Acceso a internet cluster Fortigate
Publicado: 03 Nov 2016, 16:02
Buenos días.
Estoy experimentando problemas con el acceso a internet en un cluster de dos fotinet 100D.
El problema se presenta con el cluster en modo activo/activo o activo/pasivo.
En modo activo/activo al querer salir a internet y aplicar algun perfil utm, el maestro sincroniza la sesion con la unidad secundaria, pero recibo errores de connection reset.
en modo activo/pasivo o activo/activo no puedo loguearme a traves de ssl vpn por una de las conexiones wan.
Actualmente tengo dos conexiones a internet por dhcp, de las cuales wan1 y wan 2 forman parte de una zona llamada internet (los portales ssl responden a traves de esta zona).Si intento conectarme a traves de wan2 puedo. Pero si desconecto el acceso a internet de wan2 dejando solo wan1, este funciona.
Lo que noté en el fortinet es que los paquetes de wan1 (syn) llegan a la unidad y este no responde (syn ack), por lo que el cliente da error de timeout (esto lo capture con diag sniffer packet).
si capturamos trafico con diag debug flow, veo que el fortinet intenta alocar una nueva sesión, pero nunca finaliza (allocate new session repetidamente).
Para el acceso a internet estaba utilizando un switch hp con dos vlan's, una para wan 1 y otra para wan2, las cuales conectaban los dos forti y el cablemoden a cada una respectivamente, pero me generaba mucha latencia, bajando el rendimiento del acceso a internet en un 80 % (de 50 Mb solo funcionaba a 10), de modo que ahora están directo para realizar estas pruebas.
Cualquier idea es bienvenida.
Saludos.
Estoy experimentando problemas con el acceso a internet en un cluster de dos fotinet 100D.
El problema se presenta con el cluster en modo activo/activo o activo/pasivo.
En modo activo/activo al querer salir a internet y aplicar algun perfil utm, el maestro sincroniza la sesion con la unidad secundaria, pero recibo errores de connection reset.
en modo activo/pasivo o activo/activo no puedo loguearme a traves de ssl vpn por una de las conexiones wan.
Actualmente tengo dos conexiones a internet por dhcp, de las cuales wan1 y wan 2 forman parte de una zona llamada internet (los portales ssl responden a traves de esta zona).Si intento conectarme a traves de wan2 puedo. Pero si desconecto el acceso a internet de wan2 dejando solo wan1, este funciona.
Lo que noté en el fortinet es que los paquetes de wan1 (syn) llegan a la unidad y este no responde (syn ack), por lo que el cliente da error de timeout (esto lo capture con diag sniffer packet).
si capturamos trafico con diag debug flow, veo que el fortinet intenta alocar una nueva sesión, pero nunca finaliza (allocate new session repetidamente).
Para el acceso a internet estaba utilizando un switch hp con dos vlan's, una para wan 1 y otra para wan2, las cuales conectaban los dos forti y el cablemoden a cada una respectivamente, pero me generaba mucha latencia, bajando el rendimiento del acceso a internet en un 80 % (de 50 Mb solo funcionaba a 10), de modo que ahora están directo para realizar estas pruebas.
Cualquier idea es bienvenida.
Saludos.