Página 1 de 2
Problema de Conexion
Publicado: 26 Abr 2017, 22:58
por cristofer666
Estimados junto con saludar, les comento que mantengo un Fortigate 80D en el cual tengo configurado de la siguiente forma:
Port1: Wan1
Port2: Lan 1
Lan 1.1
Lan 1.2
Port3: Wan2
Port4: DMZ
En post anterior les manifestaba que había realizado una Wan Balanceada entre (Port1: Wan1 y Port3: Wan2), antes de realizar este procedimiento mantenía la configuración de mis LAN y podía acceder a cada una de mis LANS sin ningún problema. Al establecer la Wan Balanceada se me perdio la conectividad entre mis LANS. Problema que aun no puedo resolver.
Adicional a esto estoy configurando en el port4 una red DMZ donde quiero ubicar mi servidor de correo. Para esto ya genere una Ip Virtual desde port2:LAN a port4:DMZ.
También procedí a crear una política que permita la salida a Internet desde los equipos de mi port4:DMZ.
Al validar observo que no puedo salir al Internet. y Revisando los LOGS se observa que al validar el DNS que tengo registrado en el fortinet solo envía pero no recibe.
En atenta espera de vuestra ayuda.
Saludos cordiales.
Re: Problema de Conexion
Publicado: 26 Abr 2017, 23:27
por makco10
Hola,
nos muestras tus rutas estaticas y tambien las politicas de ruteo.
Re: Problema de Conexion
Publicado: 26 Abr 2017, 23:37
por cristofer666
Estas son mis rutas y politicas de rutas.
Gracias por tu tiempo
Re: Problema de Conexion
Publicado: 26 Abr 2017, 23:51
por makco10
ok la politica de wan-load-balance deberia de ser con la interface de tu lan no con la dmz.
LAN -> wan-load-balance
Valida tu configuracion : [Debes identificarte para poder ver enlaces.]
Re: Problema de Conexion
Publicado: 27 Abr 2017, 00:20
por cristofer666
Te comento que la politica del firewall de la wan-load-balance esta contra la lan y contra la dmz. Y como te explico mi LAN navega bien no tengo problema, la que no navega es mi DMZ.
Re: Problema de Conexion
Publicado: 27 Abr 2017, 00:27
por makco10
mmm entiendo, solo por prueba quita el ssl certificate inspection.
de ahi lo que podrias hacer es probar configurando la dmz hacia el wan1 o wan2 solo para validar si navegas y no es otro tema.
Re: Problema de Conexion
Publicado: 27 Abr 2017, 00:34
por cristofer666
Te comento, que en la configuración de las políticas del firewall no aparece ni la wan1 ni la wan2, aparece solo la wan-load-balance para elegir.
Re: Problema de Conexion
Publicado: 27 Abr 2017, 00:47
por makco10
si es decir me referia a quitar el wan-load-balance, pero esta raro si en la lan no tienes problemas. Aun no navegas luego de quitar el ssl inspection?.
Re: Problema de Conexion
Publicado: 27 Abr 2017, 00:51
por cristofer666
afirmativo, no navego, lo raro es que veo que el dns sale pero no retorna, en algun punto estoy bloqueado pero no veo donde
Re: Problema de Conexion
Publicado: 27 Abr 2017, 16:02
por Garsa
Hola Cristofer,
Puedes compartir el output de siguiente scenario?
La idea es probar desde la maquina con ip 192.168.1.42 y ver que pasa con el trafico. Si quieres usar otra maquina, no hay problema, solo actualiza la IP en el comando. (Escogi esa porque la vi en el PBR)
Asegurate que estes guardande el output de la sesion SSH
di de reset
di de ena
di de fl sh con ena
di de fl sh function ena
di de fl filter clear
di de fl filter addr 192.168.1.42
di de fl trace start 100
## Si no te salio nada (esperando que la maquina este idle)
## Ve a 192.168.1.42 y desde ahi trata de navegar
## Si se te lleno la consola, esta bien podemos mirar que trafico esta saliendo
di de fl trace stop
di de reset
di de disa
Adjunta el log cuando puedas.
Saludos,
Garsa
Re: Problema de Conexion
Publicado: 27 Abr 2017, 16:48
por cristofer666
Muchas Gracias Garsa por tu ayuda, y mira escogi la 192.10.10.5 que es la que no puede navegar desde la red dmz. El log es el siguiente, la prueba que realice solo fue hacer un ping a
[Debes identificarte para poder ver enlaces.] y a 8.8.8.8:
Código: Seleccionar todo
id=20085 trace_id=90 func=ids_receive line=239 msg="send to ips"
id=20085 trace_id=90 func=__ip_session_run_tuple line=2597 msg="SNAT 192.10.10.5->192.168.4.3:12532"
id=20085 trace_id=91 func=print_pkt_detail line=4478 msg="vd-root received a packet(proto=17, 192.10.10.5:37639->8.8.4.4:53) from port4. "
id=20085 trace_id=91 func=init_ip_session_common line=4631 msg="allocate a new session-0347291c"
id=20085 trace_id=91 func=vf_ip4_route_input line=1586 msg="Match policy routing: to 8.8.4.4 via ifindex-2"
id=20085 trace_id=91 func=vf_ip4_route_input line=1596 msg="find a route: flags=00000000 gw-190.95.158.129 via port1"
id=20085 trace_id=91 func=fw_forward_handler line=686 msg="Allowed by Policy-21: SNAT"
id=20085 trace_id=91 func=ids_receive line=239 msg="send to ips"
id=20085 trace_id=91 func=__ip_session_run_tuple line=2597 msg="SNAT 192.10.10.5->192.168.4.3:37639"
id=20085 trace_id=91 func=__ip_session_run_tuple line=2648 msg="run helper-dns-udp(dir=original)"
id=20085 trace_id=92 func=print_pkt_detail line=4478 msg="vd-root received a packet(proto=1, 192.10.10.5:12532->8.8.8.8:8) from port4. code=8, type=0, id=12532, seq=6."
