Hola a tod@s
Tengo dos Fortigate 400A en Cluster (Activo-Activo).
Actualize la version antes de poner los dos 400A, ya que primero solo tenia uno.
Despues de unos dias de tener los dos en activo-activo vi que en los logs aparecian muchas conexiones con el Source Port o el Destination Port con N/A pero la conexion era de dos redes conocidas, por lo que no deberia tener mucho problema.
Hay veces que hago un ping a una maquina y me aparece el Source Port con N/A y luego lo lanzo otra vez y funciona correctamente. Alguien sabe porque puede pasar esto?
Saludos de antemano!!!
Errores en los logs
Re: Errores en los logs
Hola Henry
Cuando haces ping, el tipo de protocolo es ICMP, el cual no maneja puertos de origen ni de destino (como se hace por ejemplo en los protocolos UDP y TCP), por lo que en un principio eso es normal.
Lo que no entiendo es cuando dices que "luego lo lanzo otra vez y funcionan correctamente"... a que te refieres???
Si nos pasas la configuración (en modo texto o mediante capturas de pantalla) de la configuración de HA igual te podemos decir si es correcta, no siendo que puedas tener algún problema.
Saludos.
henry escribió:Hola a tod@s
Tengo dos Fortigate 400A en Cluster (Activo-Activo).
Actualize la version antes de poner los dos 400A, ya que primero solo tenia uno.
Despues de unos dias de tener los dos en activo-activo vi que en los logs aparecian muchas conexiones con el Source Port o el Destination Port con N/A pero la conexion era de dos redes conocidas, por lo que no deberia tener mucho problema.
Hay veces que hago un ping a una maquina y me aparece el Source Port con N/A y luego lo lanzo otra vez y funciona correctamente. Alguien sabe porque puede pasar esto?
Saludos de antemano!!!
Cuando haces ping, el tipo de protocolo es ICMP, el cual no maneja puertos de origen ni de destino (como se hace por ejemplo en los protocolos UDP y TCP), por lo que en un principio eso es normal.
Lo que no entiendo es cuando dices que "luego lo lanzo otra vez y funcionan correctamente"... a que te refieres???
Si nos pasas la configuración (en modo texto o mediante capturas de pantalla) de la configuración de HA igual te podemos decir si es correcta, no siendo que puedas tener algún problema.
Saludos.
Re: Errores en los logs
Hola,
Adjunto un photo pantalla del log que aparece. Si te fijas la IP origen y destino son iguales, el protocolo (FTP) tambien en los dos casos, pero el Source Interface no.
La politica que hace "allowed" en este caso es tan simple como un permit Any destination & service. El problema es que muchas veces aparece este tipo de mensaje, en el que primero se pemirte la conexion, y luego sale como Source Interface N/A y en vez de poner allowed o deny pone other.
Esto pasa desde que tengo dos firewalls en activo-activo
Adjunto un photo pantalla del log que aparece. Si te fijas la IP origen y destino son iguales, el protocolo (FTP) tambien en los dos casos, pero el Source Interface no.
La politica que hace "allowed" en este caso es tan simple como un permit Any destination & service. El problema es que muchas veces aparece este tipo de mensaje, en el que primero se pemirte la conexion, y luego sale como Source Interface N/A y en vez de poner allowed o deny pone other.
Esto pasa desde que tengo dos firewalls en activo-activo
Re: Errores en los logs
Hola henry
Podrías hacer un copy-paste de esas lineas de log pero en modo raw???
Como tienes configurada la HA en el fortigate y como tienes los FG conectados???
Saludos.
Podrías hacer un copy-paste de esas lineas de log pero en modo raw???
Como tienes configurada la HA en el fortigate y como tienes los FG conectados???
Saludos.
Re: Errores en los logs
Hola cmendoza,
Dejo aqui el log en formato raw. Las tres primeras son correctas, y las tres ultimas tienes la problematica del Source interface N/A.
