Anti-Spoofing / RPF sin Internet Sucursales
Publicado: 13 Sep 2013, 20:01
Buen día, tengo un problema con distribuir internet a las sucursales por medio del enlace secundario.
Sucursales: HCV, HCL, HER, HNC, BODEGA
Llego hacia mis servidores (192.168.1.0/24) por enrutamiento dinámico OSPF por el enlace inalámbrico (principal) y necesito distribuir el internet con el enlace secundario (CLARO) se configuro una ruta estática
0.0.0.0 0.0.0.0 por medio del gateway en cada sucursal (gateway es el router del proveedor) con distancia 254.
Snifeando el Forti, veo que cuando hago ping desde una sucursal hacia 8.8.8.8 sale por el enlace secundario pero al llegar al Forti se descarta el paquete, el mensaje que me da es "reverse path check fail, drop"
Se habilito el enrutamiento asimétrico "set asymroute enable" y al hacer eso si llego con el ping hacia 8.8.8.8 pero sigo sin internet, pareciera que la petición hacia internet viene desde las sucursales hacia la central por el enlace secundario pero la respuesta llega por el enlace principal.
Al caerse el enlace principal las rutas que publica OSPF se borran de todos los ASA 5505 y del Forti, en cada ASA existe una ruta default IP 0.0.0.0 MASK 0.0.0.0 GATEWAY Router enlace secundario DISTANCIA 254; solamente así puedo distribuir internet a mis sucursales, teniendo el enlace principal abajo.
Investigando un poco encuentro que es por el RPF o Anti-Spoofing.
Les adjunto la topología WAN y las rutas del forti y un ASA 5505 de una sucursal.
Atentamente,
Sucursales: HCV, HCL, HER, HNC, BODEGA
Llego hacia mis servidores (192.168.1.0/24) por enrutamiento dinámico OSPF por el enlace inalámbrico (principal) y necesito distribuir el internet con el enlace secundario (CLARO) se configuro una ruta estática
0.0.0.0 0.0.0.0 por medio del gateway en cada sucursal (gateway es el router del proveedor) con distancia 254.
Snifeando el Forti, veo que cuando hago ping desde una sucursal hacia 8.8.8.8 sale por el enlace secundario pero al llegar al Forti se descarta el paquete, el mensaje que me da es "reverse path check fail, drop"
Se habilito el enrutamiento asimétrico "set asymroute enable" y al hacer eso si llego con el ping hacia 8.8.8.8 pero sigo sin internet, pareciera que la petición hacia internet viene desde las sucursales hacia la central por el enlace secundario pero la respuesta llega por el enlace principal.
Al caerse el enlace principal las rutas que publica OSPF se borran de todos los ASA 5505 y del Forti, en cada ASA existe una ruta default IP 0.0.0.0 MASK 0.0.0.0 GATEWAY Router enlace secundario DISTANCIA 254; solamente así puedo distribuir internet a mis sucursales, teniendo el enlace principal abajo.
Investigando un poco encuentro que es por el RPF o Anti-Spoofing.
Les adjunto la topología WAN y las rutas del forti y un ASA 5505 de una sucursal.
Atentamente,