Estimados, los consulto en esta oportunidad para ver si me pueden dar una mano con el siguiente problema:
Tengo un pool de 64 IPs entregado por mi ISP. Creamos una interfase WAN 1 tomando una de estas IPs publicas para poder navegar y el resto las tomamos via IP virtual pasando el trafico a segmentos internos. Aparentemente todo andaba bien hasta que hace algunos días las IP publicas tomadas via virtual-ip perdian visibilidad externa (internamente se puede acceder perfectamente) . Curiosamente eliminando el virtual ip y volviéndolo a crear se recuperan. ¿Alguien tiene alguna idea de lo que puede estar pasando?
Firewall: Fortigate 110c - Firmware v5.0,build0208 (GA Patch 3)
Problema con virtual IP
Re: Problema con virtual IP
hola, como estas?
como fue upgreadeado ese equipo? que firmware tenias antes?
revisa el release note para actualizar a 5.0.5
saludos.
como fue upgreadeado ese equipo? que firmware tenias antes?
revisa el release note para actualizar a 5.0.5
saludos.
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
Re: Problema con virtual IP
Hola, gracias por responder.
Hicimos el siguiente camino según la guía de actualización:
FG110C-4.00-FW-build346
FG110C-5.00-FW-build179
FG110C-5.00-FW-build208
Todo parecía funcionar bien hasta hace unos días, por eso dejamos la versión 5.0.3.
Revise el release note pero no encontré nada que hable sobre problemas con virtual ip o de mi modelo en particular.
Hicimos el siguiente camino según la guía de actualización:
FG110C-4.00-FW-build346
FG110C-5.00-FW-build179
FG110C-5.00-FW-build208
Todo parecía funcionar bien hasta hace unos días, por eso dejamos la versión 5.0.3.
Revise el release note pero no encontré nada que hable sobre problemas con virtual ip o de mi modelo en particular.
Re: Problema con virtual IP
Hola, tenias, 4.0 mr2 p12 y saltaste de una a 5.0 ??? 
minimanente tendrias que haber hecho estos pasos
4.0 MR2 patch12 Build # 346 ->4.3.10 ->5.0.2 ->5.0.4
si borras las vip y politcas y las ceras de nuevo?
saludos.
minimanente tendrias que haber hecho estos pasos
4.0 MR2 patch12 Build # 346 ->4.3.10 ->5.0.2 ->5.0.4
si borras las vip y politcas y las ceras de nuevo?
saludos.
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
Re: Problema con virtual IP
Disculpame me equivoque! hicimos este camino 
FG110C-4.00-FW-build346
FG110C-4.00-FW-build639
FG110C-5.00-FW-build179
FG110C-5.00-FW-build208
segun esta guia: [Debes identificarte para poder ver enlaces.]
No se... es muy raro, no hay problema con que 2 virtual ip (con distintas ip publicas) apunten a una misma ip (interna) no?
Que me recomendas? que borre todas las policys y virtual ip y los vuelva a crear?
Gracias!
FG110C-4.00-FW-build346
FG110C-4.00-FW-build639
FG110C-5.00-FW-build179
FG110C-5.00-FW-build208
segun esta guia: [Debes identificarte para poder ver enlaces.]
No se... es muy raro, no hay problema con que 2 virtual ip (con distintas ip publicas) apunten a una misma ip (interna) no?
Que me recomendas? que borre todas las policys y virtual ip y los vuelva a crear?
Gracias!
Re: Problema con virtual IP
hola, no no hay problemas con esas vips.. estas haciendo port forwarding?
porba de eliominar la policy
vip y crearlo nuevamente.
Fijate que ya esta el 5.0.5
saludos
porba de eliominar la policy
vip y crearlo nuevamente.
Fijate que ya esta el 5.0.5
saludos
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
Re: Problema con virtual IP
Bueno después de muchas vueltas abrí un caso en fortinet.
El tema es simple, se crea una virtual ip y al rato se cae, se vuelve a crear la virtual ip y se recupera, este es el log:
# NOT WORKING
id=13 trace_id=983 func=resolve_ip_tuple_fast line=4299 msg="vd-root received a packet(proto=6, 75.126.39.114:54902->190.221.XX.X:443) from wan2."
id=13 trace_id=983 func=init_ip_session_common line=4428 msg="allocate a new session-0264e7ed"
id=13 trace_id=983 func=get_new_addr line=2395 msg="find SNAT: IP-10.10.16.13(from IPPOOL), port-443"
id=13 trace_id=983 func=_pre_route_auth line=99 msg="pre_route_auth check fail(id=0), drop"
id=13 trace_id=984 func=resolve_ip_tuple_fast line=4299 msg="vd-root received a packet(proto=6, 75.126.39.114:59763->190.221.XX.X:443) from wan2."