1 itime=1198706860 cluster_id=FG400A2904559283_CID date=2007-12-26 time=23:07:40 devname=fwAllied device_id=FG400A2904559283 log_id=0021010001 type=traffic subtype=allowed pri=notice vd=root SN=21013431 duration=171 user=N/A group=N/A policyid=115 proto=6 service=21/tcp app_type=N/A status=accept src=10.27.200.16 srcname=10.27.200.16 dst=128.27.1.18 dstname=128.27.1.18 src_int=port6 dst_int=port5 sent=160 rcvd=0 sent_pkt=4 rcvd_pkt=0 src_port=1565 dst_port=21 vpn=N/A tran_ip=0.0.0.0 tran_port=0 dir_disp=org tran_disp=noop
2 itime=1198706785 cluster_id=FG400A2904559283_CID date=2007-12-26 time=23:06:25 devname=fwAllied device_id=FG400A2904559283 log_id=0021010001 type=traffic subtype=allowed pri=notice vd=root SN=21012630 duration=171 user=N/A group=N/A policyid=115 proto=6 service=21/tcp app_type=N/A status=accept src=10.27.200.16 srcname=10.27.200.16 dst=128.27.1.18 dstname=128.27.1.18 src_int=port6 dst_int=port5 sent=160 rcvd=0 sent_pkt=4 rcvd_pkt=0 src_port=1564 dst_port=21 vpn=N/A tran_ip=0.0.0.0 tran_port=0 dir_disp=org tran_disp=noop
3 itime=1198706710 cluster_id=FG400A2904559283_CID date=2007-12-26 time=23:05:10 devname=fwAllied device_id=FG400A2904559283 log_id=0021010001 type=traffic subtype=allowed pri=notice vd=root SN=21011894 duration=171 user=N/A group=N/A policyid=115 proto=6 service=21/tcp app_type=N/A status=accept src=10.27.200.16 srcname=10.27.200.16 dst=128.27.1.18 dstname=128.27.1.18 src_int=port6 dst_int=port5 sent=160 rcvd=0 sent_pkt=4 rcvd_pkt=0 src_port=1563 dst_port=21 vpn=N/A tran_ip=0.0.0.0 tran_port=0 dir_disp=org tran_disp=noop
4 itime=1198706688 cluster_id=FG400A2904559283_CID date=2007-12-26 time=23:04:48 devname=fwAllied device_id=FG400A2904559283 log_id=0038016001 type=traffic subtype=other pri=notice vd=root SN=21013431 duration=0 user=N/A group=N/A proto=6 service=21/tcp app_type=N/A status=start src=10.27.200.16 srcname=10.27.200.16 dst=128.27.1.18 dstname=128.27.1.18 src_int=N/A dst_int=port6 sent=0 rcvd=0 src_port=1565 dst_port=21 vpn=N/A tran_ip=0.0.0.0 tran_port=0
5 itime=1198706613 cluster_id=FG400A2904559283_CID date=2007-12-26 time=23:03:33 devname=fwAllied device_id=FG400A2904559283 log_id=0038016001 type=traffic subtype=other pri=notice vd=root SN=21012630 duration=0 user=N/A group=N/A proto=6 service=21/tcp app_type=N/A status=start src=10.27.200.16 srcname=10.27.200.16 dst=128.27.1.18 dstname=128.27.1.18 src_int=N/A dst_int=port6 sent=0 rcvd=0 src_port=1564 dst_port=21 vpn=N/A tran_ip=0.0.0.0 tran_port=0
6 itime=1198706539 cluster_id=FG400A2904559283_CID date=2007-12-26 time=23:02:19 devname=fwAllied device_id=FG400A2904559283 log_id=0038016001 type=traffic subtype=other pri=notice vd=root SN=21011894 duration=0 user=N/A group=N/A proto=6 service=21/tcp app_type=N/A status=start src=10.27.200.16 srcname=10.27.200.16 dst=128.27.1.18 dstname=128.27.1.18 src_int=N/A dst_int=port6 sent=0 rcvd=0 src_port=1563 dst_port=21 vpn=N/A tran_ip=0.0.0.0 tran_port=0
Los dos firewalls estan como activos-activo. Operation Mode (NAT). Los FG estan conectados a un switch, que al mismo tiempo este switch es uno de los switches principales de la empresa (Un HP Procurve 5000)
Gracias por la ayuda!!!!
Dejo aqui el log en formato raw. Las tres primeras son correctas, y las tres ultimas tienes la problematica del Source interface N/A.
1 itime=1198706860 cluster_id=FG400A2904559283_CID date=2007-12-26 time=23:07:40 devname=fwAllied device_id=FG400A2904559283 log_id=0021010001 type=traffic subtype=allowed pri=notice vd=root SN=21013431 duration=171 user=N/A group=N/A policyid=115 proto=6 service=21/tcp app_type=N/A status=accept src=10.27.200.16 srcname=10.27.200.16 dst=128.27.1.18 dstname=128.27.1.18 src_int=port6 dst_int=port5 sent=160 rcvd=0 sent_pkt=4 rcvd_pkt=0 src_port=1565 dst_port=21 vpn=N/A tran_ip=0.0.0.0 tran_port=0 dir_disp=org tran_disp=noop
2 itime=1198706785 cluster_id=FG400A2904559283_CID date=2007-12-26 time=23:06:25 devname=fwAllied device_id=FG400A2904559283 log_id=0021010001 type=traffic subtype=allowed pri=notice vd=root SN=21012630 duration=171 user=N/A group=N/A policyid=115 proto=6 service=21/tcp app_type=N/A status=accept src=10.27.200.16 srcname=10.27.200.16 dst=128.27.1.18 dstname=128.27.1.18 src_int=port6 dst_int=port5 sent=160 rcvd=0 sent_pkt=4 rcvd_pkt=0 src_port=1564 dst_port=21 vpn=N/A tran_ip=0.0.0.0 tran_port=0 dir_disp=org tran_disp=noop
