Comunidad FORTIGATE.es

Buenas tardes, he adquirido recientemente he adquirido un Fortigate 200D y tengo adicional a este un 200A en que actualmente estaba trabajando, se realizo la migración a el nuevo equipo, sin embargo ahora se han presentado des conexiones entre uno de mis segmentos y mi segmento local, el problema es que al activar una política en el segmento local hacia mi segmento de servidores, todas las conexiones excepto el ping son terminadas, en el log del fortigate 200D solo muestra time out y luego un close del cliente al servidor, por lo que si tengo que realizar un cambio, sacará a todos mis usuarios del sistema que lo utilizan. solo es en un segmento, pues el segmento donde se encuentran mis servidores no hay perdida de conexión entre ellos. Aun no podemos determinar que es lo que esta pasando, agradezco sus comentarios desde ahora.

Buenas!
Y que hace la politica que activas?
podras poner la config del CLI de esa politica?

Saludos!

Por ejemplo si a un grupo le agrego permisos a cualquier cosa o le quito permisos, incluso haciendo un cambio de puertos entre aplicativos permitidos a el segmento, se pierden todo tipo de conexiones excepto el ping, por ejemplo si estoy con ssh o el monitor de citrix me desconecta momentáneamente de mi segmento local al de los servidores, quedando la sesion ssh en el limbo y como activa en el sistema, aunque después de unos minutos la mata por inactividad, en el caso de citrix solo es una desconexión de su cliente, y en el caso de los aplicativos a la base de datos, es una perdida de la conexión que al ser java, tengo que reiniciar mi aplicativo, entre el mismo segmento no pasa esto. Incluso al hacer mi política de VPN al agregar la política también me desconecta las sesiones, por otra parte, ¿Que configuración es la que necesitas? Sí la puedo proporcionar.

la configuracion que necesito ver es la del cambio que haces.

te cito: "...si a un grupo le agrego permisos a cualquier cosa..."
A los grupos le asignas, agregas o quitas permisos con las politicas, por lo que te pediria una copia de la politica que estas poniendo.
para que los dos entendamos lo mismo, hay que ser preciso en lo que comentas. por ejemplo, esto seria una politica de navegacion desde una interfaz lan hacia internet:

config firewall policy
edit 1
set srcintf "LAN"
set dstintf "INTERNET"
set srcaddr "all"
set dstaddr "all"
set action accept
set schedule "always"
set service "ANY"
set comments "Navegacion Internet"
set nat enable
next
end


Ahora bien, si vos agregas una politica y no hace lo que vos queres, te pido que pongas en CLI lo que hace esa politica, tal cual esta puesto mas arriba. Se entiende? puse la politica 1 solo a MODO DE EJEMPLO.
Por otro lado, que version de FortiOS estas usando?

La versión es la v5.2.1

Esta es una VPN con otra de nuestras oficinas
edit 71
set uuid 7d46ba40-9e71-51e4-6701-2e6d83bfe6a3
set srcintf "lan"
set dstintf "wan1"
set srcaddr "LAN"
set dstaddr "LAN-Fiscales"
set action ipsec
set schedule "always"
set service "ALL"
set logtraffic all
set inbound enable
set outbound enable
set vpntunnel "VPNIngresos"
next

Las politicas entre el segmento Servidores:


edit 7
set uuid db45416e-8659-51e4-6d27-3093b3258e7c
set srcintf "lan"
set dstintf "port15"
set srcaddr "LAN"
set dstaddr "SegAdminEquipos"
set action accept
set schedule "always"
set service "ALL"
next
edit 8
set uuid f4f6d62c-8659-51e4-7c83-b47fa967e8d1
set srcintf "port15"
set dstintf "lan"
set srcaddr "SegAdminEquipos"
set dstaddr "LAN"
set action accept
set schedule "always"
set service "ALL"
next

y la única política establecida para el acceso a Internet ahora:

edit 3
set uuid 01c0ebea-8641-51e4-f3d7-96aa78b519d0
set srcintf "lan"
set dstintf "wan1"
set srcaddr "LAN"
set dstaddr "all"
set action accept
set schedule "always"
set service "ALL"
set logtraffic all
set nat enable
next

Hola, ni bien puedas llevalo a 5.2.2

saludos

Buenas!
Como dice Gaby, primero haria un update para ir a la ultima version si notas un comportamiento del equipo que te parece anormal en un Firewall.

Segundo, hasta donde entendi te pasa que al aplica la politica 71 es donde perdes trafico cierto? y esto creo que es normal ya que el trafico se te debe estar yendo por esa politica y la VPN quiza no levanta o te dropea los paquetes.

Podras poner la configuracion de Ike Phase1 y 2 de esa VPN? tenes administracion del otro peer de la VPN?

en lo particular no me gustan mucho las VPN per policy, ya que son bastante parecidas a la de cisco, donde el trafico interesante lo definen las address de las politicas, quiza una alternativa sea cambiar el tipo de VPN por una basada en interfaz, en donde levantas IKE phase1, phase2, creas una ruta y luego la tratas como una interfaz mas del equipo, en donde creas una politica mas simple, como la nro 7.

Saludos!

Estoy verificando la parte de hacer el update, sin embargo la comunicación se pierde entre el la política 7 y la 8, los usuarios de la política 76 (VPN) no se dan cuenta y a ellos no los desconecta pues entran a los servidores directamente, solo son mis segmentos locales, el update lo haré este fin de semana pues ya lo tenemos en producción.
Agradezco mucho sus consejos.

Saludos después de asistencia técnica con alguien de soporte de fortigate, de ejecutaron los siguientes comando para corregir el error:

set anti-replay loose
set strict-dirty-session-check disable

Con esto evita que las conexiones entre mis segmentos dejen de cerrarse al aplicar una política de cualquiera de los segmentos

Agradezco mucho su apoyo, y comparto la solución que me dieron con ustedes buena tarde