id=13 trace_id=984 func=init_ip_session_common line=4428 msg="allocate a new session-0264ed63"
id=13 trace_id=984 func=get_new_addr line=2395 msg="find SNAT: IP-10.10.16.13(from IPPOOL), port-443"
id=13 trace_id=984 func=_pre_route_auth line=99 msg="pre_route_auth check fail(id=0), drop"
id=13 trace_id=985 func=resolve_ip_tuple_fast line=4299 msg="vd-root received a packet(proto=6, 75.126.39.114:59763->190.221.XX.X:443) from wan2."
id=13 trace_id=985 func=init_ip_session_common line=4428 msg="allocate a new session-0264ed96"
id=13 trace_id=985 func=get_new_addr line=2395 msg="find SNAT: IP-10.10.16.13(from IPPOOL), port-443"
id=13 trace_id=985 func=_pre_route_auth line=99 msg="pre_route_auth check fail(id=0), drop"
# WORKING
id=13 trace_id=999 func=resolve_ip_tuple_fast line=4299 msg="vd-root received a packet(proto=6, 75.126.39.114:45509->190.221.XX.X:443) from port6."
id=13 trace_id=999 func=init_ip_session_common line=4428 msg="allocate a new session-0264faae"
id=13 trace_id=999 func=get_new_addr line=2395 msg="find SNAT: IP-10.10.16.13(from IPPOOL), port-443"
id=13 trace_id=999 func=fw_pre_route_handler line=175 msg="VIP-10.10.16.13:443, outdev-port6"
id=13 trace_id=999 func=__ip_session_run_tuple line=2523 msg="DNAT 190.221.XX.X:443->10.10.16.13:443"
id=13 trace_id=999 func=vf_ip4_route_input line=1603 msg="find a route: gw-10.10.16.13 via port7"
id=13 trace_id=999 func=fw_forward_handler line=647 msg="Allowed by Policy-348:"
id=13 trace_id=1000 func=resolve_ip_tuple_fast line=4299 msg="vd-root received a packet(proto=6, 75.126.39.114:45509->190.221.XX.X:443) from port6."
id=13 trace_id=1000 func=resolve_ip_tuple_fast line=4333 msg="Find an existing session, id-0264faae, original direction"
id=13 trace_id=1000 func=ipv4_fast_cb line=50 msg="enter fast path"
Estoy esperando a ver que dice, pero si alguien sabe que significa esta linea:
id=13 trace_id=985 func=_pre_route_auth line=99 msg="pre_route_auth check fail(id=0), drop
se agradeceria
El tema es simple, se crea una virtual ip y al rato se cae, se vuelve a crear la virtual ip y se recupera, este es el log:
# NOT WORKING
id=13 trace_id=983 func=resolve_ip_tuple_fast line=4299 msg="vd-root received a packet(proto=6, 75.126.39.114:54902->190.221.XX.X:443) from wan2."
id=13 trace_id=983 func=init_ip_session_common line=4428 msg="allocate a new session-0264e7ed"
id=13 trace_id=983 func=get_new_addr line=2395 msg="find SNAT: IP-10.10.16.13(from IPPOOL), port-443"
id=13 trace_id=983 func=_pre_route_auth line=99 msg="pre_route_auth check fail(id=0), drop"
id=13 trace_id=984 func=resolve_ip_tuple_fast line=4299 msg="vd-root received a packet(proto=6, 75.126.39.114:59763->190.221.XX.X:443) from wan2."
id=13 trace_id=984 func=init_ip_session_common line=4428 msg="allocate a new session-0264ed63"
id=13 trace_id=984 func=get_new_addr line=2395 msg="find SNAT: IP-10.10.16.13(from IPPOOL), port-443"
id=13 trace_id=984 func=_pre_route_auth line=99 msg="pre_route_auth check fail(id=0), drop"
id=13 trace_id=985 func=resolve_ip_tuple_fast line=4299 msg="vd-root received a packet(proto=6, 75.126.39.114:59763->190.221.XX.X:443) from wan2."
id=13 trace_id=985 func=init_ip_session_common line=4428 msg="allocate a new session-0264ed96"
id=13 trace_id=985 func=get_new_addr line=2395 msg="find SNAT: IP-10.10.16.13(from IPPOOL), port-443"
id=13 trace_id=985 func=_pre_route_auth line=99 msg="pre_route_auth check fail(id=0), drop"
# WORKING
id=13 trace_id=999 func=resolve_ip_tuple_fast line=4299 msg="vd-root received a packet(proto=6, 75.126.39.114:45509->190.221.XX.X:443) from port6."
