explicarme con algun ejemplo?

[Mar1an0]

El VIP es para hacer un fordward (de puertos especificos o todo el trafico) desde una IP hacia otra IP.
Se aplica a las conexiones que llegan a una interfaz (Ej:publica) y queres direccionarlas a otra (ej:interna).

Este es un ejemplo de un VIP haciendo forward desde una ip externa publica hacia una interna de un FTP por ejemplo.



Luego de esto tiene que tener una regla de firewall que la autorize que deberia quedar algo asi.



Siendo que el port38 es mi interfaz publica, cualquiera puede inciar trafico por eso el ANY.
En el destino el mismo firewall te va a dar como opcion el VIP que creaste.
Eso de tildar la casilla de NAT que esta abajo esta mal, no es necesario porque el firewal hace el forward que viene desde afuera hacia adentro y la informacion va ruteada, ya que si activadar eso por ejemplo en sesiones de FTP (tomando el ejemplo que te di) el source de las conexiones seria siempre la misma IP, o el pool de ips que estan en el nat.


Saludos!

[zstreet]

Efectivamente, así lo tengo y al crearla funciona una hora y luego deja de funcionar y no vuelve mas.

[zstreet]

Acabo de realizar pruebas, y no se caen las VIP, siempre están bien, pero cuando levanto demasiado trafico el firewall me bloquea la ip, y no conecta mas el servidor que hace el respaldo por ftp con esa vip, por eso veo que se cae, en realidad es un bloqueo a esa ip porque desde otro server y un celular conecta siempre.

Que puede estar bloqueando?

[gabyrossi]

hola, a que te referis cuando decis:

levanto demasiado trafico el firewall me bloquea la ip

sera un tema de ancho de banda?? que ves en el historial de trafico? tenes algun mensaje en el widget de alertas?

saludos.

[zstreet]

el enlace de datos es de 100mbps y transfiere pegado como 2 horas a 60mb, no deberia ser un problema

respecto a los mensajes, no arroja ningun mensaje extraño solo sale esto hace 1 semana atras 2013-09-24 15:30:13 Se ha alcanzado la cuota del Servicio FortiGuard Analysis & Management, y el sistema detuvo el logging hacia FortiGuard.

No se como ver el log detallado del firewall para ver si puedo encontrar algo, lo que hasta el momento se es que cualquier VIP que creo con WAN1 funciona rebien, con WAN2 duran un rato y se mueren.

Y como dato reitero, por ambos wan navego bien sin ningún inconveniente. de forma independiente no hago balanceo de cargas utilizo los enlaces por separado.

[zstreet]

No hay caso, tengo 3 rangos de ip distintos o 3 isp cada uno con su rango, funcionan los vip del primero, del segundo y tercero las creo, funcionan un rato y mueren, ahora snifeando la red desde la terminal del firewall figura la solicitud de conexión, pero no llega al servidor.