Comunidad FORTIGATE.es

Buenos días, encantado de presentarme en el foro. Trabajo hace varios años con productos de Fortigate y he entrado por aquí en ocasiones para buscar información sobre problemas concretos. Ahora tengo un problema con un 100A que os paso a exponer a ver si me podéis echar una mano.
Gracias a todos de antemano y enhorabuena por este foro que seguro que ayuda a tanta gente

En un Fortigate 100A tenía dos lineas ADSL conectadas a sus respectivos puertos, WAN1 y WAN2. El router ADSL conectado a WAN1 está configurado para conectar mediante PPPoE y el router en WAN2 estaba configurado para conectar mediante RFC1483 (el Fortigate recibía la IP por DHCP).

Todo estaba funcionando correctamente hasta que mi proveedor de Internet me cambia el router que tengo conectado a WAN2 y además me cambia en la central la tecnología por la que me conecto, ahora tengo una VDSL conectada a un nodo HUAWEI en vez de a un LUCENT y en vez de mediante RFC1483, la conexión pasa a ser PPPoE.

Entonces, mi situación actual es que tengo dos routers conectados a WAN1 y WAN2 y que ambos funcionan mediante PPPoE.

Estando ambos routers conectados mediante PPPoE empiezo a notar problemas a la hora de navegar. Los problemas son muy raros. Si defino una distancia menor en WAN1 para, por defecto, sacar el tráfico por ahí, todo funciona perfectamente, la navegación es fluida. Las pruebas las estoy haciendo conectando a google.es, cualesmiip.com y testdevelocidad.es. Así de paso, compruebo que, efectivamente, estoy saliendo por WAN1 (comprobando la ip)

Pues bien, si defino la distancia menor en WAN2 e intento navegar, puedo abrir google.es, notando apenas un poco de retardo respecto a la velocidad que tengo cuando salgo por WAN1. Si intento abrir cualesmiip.com ya tarda al menos 15 segundos en abrir la página, pero acaba abriéndola y, cuando intento abrir testdevelocidad.es, el navegador se queda esperando al sitio pero no lo abre. Con todos los demás sitios web que intento abrir obtengo el mismo resultado, el navegador se eterniza esperando respuesta y no termina abriendo las páginas.

Decir que si hago ping a cualquier sitio, ya sea cuando WAN1 o WAN2 están definidas como principales, funciona perfectamente en cualquier caso. Devolviendo todos los paquetes con un TTL adecuado.

Tengo varias políticas para que tanto de Internal a WAN1 como a WAN2 puedan salir las conexiones a cualquier sitio, cualquier servicio, a cualquier hora. Esto estaba funcionando perfectamente cuando tenia un router conectado por PPPoE y otro por DHCP. Las políticas no han cambiado, aún así, he desactivado UTM en todas las reglas de internal a las WAN's para descartar posibles problemas.

Yo estoy sacando todo el tráfico normalmente por WAN2 y dejo la WAN1 para el tráfico entrante de algunas conexiones remotas, esto lo hago estableciendo la misma distancia para WAN1 y WAN2 pero definiendo una prioridad más baja para WAN2.

También tengo una ruta estática que me saca por WAN1 el tráfico que provenga de una ip concreta de mi red interna, aunque he probado a quitar todas las rutas también.

Veo en el monitor de rutas dos rutas de la red 0.0.0.0.0 cuando tengo definidos dos interfaces WAN mediante PPPoE con la misma distancia, pero he probado a definir una distancia de 5 para WAN2 y de 10 para WAN1. En ese caso ya solo tengo una ruta de la red 0.0.0.0 pero sigo con el mismo problema que comentaba antes. SIn embargo, si defino la distancia 5 para WAN1 y 10 para WAN2 la navegación funciona perfectamente.

He probado también a establecer una configuración distinta para los paquetes variando mediante CLI el "maximum sending size":

config system interface
edit WAN2
set tcp-mss 1452
end


¿Alguna idea o vía de trabajo para solucionar el problema?

Gracias por vuestro tiempo

hola, primero te recomiendo que revises en el foto temas sobre dual wan o doble wanl, donde te aclararn varios temas.

saludos

Hola de nuevo, gracias por responder gabyrossi.

Antes de postear ya había revisado en el foro todo lo que encontré sobre dual wan o doble wan y no he dado con la solución a mi problema...

