200B en HA

[Mvasquez]

Hola, buen día.
tengo mis dudas sobre dejar en HA 2 equipo Fortigate 200B v5.0 (GA Patch 7)

Activo - Activo
Activo - Pasivo

Mi layer 3, cuenta con ruteo hacia la IP de Forti, pero debo dejar 2 bocas del layer 3, para la misma puerta del forti?
luego, para los router, que cuento con 3, deben tener la interface 11 de los 2 forti en cada router?


para dejar en HA, claramente debo seleccionar 2 puertos de cada firewall, es necesario dejar con DHCP entre lazados o IP fijas en recomendaciones? en las mejores prácticas?

la pass de HA debe tener alguna longitud y complejidad adicional?

[gabyrossi]

Hola, cada firewall tendra la misma config. la misma ip en cada interface y pbviamente tendra las conexiones duplicadas hacia los switches /router que tengan conectados.

las interfaces no pueden ser ni ppoe ni dchp. tienen que ser ip fijas.

2 interfaces para heratbeat conectadas unas a otras.

la pass no menor a 6 caracteres.


revisa la doc.del ha

docs.fortinet.com

saludos

[Mvasquez]

Hola Gaby, me queda más claro.

Que modo me recomiendas?
activo a activo o pasivo?

[gabyrossi]

hola si el 200b de procemiento esta bien. holgado.. ponelo en activo-pasivo.
saludos.

[Mvasquez]

Hola!
bueno ya tengo los 2 equipos conectados y configurados.

para poder conectar al segundo equipo. le cambia la IP de acceso a mi red para poder conectarme. pero al momento de configurar la HA en el segundo host.

este queda siempre como Standar Alone,

tengo 2 interface conectados a cada equipo PORT5 y PORT6, con IP fijas.

Interface 5
172.1.1.5/255.255.255.0 host1
172.1.1.50/255.255.255.0 host2

Interface 6
173.1.1.6/255.255.255.0 host1
173.1.1.60/255.255.255.0 host2


Pero no puedo cambiar el estado del HA en el segundo equipo

[Mvasquez]

tendré que generar una Politica para las interfaces?

[Mvasquez]

Me salta otra duda.

cuento con 3 enlaces, los cuales estan normalmente funcionando. con detección de caidas en todos, politicas por interface más FSAE,
la idea de montar el HA, es que si falla el fornti, el otro funcione sin desconectar nada.

entonces la mejor función seria en ACTIVO - ACTIVO ?
ya que encontre una info, acá en el foro que tendría que desconectar y conectar los cables en el segundo firewall. en modo ACTIVO - PASIVO?

[gabyrossi]

hola, lo mas facil es hacer la config del ha en uno
hacer backup, editar el backup modificarle el nombre de host y la prioridad del hay
y restaurar la config en el 2do.

y listo.

obviamente teniendo cableado los heartbet y ninguna interface en dhcp ni ppoe.

saludos.

[Mvasquez]

hola, lo mas facil es hacer la config del ha en uno
hacer backup, editar el backup modificarle el nombre de host y la prioridad del hay
y restaurar la config en el 2do.

y listo.

obviamente teniendo cableado los heartbet y ninguna interface en dhcp ni ppoe.

saludos.

Hola Gaby
Bueno efectivamente genere esto, tardo como 30 min en levantar el segundo firewall, pero no me muestra en el HA el segundo host.

Configure, cargue la config en el segundo host. cambie el nombre de host

Código: Seleccionar todo

FWHA1 # config system global

FWHA1 (global) # set hostname “FWHA2”

Si en Prioridad de Dispositivo del segundo host lo deje en 150.

[gabyrossi]

tenes cableado los hearbeat???

ninguna interface esta en modo dhcp ni ppoe?

saludos

[Mvasquez]

Estan todas en manual.
Tengo la interface 5 y 6

Interface 5
172.1.1.5/255.255.255.0

Interface 6
173.1.1.6/255.255.255.0

[Mvasquez]

[gabyrossi]

Hola, si haces get system ha status

que muestra?

es el unico ha de fortigate que tenes en la red?

saludos

[Mvasquez]

Ahi va!

Código: Seleccionar todo

FWHA1 # get system status 

 <Enter>

 

FWHA1 # get system status 

Version: FortiGate-200B v5.0,build3608,140410 (GA Patch 7)

Virus-DB: 22.00236(2014-05-27 05:09)

Extended DB: 1.00000(2012-10-17 15:46)

IPS-DB: 4.00500(2014-05-26 23:45)

IPS-ETDB: 0.00000(2001-01-01 00:00)

Serial-Number: FG200B....

Botnet DB: 1.00558(2014-05-26 10:31)

BIOS version: 04000006

Log hard disk: Need format

Internal Switch mode: interface

Hostname: FWHA1

Operation Mode: NAT

Current virtual domain: root

Max number of virtual domains: 10

Virtual domains status: 1 in NAT mode, 0 in TP mode

Virtual domain configuration: disable

FIPS-CC mode: disable

Current HA mode: a-p, master

Branch point: 271

Release Version Information: GA Patch 7

System time: Tue May 27 13:23:49 2014

[Mvasquez]

Código: Seleccionar todo

FWHA1 # show system ha 

config system ha

    set group-name "My-Cluster"

    set mode a-p

    set password ENC XoiFJfejmof0rX0ORYrIGuQBKSB+zFaT10dmrYFqrE2x6SqjoIkZVvC

    set hbdev "port5" 50 "port6" 50 

    set override disable

end

FWHA1 #