Consulta para navegacion a pagina HTTPS

[jodeleon]

buenos dias amigos, tratare de ser lo mas especifico posible...

tengo un forti 60D y mi navegacion para los usuarios es por medio de autenticacion, cada usuario tiene un web filter y pues nada mas...

mi problema es que hay una pc en especial, que necesito que vaya a una pagina especial : [Debes identificarte para poder ver enlaces.] (asi con ese puerto)

y funcionaba, pero de repente pues ya no, la pc, si se conecta bien al forti, pide su autenticacion, navega a lo que puede y etc.

pero a esa pagina ya no navega y su error es "la pagina no se puede mostrar" el error normal de explorer (si explorer solo alli se puede ver la pagina y firefox) ya probe con firefox y el mismo error...

ya hice un nuevo web filter, un nuevo usuario, incluso cree una politica sin seguridad, ni web filter ni AV ni NADA! para que navegue a todo.. y si en efecto navega a todos lados pero NO A ESA PAGINA!!

le cambie el gateway a otro firewall que tengo que no hace nada mas que dar salida a internet sin ningun tipo de bloqueo y alli si puede ver la pagina..

que creen que el fortigate me este bloqueando para ver la pagina?

gracias

EDIT:

ya hice un traceroute desde el forti a la pagina y si sale, si lo encuentra, un traceroute en la pagina y tambien lo encuentra, pero no lo muestra!

[gabyrossi]

HOla, revisaste los servicios (ports) en la politica autenticada de ese grupo donde esta esa pc?
necesariamente necesita el 444 para llaegar a esa web.

saludos.

[jodeleon]

pues se supone que si

la politica tiene ALL, de igual manera yo hice un servicio.... le puse TCP puerto 444...

necesito hacer algo mas?

[jose_ebdn]

Hola,

Pon esto en el CLI diagnose sniffer packet any “dst IP_de_la_pagina” 4 y dinos que te aparece en pantalla cuando intentas visitar la página.

Un saludo.

[jodeleon]

Hola,

Pon esto en el CLI diagnose sniffer packet any “dst IP_de_la_pagina” 4 y dinos que te aparece en pantalla cuando intentas visitar la página.

Un saludo.

pues me salio esto


FGT60D4613055439 $ diagnose sniffer packet any dte.guatefacturas.com:444

interfaces=[any]

filters=[dte.guatefacturas.com:444]

pcap_compile: parse error

[gabyrossi]

hola, solo la ip no la url

diagnose sniffer packet any x.x.x.x 4

[jodeleon]

hola, solo la ip no la url

diagnose sniffer packet any x.x.x.x 4

pues lo mismo

FGT60D4613055439 $ diagnose sniffer packet any 168.234.207.235

interfaces=[any]

filters=[168.234.207.235]

pcap_compile: parse error





FGT60D4613055439 $ diagnose sniffer packet any 168.234.207.235 4

interfaces=[any]

filters=[168.234.207.235]

pcap_compile: parse error

[jose_ebdn]

Pon esto, con las comillas y todo:

diagnose sniffer packet any “dst 168.234.207.235” 4

fíjate en "dst" y en las "". Si así no funciona y solo lo hace tal y cómo tú lo has puesto (debido al cambio a algún cambio de firmware) deberíamos buscar la forma adecuada de hacerlo ya que el mensaje pcap_compile: parse error significa que hay algo que no entiende.

Prueba tal y cómo te pongo más arriba y dinos que te da. Recuerda que una vez pongas el filtro y no te salga la última frase debes ir al ordenador desde donde está permitido y hacer una prueba de acceso a la web para que el filtro nos dé la respuesta.

Un saludo!

[jodeleon]

Pon esto, con las comillas y todo:

diagnose sniffer packet any “dst 168.234.207.235” 4

fíjate en "dst" y en las "". Si así no funciona y solo lo hace tal y cómo tú lo has puesto (debido al cambio a algún cambio de firmware) deberíamos buscar la forma adecuada de hacerlo ya que el mensaje pcap_compile: parse error significa que hay algo que no entiende.

Prueba tal y cómo te pongo más arriba y dinos que te da. Recuerda que una vez pongas el filtro y no te salga la última frase debes ir al ordenador desde donde está permitido y hacer una prueba de acceso a la web para que el filtro nos dé la respuesta.