He seguido indagando y lo que más me extraña es que pueda abrir google a través de la WAN2 o la web de [Debes identificarte para poder ver enlaces.] (aunque esta última abre muy despacio, como comenté en el post anterior)

Desde fuera de la red he intentado hacer un ping a la IP de WAN1 y WAN2 y sólo respondía la que tenía la distancia menor. Ahora he establecido la misma distancia a las 2 WAN y entonces me responden al ping ambas.

Entonces, he dejado la misma distancia para las dos y puedo entrar desde fuera a través de cualquiera de ellas y he creado una política de ruteo para que me saque todo lo que venga de la red interna a través de WAN1 (origen 192.168.1.0 destino 0.0.0.0) y otra política de ruteo para que lo que venga de la red interna de la ip de mi equipo intente salir por WAN2 (origen 192.168.1.99 destino 0.0.0.0) y meto esta política por encima de la otra, ya que es más restrictiva.

De esta manera tengo a todos los usuarios de la red interna saliendo sin problemas por WAN1 y desde fuera pueden acceder a los servicios que tengo por WAN1 o WAN2 sin problemas. Lo único que me sigue fallando es la navegación desde dentro de la red a través de la WAN2 que , como decía, puedo abrir google y buscar en google (me muestra los resultados de la búsqueda) pero luego al pinchar en cualquiera de los resultados no me abre la web de destino.

El fin es que todos los usuarios de la red salgan por WAN2, dejando WAN1 solo para la entrada de las conexiones externas.

hola, revisa que dns usas... cuando salis por wan2.

saludos

Hola Gabi, gracias por responder.

Los DNS que uso al salir por WAN2 son los mismos que cuando salgo por WAN1: 80.58.61.250 y 80.58.61.254

En principio, la resolución de nombres está funcionando bien, de hecho, cualquier ping a cualquier nombre de dominio lo resuelve bien.

En el navegador también resuelve nombre de dominio a ip pero se queda esperando la carga de la página eternamente....

Curiosamente, las web's de google abren: google.es, mail.google.com, [Debes identificarte para poder ver enlaces.]. pero sin embargo los videos de youtube no cargan....

Sigo dándole vueltas a ver si soy capaz de solucionarlo, aunque se me están agotando los recursos...

Gracias de nuevo

hola, tenes una policuy route para sacar todo los puertos por wan2? que protocolos? podrias mostarla?

saludos

Política de ruteo
==============

Protocolo: 0
Interfaz Entrante: internal
Dirección origen: 192.168.1.0/255.255.255.0
Dirección destino: 0.0.0.0/0.0.0.0
Puertos destino: Desde 1 Para 65535
Tipo de Servicio: patrón de bit 00 (hex) máscara de bit 00 (hex)
Forzar la salida del tráfico por:
Interfaz Saliente: wan2
Dirección de Gateway: 0.0.0.0

hopla, si sacas el trafico por wan2, seria ideal que uses dns correctos. dns internos o dns del provedor de wan2.

saludos

Gracias Gaby, los DNS son los del proveedor y cómo te decía, la resolución de nombres está funcionando correctamente.

Me inclino más a pensar en una incompatibilidad con el router VDSL, un Zyxel P870 HW V2, porque he revisado toda la configuración de cabo a rabo y lo veo todo bien. Es más, he probado a dejar una WAN única con este router y el problema es el mismo. Resuelve bien los nombres de dominio pero las páginas no se cargan (salvo google, mail.google.com. youtube....)

El router está en modo bridge y el fortigate hace de cliente PPPoE.

Si pruebo el router directamente en una tarjeta de red , usando un cliente PPPoE desde Windows, la navegación es perfecta.

hola, revisa el MTU.

tenes filtros en la politica?

Hola de nuevo, sigo sin solucionar el problema...

El MTU de WAN1 actualmente lo tengo en 1492.

Filtros no tengo ninguna para la salida de mi IP a través de WAN1.

Un saludo

hola, y en 1500 no funciona?

config system interface
edit wan1
set vdom "root"
set mtu-override enable
set mtu 1500

MTU size not valid. Should be in the range of 576 - 1492 in PPPoE mode.
node_check_object fail! for mtu 1500

hola, 1500 es el default. si destildas el mtu te lo deja en 1500.

saludos

Sí Gaby, en principio lo tenía desmarcado y luego probé a forzarlo a 1492 y nada. De todas formas, creo que en PPPoE funciona con un tamaño de 1492 aunque se deje desmarcada la casilla de forzar MTU...

Estoy esperando que me dejen otro router VDSL para cambiar el Zyxel y ver si , efectivamente, no es una incompatibilidad entre el Forti y él.