id=13 trace_id=999 func=init_ip_session_common line=4428 msg="allocate a new session-0264faae"
id=13 trace_id=999 func=get_new_addr line=2395 msg="find SNAT: IP-10.10.16.13(from IPPOOL), port-443"
id=13 trace_id=999 func=fw_pre_route_handler line=175 msg="VIP-10.10.16.13:443, outdev-port6"
id=13 trace_id=999 func=__ip_session_run_tuple line=2523 msg="DNAT 190.221.XX.X:443->10.10.16.13:443"
id=13 trace_id=999 func=vf_ip4_route_input line=1603 msg="find a route: gw-10.10.16.13 via port7"
id=13 trace_id=999 func=fw_forward_handler line=647 msg="Allowed by Policy-348:"
id=13 trace_id=1000 func=resolve_ip_tuple_fast line=4299 msg="vd-root received a packet(proto=6, 75.126.39.114:45509->190.221.XX.X:443) from port6."
id=13 trace_id=1000 func=resolve_ip_tuple_fast line=4333 msg="Find an existing session, id-0264faae, original direction"
id=13 trace_id=1000 func=ipv4_fast_cb line=50 msg="enter fast path"
Estoy esperando a ver que dice, pero si alguien sabe que significa esta linea:
id=13 trace_id=985 func=_pre_route_auth line=99 msg="pre_route_auth check fail(id=0), drop
se agradeceria
Re: Problema con virtual IP
hola, en el post atenrior te hice una pregunta, pero no me respondiste...
estas haciendo port forwarding???? o no?
podrias mostrar el vip?
a demas tambien estas usando ippool ???????
saludos
estas haciendo port forwarding???? o no?
podrias mostrar el vip?
a demas tambien estas usando ippool ???????
saludos
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
Re: Problema con virtual IP
Hola, disculpame, no vi el anterior mensaje 
Probe de las dos maneras, usando port forwarding y no usándolo y siempre pasa lo mismo, esos log son usándolo contra el puerto 443.
Te paso el vip de este caso en particular:
No estoy usando ninguna IP Pool, solo Virtual IP's
Probe de las dos maneras, usando port forwarding y no usándolo y siempre pasa lo mismo, esos log son usándolo contra el puerto 443.
Te paso el vip de este caso en particular:
Código: Seleccionar todo
edit "TMX.mengano.com:443"
set extip 190.221.XX.X
set extintf "port6"
set portforward enable
set mappedip 10.10.16.13
set extport 443
set mappedport 443
No estoy usando ninguna IP Pool, solo Virtual IP's
Re: Problema con virtual IP
Todavia sigo en la version 5.0.3, no quiero actualizar por ahora, es mi ultima opcion 
Re: Problema con virtual IP
hola, mostras la politica?
tambien usas ippool con esa ip publica en otra politica??
saludos.
tambien usas ippool con esa ip publica en otra politica??
saludos.
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
Re: Problema con virtual IP
Esta es la única política que tengo con esta virtual IP:
Donde port6 es una interface con IP publica 190.221.XX.2 (sin ips secundarios agregados, los tomo directamente con las virtual ip)
y port7 es una interface con rango privado 10.10.16.1
No entiendo a lo que te referis con IP pool, dentro de:
Firewall Objects -> Virtual IP -> IP Pool: No tengo nada, todo vació-
Firewall Objects -> Virtual IP -> Virtual IP: Es donde tengo esto y varias virtual IP similares:
gracias!
Donde port6 es una interface con IP publica 190.221.XX.2 (sin ips secundarios agregados, los tomo directamente con las virtual ip)
y port7 es una interface con rango privado 10.10.16.1
Código: Seleccionar todo
edit 348
set srcintf "port6"
set dstintf "port7"
set srcaddr "all"
set dstaddr "TMX.mengano.com:443"
set action accept
set schedule "always"
set service "HTTP" "HTTPS" "PING"
nextNo entiendo a lo que te referis con IP pool, dentro de:
Firewall Objects -> Virtual IP -> IP Pool: No tengo nada, todo vació-
Firewall Objects -> Virtual IP -> Virtual IP: Es donde tengo esto y varias virtual IP similares:
Código: Seleccionar todo
edit "TMX.mengano.com:443"
set extip 190.221.XX.X
set extintf "port6"
set portforward enable
set mappedip 10.10.16.13
set extport 443
set mappedport 443
gracias!
Re: Problema con virtual IP
Hola, al nombre del vip sacale los ":"
el TAC de fortinet que te dice? upgrade?
saludos.
el TAC de fortinet que te dice? upgrade?
saludos.
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
Re: Problema con virtual IP
Dale, le voy a sacar los dos puntos.
Todavia nada, estoy esperando que me respondan.
saludos.
Todavia nada, estoy esperando que me respondan.
saludos.