Sacar servidor LAN

[Vinfo]

Buenos tardes (en España), quería consultar un problema que estamos teniendo con fortigate y es la siguiente:

Tenemos el siguiente esquema de red:


Con este esquema utilizamos un programa de contabilidad que funciona correctamente.

Queremos pasar al siguiente esquema:



Con esto sacamos el servidor de la LAN y fortigate redirecciona las peticiones al servidor (de momento todas las peticiones de cualquier puerto, mas tarde se cerraran y se dejaran abiertas solo los puertos que solicite el programa de contabilidad).

Pero aquí es donde radica nuestro problema al realizar la prueba con el servidor fuera de la LAN (192.168.0.X) y ponerlo en (192.168.1.X) el programa de contabilidad da errores esporádicos y distintos, la mayoría de ellos de escritura demorada o DISK WRITE ERROR. Tras contactar con el proveedor de la aplicación de contabilidad nos comenta su ingeniero de sistemas que se puede deber a que el cortafuegos no tiene continuidad en los datos y que el programa necesita que la comunicación sea continua (es decir para explicarme mejor es como si desconectáramos el cable de red del servidor aunque sean solo unos segundos, eso también provocaria la falla del sistema). Y no sabemos exactamente donde puede estar el problema en fortigate.

Un saludo.

[makco10]

Hola,

Tienes políticas de la LAN a la DMZ y de la DMZ a la LAN?, si dejas un ping extendido ves caidas?..

No creo que el problema sea que la comunicacion se corte por momentos por asi decirlo, el fortigate o bloquea o permite o da prioridad a los paquetes mediante el Traffic Shapping.

En todo caso podrías abrir un caso directamente con support.fortinet.com y nos avisas que tal te fue con las pruebas.

A la espera.

[gabyrossi]

Hola, como dice "makco10" tendrias que tener politicas de ida y vuelta. para descartar tema de sessiones.
Las sessiones en el firewall tienen un tiempo de vida default de 3600 segundos.
Podrias ampliarlas o amplkiar para algun numero de puerto que utilice esta aplicaciones.
pero no creo que sea por ahi el tema.

Proba tambien de natear las politicas desde y hacia el server.

saludos.

[Vinfo]

Gracias por las respuestas.

Tienes políticas de la LAN a la DMZ y de la DMZ a la LAN?, si dejas un ping extendido ves caidas?..

Si hago un ping -t no veo caidas exceptuando alguna variación minima en los milisegundos de respuesta.

Las sessiones en el firewall tienen un tiempo de vida default de 3600 segundos.

Si las tenemos a 3600 segundos que es 1 hora, algo mas que considerable para que las aplicaciones funcionen correctamente, tambien tenemos otra aplicación que usa SQL y funciona correctamente si bien es cierto que cuando hay periodos de inactividad a 1 hora si cae la aplicación. Por lo que esta aplicación de contabilidad no es normal porque son fallos esporadicos y no tardan más de 5 minutos en aparecer.

Proba tambien de natear las politicas desde y hacia el server.

Quizas debamos probar esta opción que no la hemos contemplado.

En todo caso podrías abrir un caso directamente con support.fortinet.com y nos avisas que tal te fue con las pruebas.

Hemos realizado la consulta directamente al proveedor que nos ha distribuido el cortafuegos.

Un saludo y gracias por las respuestas, si hubiera alguna novedad la pongo en el foro.