Comunidad FORTIGATE.es

Estimados, los consulto en esta oportunidad para ver si me pueden dar una mano con el siguiente problema:

Tengo un pool de 64 IPs entregado por mi ISP. Creamos una interfase WAN 1 tomando una de estas IPs publicas para poder navegar y el resto las tomamos via IP virtual pasando el trafico a segmentos internos. Aparentemente todo andaba bien hasta que hace algunos días las IP publicas tomadas via virtual-ip perdian visibilidad externa (internamente se puede acceder perfectamente) . Curiosamente eliminando el virtual ip y volviéndolo a crear se recuperan. ¿Alguien tiene alguna idea de lo que puede estar pasando?

Firewall: Fortigate 110c - Firmware v5.0,build0208 (GA Patch 3)

hola, como estas?
como fue upgreadeado ese equipo? que firmware tenias antes?

revisa el release note para actualizar a 5.0.5

saludos.

Hola, gracias por responder.
Hicimos el siguiente camino según la guía de actualización:

FG110C-4.00-FW-build346
FG110C-5.00-FW-build179
FG110C-5.00-FW-build208

Todo parecía funcionar bien hasta hace unos días, por eso dejamos la versión 5.0.3.
Revise el release note pero no encontré nada que hable sobre problemas con virtual ip o de mi modelo en particular.

Hola, tenias, 4.0 mr2 p12 y saltaste de una a 5.0 ???


minimanente tendrias que haber hecho estos pasos

4.0 MR2 patch12 Build # 346 ->4.3.10 ->5.0.2 ->5.0.4



si borras las vip y politcas y las ceras de nuevo?

saludos.

Disculpame me equivoque! hicimos este camino

FG110C-4.00-FW-build346
FG110C-4.00-FW-build639
FG110C-5.00-FW-build179
FG110C-5.00-FW-build208

segun esta guia: [Debes identificarte para poder ver enlaces.]

No se... es muy raro, no hay problema con que 2 virtual ip (con distintas ip publicas) apunten a una misma ip (interna) no?
Que me recomendas? que borre todas las policys y virtual ip y los vuelva a crear?
Gracias!

hola, no no hay problemas con esas vips.. estas haciendo port forwarding?

porba de eliominar la policy
vip y crearlo nuevamente.

Fijate que ya esta el 5.0.5

saludos

Bueno después de muchas vueltas abrí un caso en fortinet.
El tema es simple, se crea una virtual ip y al rato se cae, se vuelve a crear la virtual ip y se recupera, este es el log:

# NOT WORKING

id=13 trace_id=983 func=resolve_ip_tuple_fast line=4299 msg="vd-root received a packet(proto=6, 75.126.39.114:54902->190.221.XX.X:443) from wan2."
id=13 trace_id=983 func=init_ip_session_common line=4428 msg="allocate a new session-0264e7ed"
id=13 trace_id=983 func=get_new_addr line=2395 msg="find SNAT: IP-10.10.16.13(from IPPOOL), port-443"
id=13 trace_id=983 func=_pre_route_auth line=99 msg="pre_route_auth check fail(id=0), drop"
id=13 trace_id=984 func=resolve_ip_tuple_fast line=4299 msg="vd-root received a packet(proto=6, 75.126.39.114:59763->190.221.XX.X:443) from wan2."
id=13 trace_id=984 func=init_ip_session_common line=4428 msg="allocate a new session-0264ed63"
id=13 trace_id=984 func=get_new_addr line=2395 msg="find SNAT: IP-10.10.16.13(from IPPOOL), port-443"
id=13 trace_id=984 func=_pre_route_auth line=99 msg="pre_route_auth check fail(id=0), drop"
id=13 trace_id=985 func=resolve_ip_tuple_fast line=4299 msg="vd-root received a packet(proto=6, 75.126.39.114:59763->190.221.XX.X:443) from wan2."
id=13 trace_id=985 func=init_ip_session_common line=4428 msg="allocate a new session-0264ed96"
id=13 trace_id=985 func=get_new_addr line=2395 msg="find SNAT: IP-10.10.16.13(from IPPOOL), port-443"
id=13 trace_id=985 func=_pre_route_auth line=99 msg="pre_route_auth check fail(id=0), drop"

# WORKING

id=13 trace_id=999 func=resolve_ip_tuple_fast line=4299 msg="vd-root received a packet(proto=6, 75.126.39.114:45509->190.221.XX.X:443) from port6."
id=13 trace_id=999 func=init_ip_session_common line=4428 msg="allocate a new session-0264faae"
id=13 trace_id=999 func=get_new_addr line=2395 msg="find SNAT: IP-10.10.16.13(from IPPOOL), port-443"
id=13 trace_id=999 func=fw_pre_route_handler line=175 msg="VIP-10.10.16.13:443, outdev-port6"
id=13 trace_id=999 func=__ip_session_run_tuple line=2523 msg="DNAT 190.221.XX.X:443->10.10.16.13:443"
id=13 trace_id=999 func=vf_ip4_route_input line=1603 msg="find a route: gw-10.10.16.13 via port7"
id=13 trace_id=999 func=fw_forward_handler line=647 msg="Allowed by Policy-348:"
id=13 trace_id=1000 func=resolve_ip_tuple_fast line=4299 msg="vd-root received a packet(proto=6, 75.126.39.114:45509->190.221.XX.X:443) from port6."
id=13 trace_id=1000 func=resolve_ip_tuple_fast line=4333 msg="Find an existing session, id-0264faae, original direction"
id=13 trace_id=1000 func=ipv4_fast_cb line=50 msg="enter fast path"

Estoy esperando a ver que dice, pero si alguien sabe que significa esta linea:
id=13 trace_id=985 func=_pre_route_auth line=99 msg="pre_route_auth check fail(id=0), drop

se agradeceria

hola, en el post atenrior te hice una pregunta, pero no me respondiste...

estas haciendo port forwarding???? o no?

podrias mostrar el vip?

a demas tambien estas usando ippool ???????

saludos

Hola, disculpame, no vi el anterior mensaje

Probe de las dos maneras, usando port forwarding y no usándolo y siempre pasa lo mismo, esos log son usándolo contra el puerto 443.
Te paso el vip de este caso en particular:



No estoy usando ninguna IP Pool, solo Virtual IP's

Todavia sigo en la version 5.0.3, no quiero actualizar por ahora, es mi ultima opcion

hola, mostras la politica?

tambien usas ippool con esa ip publica en otra politica??

saludos.

Esta es la única política que tengo con esta virtual IP:

Donde port6 es una interface con IP publica 190.221.XX.2 (sin ips secundarios agregados, los tomo directamente con las virtual ip)
y port7 es una interface con rango privado 10.10.16.1



No entiendo a lo que te referis con IP pool, dentro de:

Firewall Objects -> Virtual IP -> IP Pool: No tengo nada, todo vació-

Firewall Objects -> Virtual IP -> Virtual IP: Es donde tengo esto y varias virtual IP similares:



gracias!

Hola, al nombre del vip sacale los ":"


el TAC de fortinet que te dice? upgrade?
saludos.

Dale, le voy a sacar los dos puntos.
Todavia nada, estoy esperando que me respondan.
saludos.