Buen día, tengo un problema con distribuir internet a las sucursales por medio del enlace secundario.
Sucursales: HCV, HCL, HER, HNC, BODEGA
Llego hacia mis servidores (192.168.1.0/24) por enrutamiento dinámico OSPF por el enlace inalámbrico (principal) y necesito distribuir el internet con el enlace secundario (CLARO) se configuro una ruta estática
0.0.0.0 0.0.0.0 por medio del gateway en cada sucursal (gateway es el router del proveedor) con distancia 254.
Snifeando el Forti, veo que cuando hago ping desde una sucursal hacia 8.8.8.8 sale por el enlace secundario pero al llegar al Forti se descarta el paquete, el mensaje que me da es "reverse path check fail, drop"
Se habilito el enrutamiento asimétrico "set asymroute enable" y al hacer eso si llego con el ping hacia 8.8.8.8 pero sigo sin internet, pareciera que la petición hacia internet viene desde las sucursales hacia la central por el enlace secundario pero la respuesta llega por el enlace principal.
Al caerse el enlace principal las rutas que publica OSPF se borran de todos los ASA 5505 y del Forti, en cada ASA existe una ruta default IP 0.0.0.0 MASK 0.0.0.0 GATEWAY Router enlace secundario DISTANCIA 254; solamente así puedo distribuir internet a mis sucursales, teniendo el enlace principal abajo.
Investigando un poco encuentro que es por el RPF o Anti-Spoofing.
Les adjunto la topología WAN y las rutas del forti y un ASA 5505 de una sucursal.
Atentamente,
Anti-Spoofing / RPF sin Internet Sucursales
-
Renato Alonzo
- Mensajes: 17
- Registrado: 22 Oct 2012, 18:51
Anti-Spoofing / RPF sin Internet Sucursales
No tiene los permisos requeridos para ver los archivos adjuntos a este mensaje.
Re: Anti-Spoofing / RPF sin Internet Sucursales
en la imagen 2 de las rutas.. solo tenes vivo el enlace port14 que tiene distancia 10 el otro enlca con port13 con distancia 15 no levantara hasta que no caiga el port14.
saludos.
saludos.
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
-
Renato Alonzo
- Mensajes: 17
- Registrado: 22 Oct 2012, 18:51
Re: Anti-Spoofing / RPF sin Internet Sucursales
Enlaces port13 y port14 son las 2 wan hacia internet.
Saludos
Saludos
Re: Anti-Spoofing / RPF sin Internet Sucursales
si, pero el que tiene distancia 15 lo tenes como failover...
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
-
Renato Alonzo
- Mensajes: 17
- Registrado: 22 Oct 2012, 18:51
Re: Anti-Spoofing / RPF sin Internet Sucursales
¿Qué problema da en tenerlo como failover?
Necesito usar el principal de 10 MB.
Al usar el enlace principal de mi sucursal para mi sistema y el enlace de back-up para el internet no tengo navegación, supongamos que se cayera mi enlace principal y trabajo sistema e internet por el de back-up, allí no existe ningún problema.
Gracias por la ayuda.
Necesito usar el principal de 10 MB.
Al usar el enlace principal de mi sucursal para mi sistema y el enlace de back-up para el internet no tengo navegación, supongamos que se cayera mi enlace principal y trabajo sistema e internet por el de back-up, allí no existe ningún problema.
Gracias por la ayuda.
Re: Anti-Spoofing / RPF sin Internet Sucursales
hola....
Que si tu problema es (primer post)
Ese enlace no podras usarlo al menos que se te caiga el primero..
o no estoy entendiendo tu problema o nose...
¿Qué problema da en tenerlo como failover?
Que si tu problema es (primer post)
Buen día, tengo un problema con distribuir internet a las sucursales por medio del enlace secundario.
Ese enlace no podras usarlo al menos que se te caiga el primero..
o no estoy entendiendo tu problema o nose...
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst