Comunidad FORTIGATE.es

Web NO OFICIAL de soporte en español
https://www.fortigate.es/

Interface de Destino (root)

https://www.fortigate.es/viewtopic.php?t=3712

Página 1 de 1

Interface de Destino (root)

Publicado: 08 Mar 2013, 14:55
por j.urena
Buenos días,

Recientemente estoy presentando problemas con una de mis redes, tengo un FG620 FortiOS 4 MR3 Parch 12, el problema consiste en que una de mis redes su dirección de destino según los logs es la Interface root, interface que no conozco ni tengo idea de porqué se están dirigiendo hacia allá.

Tengo configurada un route policy

Código: Seleccionar todo

config router policy
    edit 5
        set input-device "port2"
        set src 10.10.0.0 255.255.240.0
        set dst 201.41.211.3 255.255.255.255
        set gateway 201.41.211.249
        set output-device "port16"
    next


Pero en los logs aparece que la IP 10.10.x.x cuando va para 210.41.211.3, se va por root y nunca llega a su destino, se bloquea. Rule 0.

Código: Seleccionar todo

    
config system interface
    edit "port2"
        set vdom "root"
        set ip 10.10.0.2 255.255.240.0
        set allowaccess ping https fgfm
        set type physical
        set alias "Lan"
    next

    edit "port16"
        set vdom "root"
        set ip 210.41.211.249 255.255.255.0
        set allowaccess ping https
        set type physical
        set spillover-threshold 1024
        set alias "Wan_T"
    next

Re: Interface de Destino (root)

Publicado: 08 Mar 2013, 16:12
por gabyrossi
hola, tenes 2 wan??? estas haciendo balanceo por spillover

si es asi, porque usas policy route????
tu otra wan cual es?

saludos

Re: Interface de Destino (root)

Publicado: 08 Mar 2013, 16:19
por j.urena
gabyrossi escribió:hola, tenes 2 wan??? estas haciendo balanceo por spillover

si es asi, porque usas policy route????
tu otra wan cual es?

saludos

Hice Policy route para forzar el tráfico, no lo tenía pero quería saber si era algun otro problema.

Esta es la otra Interface

Código: Seleccionar todo

    edit "port19"
        set vdom "root"
        set ip 10.1.1.40 255.255.255.0
        set allowaccess ping https
        set type physical
        set spillover-threshold 10000
        set alias "Wan_D"
    next


Pero qué es eso de Dst Interface root???

Re: Interface de Destino (root)

Publicado: 08 Mar 2013, 16:22
por gabyrossi
dodne te muetra eso de la interface root?

si le sacas el gw a la policy route?

saludos.

Re: Interface de Destino (root)

Publicado: 08 Mar 2013, 16:33
por j.urena
gabyrossi escribió:dodne te muetra eso de la interface root?

si le sacas el gw a la policy route?

saludos.

Aquí es donde lo muestra. Esto es en el FortiAnalizer

Re: Interface de Destino (root)

Publicado: 08 Mar 2013, 16:39
por gabyrossi
hola, en la policy route tenes como protocolo 0?

ese mensaje dice que usa la policy 0 , que es la implicta que deniega todo.
osea, falta politica para dejar pasar ese trafico...

saludos

Re: Interface de Destino (root)

Publicado: 08 Mar 2013, 20:38
por j.urena
gabyrossi escribió:hola, en la policy route tenes como protocolo 0?

ese mensaje dice que usa la policy 0 , que es la implicta que deniega todo.
osea, falta politica para dejar pasar ese trafico...

saludos

Creo más bien que son errores del Fortinet, esta política la tengo configurada:

Código: Seleccionar todo

config firewall policy
    edit 35
        set srcintf "port2"
        set dstintf "port16"
            set srcaddr "Red_Academico"
            set dstaddr "all"
        set action accept
        set schedule "always"
            set service "Internet_Access"
        set utm-status enable
        set logtraffic enable
        set webfilter-profile "Internet_CBNH"
        set application-list "Academico_Ctrl_App"
        set profile-protocol-options "default"
        set nat enable
    next
end

Re: Interface de Destino (root)

Publicado: 11 Mar 2013, 13:34
por gabyrossi
hola, y que contiene el servicio "Internet_Access" ??

saludos.

Re: Interface de Destino (root)

Publicado: 11 Mar 2013, 13:47
por j.urena
gabyrossi escribió:hola, y que contiene el servicio "Internet_Access" ??

saludos.


Código: Seleccionar todo

config firewall service group
    edit "Internet_Access"
            set member "HTTP" "HTTPS" "IMAP" "IMAPS" "POP3" "POP3S" "SMTP" "SMTPS" "PING" "DNS"
    next
end

Re: Interface de Destino (root)

Publicado: 11 Mar 2013, 13:48
por gabyrossi
Ok, te respondiste solo...en el mensahje de error que mostrar el protocolo es ping...
si ese "ping" no esta habilitado, se bloquea!

saludos.

Re: Interface de Destino (root)

Publicado: 11 Mar 2013, 13:54
por j.urena
gabyrossi escribió:Ok, te respondiste solo...en el mensahje de error que mostrar el protocolo es ping...
si ese "ping" no esta habilitado, se bloquea!

saludos.

Pero está en Internet_Access. :S

Re: Interface de Destino (root)

Publicado: 11 Mar 2013, 14:55
por gabyrossi
hola, abria que ver las politicas si estan correctas.

Re: Interface de Destino (root)

Publicado: 19 Mar 2013, 15:06
por j.urena
Saludos, gracias por la ayuda que me han brindado.

Sobre este tema, encontré otra anomalía que quizás nos ayude a detectar el problema:

En la foto verán que el host 10.10.1.67 cuando intenta salir a Internet aparece que la interface de destino N/A, esto por unos minutos y luego todo vuelve a la normalidad, es lo mismo que pasa cuando hace el destino root.

Error NA.png


Alguna idea???
Todos los horarios son UTC+02:00
Página 1 de 1

Desarrollado por phpBB® Forum Software © phpBB Limited

Traducción al español por phpBB España