3 itime=1198706710 cluster_id=FG400A2904559283_CID date=2007-12-26 time=23:05:10 devname=fwAllied device_id=FG400A2904559283 log_id=0021010001 type=traffic subtype=allowed pri=notice vd=root SN=21011894 duration=171 user=N/A group=N/A policyid=115 proto=6 service=21/tcp app_type=N/A status=accept src=10.27.200.16 srcname=10.27.200.16 dst=128.27.1.18 dstname=128.27.1.18 src_int=port6 dst_int=port5 sent=160 rcvd=0 sent_pkt=4 rcvd_pkt=0 src_port=1563 dst_port=21 vpn=N/A tran_ip=0.0.0.0 tran_port=0 dir_disp=org tran_disp=noop
4 itime=1198706688 cluster_id=FG400A2904559283_CID date=2007-12-26 time=23:04:48 devname=fwAllied device_id=FG400A2904559283 log_id=0038016001 type=traffic subtype=other pri=notice vd=root SN=21013431 duration=0 user=N/A group=N/A proto=6 service=21/tcp app_type=N/A status=start src=10.27.200.16 srcname=10.27.200.16 dst=128.27.1.18 dstname=128.27.1.18 src_int=N/A dst_int=port6 sent=0 rcvd=0 src_port=1565 dst_port=21 vpn=N/A tran_ip=0.0.0.0 tran_port=0
5 itime=1198706613 cluster_id=FG400A2904559283_CID date=2007-12-26 time=23:03:33 devname=fwAllied device_id=FG400A2904559283 log_id=0038016001 type=traffic subtype=other pri=notice vd=root SN=21012630 duration=0 user=N/A group=N/A proto=6 service=21/tcp app_type=N/A status=start src=10.27.200.16 srcname=10.27.200.16 dst=128.27.1.18 dstname=128.27.1.18 src_int=N/A dst_int=port6 sent=0 rcvd=0 src_port=1564 dst_port=21 vpn=N/A tran_ip=0.0.0.0 tran_port=0
6 itime=1198706539 cluster_id=FG400A2904559283_CID date=2007-12-26 time=23:02:19 devname=fwAllied device_id=FG400A2904559283 log_id=0038016001 type=traffic subtype=other pri=notice vd=root SN=21011894 duration=0 user=N/A group=N/A proto=6 service=21/tcp app_type=N/A status=start src=10.27.200.16 srcname=10.27.200.16 dst=128.27.1.18 dstname=128.27.1.18 src_int=N/A dst_int=port6 sent=0 rcvd=0 src_port=1563 dst_port=21 vpn=N/A tran_ip=0.0.0.0 tran_port=0
Los dos firewalls estan como activos-activo. Operation Mode (NAT). Los FG estan conectados a un switch, que al mismo tiempo este switch es uno de los switches principales de la empresa (Un HP Procurve 5000)
Gracias por la ayuda!!!!
Re: Errores en los logs
Hola de nuevo...
Todavía no se exactamente que podría ser, pero me podrías confirmar que cada portx de un fortigate se ve con el otro portx del otro fortigate a nivél lógico (Ej port1 de ambos fortigate en el mismo switch o VLAN) y que entre los demás puertos no hay comunicación directa (Ej port1 esta conectado en el mismo switch o VLAN del switch que el port2)???
Las interfaces configuradas como HeartBeat en el FG tienen visibilidad directa???
Si esto es todo correcto, lo siguiente sería configurar el sniffer de red en el FG para capturar todo el tráfico que utilice el puerto tcp21 y udp21.
Saludos.
Todavía no se exactamente que podría ser, pero me podrías confirmar que cada portx de un fortigate se ve con el otro portx del otro fortigate a nivél lógico (Ej port1 de ambos fortigate en el mismo switch o VLAN) y que entre los demás puertos no hay comunicación directa (Ej port1 esta conectado en el mismo switch o VLAN del switch que el port2)???
Las interfaces configuradas como HeartBeat en el FG tienen visibilidad directa???
Si esto es todo correcto, lo siguiente sería configurar el sniffer de red en el FG para capturar todo el tráfico que utilice el puerto tcp21 y udp21.
Saludos.
Re: Errores en los logs
Muy buenas,
Los puertos de cada uno de los FG se ven, ya que estan conectados a la misma VLAN del mismo Switch. El interfaz HeartBeat del FG1 se ve directamente con el del FG2 (uno esta en el puerto 2 de la tarjeta 1 de la VLAN3 y el otro en el puerto 3 de a tarjeta 1 de la VLAN3)
Comentas que "lo unico que se puede hacer" es habilitar el sniffer de tcp21 y udp21, pero esto pasa con todas las interfaces, servicios y redes. El log que he puesto es solo un ejemplo, tambien hay conexiones (a puertos 80,8080,443,25,etc... ) que sale lo mismo.
La verdad es que ya no se que mirar
Los puertos de cada uno de los FG se ven, ya que estan conectados a la misma VLAN del mismo Switch. El interfaz HeartBeat del FG1 se ve directamente con el del FG2 (uno esta en el puerto 2 de la tarjeta 1 de la VLAN3 y el otro en el puerto 3 de a tarjeta 1 de la VLAN3)
Comentas que "lo unico que se puede hacer" es habilitar el sniffer de tcp21 y udp21, pero esto pasa con todas las interfaces, servicios y redes. El log que he puesto es solo un ejemplo, tambien hay conexiones (a puertos 80,8080,443,25,etc... ) que sale lo mismo.
La verdad es que ya no se que mirar