Interface de Destino (root)

[j.urena]

Buenos días,

Recientemente estoy presentando problemas con una de mis redes, tengo un FG620 FortiOS 4 MR3 Parch 12, el problema consiste en que una de mis redes su dirección de destino según los logs es la Interface root, interface que no conozco ni tengo idea de porqué se están dirigiendo hacia allá.

Tengo configurada un route policy

Código: Seleccionar todo

config router policy
    edit 5
        set input-device "port2"
        set src 10.10.0.0 255.255.240.0
        set dst 201.41.211.3 255.255.255.255
        set gateway 201.41.211.249
        set output-device "port16"
    next

Pero en los logs aparece que la IP 10.10.x.x cuando va para 210.41.211.3, se va por root y nunca llega a su destino, se bloquea. Rule 0.

Código: Seleccionar todo

    
config system interface
    edit "port2"
        set vdom "root"
        set ip 10.10.0.2 255.255.240.0
        set allowaccess ping https fgfm
        set type physical
        set alias "Lan"
    next

    edit "port16"
        set vdom "root"
        set ip 210.41.211.249 255.255.255.0
        set allowaccess ping https
        set type physical
        set spillover-threshold 1024
        set alias "Wan_T"
    next

[gabyrossi]

hola, tenes 2 wan??? estas haciendo balanceo por spillover

si es asi, porque usas policy route????
tu otra wan cual es?

saludos

[j.urena]

hola, tenes 2 wan??? estas haciendo balanceo por spillover

si es asi, porque usas policy route????
tu otra wan cual es?

saludos

Hice Policy route para forzar el tráfico, no lo tenía pero quería saber si era algun otro problema.

Esta es la otra Interface

Código: Seleccionar todo

    edit "port19"
        set vdom "root"
        set ip 10.1.1.40 255.255.255.0
        set allowaccess ping https
        set type physical
        set spillover-threshold 10000
        set alias "Wan_D"
    next

Pero qué es eso de Dst Interface root???

[gabyrossi]

dodne te muetra eso de la interface root?

si le sacas el gw a la policy route?

saludos.

[j.urena]

dodne te muetra eso de la interface root?

si le sacas el gw a la policy route?

saludos.

Aquí es donde lo muestra. Esto es en el FortiAnalizer

[gabyrossi]

hola, en la policy route tenes como protocolo 0?

ese mensaje dice que usa la policy 0 , que es la implicta que deniega todo.
osea, falta politica para dejar pasar ese trafico...

saludos

[j.urena]

hola, en la policy route tenes como protocolo 0?

ese mensaje dice que usa la policy 0 , que es la implicta que deniega todo.
osea, falta politica para dejar pasar ese trafico...

saludos

Creo más bien que son errores del Fortinet, esta política la tengo configurada:

Código: Seleccionar todo

config firewall policy
    edit 35
        set srcintf "port2"
        set dstintf "port16"
            set srcaddr "Red_Academico"
            set dstaddr "all"
        set action accept
        set schedule "always"
            set service "Internet_Access"
        set utm-status enable
        set logtraffic enable
        set webfilter-profile "Internet_CBNH"
        set application-list "Academico_Ctrl_App"
        set profile-protocol-options "default"
        set nat enable
    next
end

[gabyrossi]

hola, y que contiene el servicio "Internet_Access" ??

saludos.

[j.urena]

hola, y que contiene el servicio "Internet_Access" ??

saludos.

Código: Seleccionar todo

config firewall service group
    edit "Internet_Access"
            set member "HTTP" "HTTPS" "IMAP" "IMAPS" "POP3" "POP3S" "SMTP" "SMTPS" "PING" "DNS"
    next
end

[gabyrossi]

Ok, te respondiste solo...en el mensahje de error que mostrar el protocolo es ping...
si ese "ping" no esta habilitado, se bloquea!

saludos.

[j.urena]

Ok, te respondiste solo...en el mensahje de error que mostrar el protocolo es ping...
si ese "ping" no esta habilitado, se bloquea!

saludos.

Pero está en Internet_Access. :S

[gabyrossi]

hola, abria que ver las politicas si estan correctas.

[j.urena]

Saludos, gracias por la ayuda que me han brindado.

Sobre este tema, encontré otra anomalía que quizás nos ayude a detectar el problema:

En la foto verán que el host 10.10.1.67 cuando intenta salir a Internet aparece que la interface de destino N/A, esto por unos minutos y luego todo vuelve a la normalidad, es lo mismo que pasa cuando hace el destino root.

Error NA.png

Alguna idea???