Un saludo!

perdon la ignorancia :v ya funciono

FGT60D4613055439 $ diagnose sniffer packet any "dst 168.234.207.235" 4
interfaces=[any]
filters=[dst 168.234.207.235]
34.780497 internal in 192.168.0.28.49755 -> 168.234.207.235.444: syn 1023929092
34.780791 wan1 out 201.216.188.110.49755 -> 168.234.207.235.444: syn 1023929092
35.597995 internal in 192.168.0.28.49756 -> 168.234.207.235.444: syn 667224178
35.598287 wan1 out 201.216.188.110.49756 -> 168.234.207.235.444: syn 667224178
41.983247 internal in 192.168.0.28.49835 -> 168.234.207.235.444: syn 1568984263
41.983464 wan1 out 201.216.188.110.49835 -> 168.234.207.235.444: syn 1568984263
41.983504 internal in 192.168.0.28.49836 -> 168.234.207.235.444: syn 565589925
41.983657 wan1 out 201.216.188.110.49836 -> 168.234.207.235.444: syn 565589925
44.977524 internal in 192.168.0.28.49836 -> 168.234.207.235.444: syn 565589925
44.977698 wan1 out 201.216.188.110.49836 -> 168.234.207.235.444: syn 565589925
44.977742 internal in 192.168.0.28.49835 -> 168.234.207.235.444: syn 1568984263
44.977837 wan1 out 201.216.188.110.49835 -> 168.234.207.235.444: syn 1568984263
50.983669 internal in 192.168.0.28.49835 -> 168.234.207.235.444: syn 1568984263
50.983868 wan1 out 201.216.188.110.49835 -> 168.234.207.235.444: syn 1568984263
50.983917 internal in 192.168.0.28.49836 -> 168.234.207.235.444: syn 565589925
50.984018 wan1 out 201.216.188.110.49836 -> 168.234.207.235.444: syn 565589925
62.996048 internal in 192.168.0.28.49839 -> 168.234.207.235.444: syn 2572411043
62.996346 wan1 out 201.216.188.110.49839 -> 168.234.207.235.444: syn 2572411043
62.996391 internal in 192.168.0.28.49840 -> 168.234.207.235.444: syn 4101278529
62.996558 wan1 out 201.216.188.110.49840 -> 168.234.207.235.444: syn 4101278529
66.006487 internal in 192.168.0.28.49840 -> 168.234.207.235.444: syn 4101278529
66.006619 wan1 out 201.216.188.110.49840 -> 168.234.207.235.444: syn 4101278529
66.006658 internal in 192.168.0.28.49839 -> 168.234.207.235.444: syn 2572411043
66.006748 wan1 out 201.216.188.110.49839 -> 168.234.207.235.444: syn 2572411043
72.012342 internal in 192.168.0.28.49840 -> 168.234.207.235.444: syn 4101278529
72.012513 wan1 out 201.216.188.110.49840 -> 168.234.207.235.444: syn 4101278529
72.012557 internal in 192.168.0.28.49839 -> 168.234.207.235.444: syn 2572411043
72.012651 wan1 out 201.216.188.110.49839 -> 168.234.207.235.444: syn 2572411043

40 packets received by filter
0 packets dropped by kernel

[jose_ebdn]

