Fortigate

[tremen]

El downgrade, es debido a la incompatibilidad de la mr3 con un 300C, en nuestro caso al menos, por un problema de descarte de paquetes aleatorio.. no por no hacer match en reglas..

Como dije, volvimos a la mr2 y todo volvió a la normalidad.

Ahora estamos valorando subir a la major update, FortiOS 5.

Saludos

[gabyrossi]

Raro lo que comentas----
ninguna version de mr3 funcvionaba correctamente?

tengo varios 300c corriendo mr3.

saludos.

[msarries]

Es una IP que tiene salida a internet libre,

la regla es: origen ip_privada destino ALL service ANY action NAT

ahora en el log aparece lo siguiente:

2013-11-26 13:04:48 log_id=7 type=traffic subtype=other pri=warning vd=root status="deny" src="192.168.44.2" srcname="192.168.44.2" src_port=1106
dst="200.5.92.196" dstname="200.5.92.196" dst_country="Argentina" dst_port=443 service="HTTPS" proto=6 app_type="N/A" duration=0 rule=0 policyid=0
dentidx=0 sent=0 rcvd=0 shaper_drop_sent=0 shaper_drop_rcvd=0 perip_drop=0 shaper_sent_name="n/a" shaper_rcvd_name="n/a" perip_name="n/a" vpn="n/a"
vn_type="n/a" vpn_tunnel="n/a" src_int="wan2" dst_int="n/a" SN=18446744073709551615 app="N/A" app_cat="N/A" user="n/a" group="n/a" msg="no session matched"
carrier_ep="N/A" profilegroup="N/A"

y en interfaz destino indica n/a cuando debería ser port2.

Saludos.-

[tremen]

gabyrossi este es el problema que se estaba tratando en este hilo, te puedo decir que vino un técnico del fabricante y no supo decirnos qué estaba pasando, y fue el mismo fabricante quien nos tuneó una versión mr2 ya que el 300C venía de serie con la mr3.

msarries ese es el problema que teníamos mostos, y era completamente aleatorio, y como puedes ver no se trata de no hacer match en la regla, si no que te saca un error "no session matched".

Además, en nuestro caso se producía a cuantas más conexiones más aparecía este error, y nos dimos cuenta cuando un servidor de aplicaciones que accedía a una bbdd, se quedaba colgado, ya que se quedaban colgadas las sesiones.

saludos

[msarries]

La solucion transitoria que encontre fue hacer el NAT con una IP distinta a la interfas del firewall y salio andando. Por lo que veo el equipo se le cuelga la tabla de sesiones, eso si, la tabla supuestamente es de 200mil, y solo uso 8000 sesiones. Voy a llevar el firmware a la v5 a ver que sucede. Por ahora lo lleve al patch 15 de mr3 y sigui igual.

Saludos.-

[gabyrossi]

hola, muy extraño ...
solo tenes un proveedor de internet? no manejas policy routes?

[msarries]

Hola,

tengo 2 proveedores y el fortigate esta balanceando el tráfico, solo tengo politicas de ruteo para los servicios que salen si o si por un proveedor (ej. el correo, el cual tiene una IP pública asignada, el VIP y el NAT son con la misma IP), las ip de los proxy pueden salir por ambos enlaces. El problema se da por la cantidad de conexiones y cuando el NAT lo hace con la IP de la interfaz.

Saludos.-

[tremen]

nosotros hemos estado esperando a que madurara la FORTIOS 5, el fabricante nos hizo espera hasta este último patch, si actualizas a la 5, hazlo al último patch disponible.

ya nos contarás qué tal..

saludos

[gabyrossi]

hola, lo mas estable hoy en dia es 4.0 mr3 p15.

saludos.

[tremen]

Gaby, has probado la ultima versión FortiOS 5? Nosotros estamos a la espera de que nos presten un equipo para probarla.. no vamos a jugar con producción..

[msarries]

hola tremen, yo estoy utilizando la version v5.0,build0179 (GA Patch 2) en un HA de FGT 111C, con 2 VDOMs, uno lo uso para vincular mi red con la red de otro organismo, y el otro lo uso con un portal VPNSSL, Hasta ahora el único problema que tengo es que cada tanto el portal ssl deja de responder (deshabilito las reglas de firewall y las vuelvo a habilitar y vuelve a responder).

Ahora con el problema planteado en este hilo, el equipo lo voy a dejar con el firmware v4 mr3 patch 15, ya que este FGT es el equipo que administra los vínculos de Internet.

Saludos

[tremen]

Hola msarries,
Si la v.4 mr3 te daba el fallo, y puesto que vas a hacer downgrade, yo te recomiendo que pruebes la mr2, a nostros nos funcionó, dejó de descartar paquetes dejando de salir el error "no session matched", que era el que descartaba paquetes.

nos cuentas qué tal..
saludos

[gabyrossi]

Tremen, no recomienden downgrade a cualquier usuario.
No es algo trivial hacerlo... es mas no se recomienda en casi ningun caso. Tal vez en tu caso"puntual" te andubo. Dependera tambien de la complejidad de la config.

saludos.

[msarries]

Hola Tremen,

antes de hacer el downgrade prefiero llevar el firmware a la versión 5.

Saludos.-

[tremen]

msarries, pensaba que ya los tenías en la FortiOS 5, o eso dices en un mensaje anterior..

gabyrossi, a nosotros la mr3, con el error "no sesson matched", nos causó muchos dolores de cabeza durante 3 meses, y somos una empresa grande. Fué el fabricante quien nos instó a hacer downgrade.
Si tienes backup de todo, no es tan traumatico como comentas.
Hay que leerse bien las release notes de la versión que toca, y vigilar con lo que se pueda perder o cambiar, y si no te funciona, vuelves a la versión anterior guardada, y cargas el backup, sin mayor problema.. y a malas, reset y cargas backup de la config.
Nosotros nos hartamos de hacerlo..

De todas formas, msarries si no lo ves claro, tira de fabricante, que imagino tendrás soporte.. si pruebas la 5, por favor danos feedback..
saludos