FGT60D4613055439 $ diagnose sniffer packet any "dst 168.234.207.235" 4
interfaces=[any]
filters=[dst 168.234.207.235]
34.780497 internal in 192.168.0.28.49755 -> 168.234.207.235.444: syn 1023929092
34.780791 wan1 out 201.216.188.110.49755 -> 168.234.207.235.444: syn 1023929092
35.597995 internal in 192.168.0.28.49756 -> 168.234.207.235.444: syn 667224178
35.598287 wan1 out 201.216.188.110.49756 -> 168.234.207.235.444: syn 667224178
41.983247 internal in 192.168.0.28.49835 -> 168.234.207.235.444: syn 1568984263
41.983464 wan1 out 201.216.188.110.49835 -> 168.234.207.235.444: syn 1568984263
41.983504 internal in 192.168.0.28.49836 -> 168.234.207.235.444: syn 565589925
41.983657 wan1 out 201.216.188.110.49836 -> 168.234.207.235.444: syn 565589925
44.977524 internal in 192.168.0.28.49836 -> 168.234.207.235.444: syn 565589925
44.977698 wan1 out 201.216.188.110.49836 -> 168.234.207.235.444: syn 565589925
44.977742 internal in 192.168.0.28.49835 -> 168.234.207.235.444: syn 1568984263
44.977837 wan1 out 201.216.188.110.49835 -> 168.234.207.235.444: syn 1568984263
50.983669 internal in 192.168.0.28.49835 -> 168.234.207.235.444: syn 1568984263
50.983868 wan1 out 201.216.188.110.49835 -> 168.234.207.235.444: syn 1568984263
50.983917 internal in 192.168.0.28.49836 -> 168.234.207.235.444: syn 565589925
50.984018 wan1 out 201.216.188.110.49836 -> 168.234.207.235.444: syn 565589925
62.996048 internal in 192.168.0.28.49839 -> 168.234.207.235.444: syn 2572411043
62.996346 wan1 out 201.216.188.110.49839 -> 168.234.207.235.444: syn 2572411043
62.996391 internal in 192.168.0.28.49840 -> 168.234.207.235.444: syn 4101278529
62.996558 wan1 out 201.216.188.110.49840 -> 168.234.207.235.444: syn 4101278529
66.006487 internal in 192.168.0.28.49840 -> 168.234.207.235.444: syn 4101278529
66.006619 wan1 out 201.216.188.110.49840 -> 168.234.207.235.444: syn 4101278529
66.006658 internal in 192.168.0.28.49839 -> 168.234.207.235.444: syn 2572411043
66.006748 wan1 out 201.216.188.110.49839 -> 168.234.207.235.444: syn 2572411043
72.012342 internal in 192.168.0.28.49840 -> 168.234.207.235.444: syn 4101278529
72.012513 wan1 out 201.216.188.110.49840 -> 168.234.207.235.444: syn 4101278529
72.012557 internal in 192.168.0.28.49839 -> 168.234.207.235.444: syn 2572411043
72.012651 wan1 out 201.216.188.110.49839 -> 168.234.207.235.444: syn 2572411043

40 packets received by filter
0 packets dropped by kernel

Hasta donde se ve ahí, el firewall está funcionando correctamente. Ve un paquete entrante en la internal y lo saca por la wan1... sabrías utilizar un wireshark?

Un saludo.

[jodeleon]

Hasta donde se ve ahí, el firewall está funcionando correctamente. Ve un paquete entrante en la internal y lo saca por la wan1... sabrías utilizar un wireshark?

Un saludo

fijate que si, esta funcionando "correctamente" y si, precisamente ayer instale wireshark en el equipo, no es que sea un experto en usarlo, pero hasta donde yo veo, cuando hago la prueba de navegar a la pagina por otro firewall el puerto de salida (del equipo) es uno, y al usar el forti, pues es otro..

otra cosa es que uno de los mensajes de salida del wireshark al usar el forti es: TCP RETRANSMISSION

no obtiene una respuesta ACK, se queda como en el limbo

[jose_ebdn]

Si ves muchos retrans, como tu bien dices es que no te vuelve ningún ACK... lo suyo sería poner el wireshark en el server pero eso no siempre es posible... ha este nivel de debug y viendo el problema yo actualizaría el firmware. quizá alguna actualización en el servidor haya hecho que la consulta que le envía el forti no le guste... yo te recomiendo actualizar el firmware.

Un saludo.

[jodeleon]

Si ves muchos retrans, como tu bien dices es que no te vuelve ningún ACK... lo suyo sería poner el wireshark en el server pero eso no siempre es posible... ha este nivel de debug y viendo el problema yo actualizaría el firmware. quizá alguna actualización en el servidor haya hecho que la consulta que le envía el forti no le guste... yo te recomiendo actualizar el firmware.

Un saludo.

tiene mucha mucha logica lo que tu dices, gracias, solo buscare un manual o algo de como hacer el upgrade porque esta muy atrasado (5.0 ) y no creo que sea muy bueno hacerlo de una vez a la ultima version...

coloque un ticket en fortinet y tuve una sesion remota con un ingeniero de fortinet y no lo pudo resolver D:

me dijo, tu problema es muy extraño jajaja, porque todos llegamos a la misma conlusion.. el trafico esta bien porque sale por la wan 1 y bla bla bla...

creo que lo ultimo es hacer upgrade o tirar el forti a la basura :v mentira..

gracias!

[jodeleon]

Señores, solo para confirmar mi configuracion actual es:

Version: FortiGate-60D v5.0,build4459,140410 (GA)
Branch point: 271

segun el documento de fortinet los saltos deberian ser:

Starting Version ► Build# ► Supported Steps to Latest Build of 5.4

5.0.6 ► 271 ► 5.0.9 ► 5.0.11 ► 5.2.5 ► 5.40

estoy en lo correcto?

[gabyrossi]

Hola, yo recomendaria que no lo lleves a 5.4 aun
quedate en 5.2.6