id=20085 trace_id=92 func=resolve_ip_tuple_fast line=4541 msg="Find an existing session, id-034728e6, original direction"
id=20085 trace_id=92 func=ids_receive line=239 msg="send to ips"
id=20085 trace_id=92 func=__ip_session_run_tuple line=2597 msg="SNAT 192.10.10.5->192.168.4.3:12532"
id=20085 trace_id=93 func=print_pkt_detail line=4478 msg="vd-root received a packet(proto=17, 192.10.10.5:51031->186.5.11.2:53) from port4. "
id=20085 trace_id=93 func=resolve_ip_tuple_fast line=4541 msg="Find an existing session, id-0347289f, original direction"
id=20085 trace_id=93 func=__ip_session_run_tuple line=2597 msg="SNAT 192.10.10.5->192.168.4.3:51031"
id=20085 trace_id=93 func=ids_receive line=239 msg="send to ips"
id=20085 trace_id=93 func=__ip_session_run_tuple line=2648 msg="run helper-dns-udp(dir=original)"
id=20085 trace_id=94 func=print_pkt_detail line=4478 msg="vd-root received a packet(proto=17, 192.10.10.5:51031->186.5.11.2:53) from port4. "
id=20085 trace_id=94 func=__ip_session_run_tuple line=2597 msg="SNAT 192.10.10.5->192.168.4.3:51031"
id=20085 trace_id=94 func=resolve_ip_tuple_fast line=4541 msg="Find an existing session, id-0347289f, original direction"
id=20085 trace_id=94 func=__ip_session_run_tuple line=2648 msg="run helper-dns-udp(dir=original)"
id=20085 trace_id=94 func=ids_receive line=239 msg="send to ips"
id=20085 trace_id=95 func=print_pkt_detail line=4478 msg="vd-root received a packet(proto=1, 192.10.10.5:12532->8.8.8.8:8) from port4. code=8, type=0, id=12532, seq=7."
id=20085 trace_id=95 func=resolve_ip_tuple_fast line=4541 msg="Find an existing session, id-034728e6, original direction"
id=20085 trace_id=95 func=ids_receive line=239 msg="send to ips"
id=20085 trace_id=95 func=__ip_session_run_tuple line=2597 msg="SNAT 192.10.10.5->192.168.4.3:12532"
id=20085 trace_id=96 func=print_pkt_detail line=4478 msg="vd-root received a packet(proto=1, 192.10.10.5:12532->8.8.8.8:8) from port4. code=8, type=0, id=12532, seq=8."
id=20085 trace_id=96 func=resolve_ip_tuple_fast line=4541 msg="Find an existing session, id-034728e6, original direction"
id=20085 trace_id=96 func=ids_receive line=239 msg="send to ips"
id=20085 trace_id=96 func=__ip_session_run_tuple line=2597 msg="SNAT 192.10.10.5->192.168.4.3:12532"
id=20085 trace_id=97 func=print_pkt_detail line=4478 msg="vd-root received a packet(proto=1, 192.10.10.5:12532->8.8.8.8:8) from port4. code=8, type=0, id=12532, seq=9."
id=20085 trace_id=97 func=resolve_ip_tuple_fast line=4541 msg="Find an existing session, id-034728e6, original direction"
id=20085 trace_id=97 func=ids_receive line=239 msg="send to ips"
id=20085 trace_id=97 func=__ip_session_run_tuple line=2597 msg="SNAT 192.10.10.5->192.168.4.3:12532"
id=20085 trace_id=98 func=print_pkt_detail line=4478 msg="vd-root received a packet(proto=1, 192.10.10.5:12532->8.8.8.8:8) from port4. code=8, type=0, id=12532, seq=10."
id=20085 trace_id=98 func=resolve_ip_tuple_fast line=4541 msg="Find an existing session, id-034728e6, original direction"
id=20085 trace_id=98 func=ids_receive line=239 msg="send to ips"
id=20085 trace_id=98 func=__ip_session_run_tuple line=2597 msg="SNAT 192.10.10.5->192.168.4.3:12532"
id=20085 trace_id=99 func=print_pkt_detail line=4478 msg="vd-root received a packet(proto=17, 192.10.10.5:33991->8.8.8.8:53) from port4. "
id=20085 trace_id=99 func=resolve_ip_tuple_fast line=4541 msg="Find an existing session, id-034728d7, original direction"
id=20085 trace_id=99 func=ids_receive line=239 msg="send to ips"
id=20085 trace_id=99 func=__ip_session_run_tuple line=2597 msg="SNAT 192.10.10.5->192.168.4.3:33991"
id=20085 trace_id=99 func=__ip_session_run_tuple line=2648 msg="run helper-dns-udp(dir=original)"
id=20085 trace_id=100 func=print_pkt_detail line=4478 msg="vd-root received a packet(proto=1, 192.10.10.5:12532->8.8.8.8:8) from port4. code=8, type=0, id=12532, seq=11."
id=20085 trace_id=100 func=resolve_ip_tuple_fast line=4541 msg="Find an existing session, id-034728e6, original direction"
id=20085 trace_id=100 func=ids_receive line=239 msg="send to ips"
id=20085 trace_id=100 func=__ip_session_run_tuple line=2597 msg="SNAT 192.10.10.5->192.168.4.3:12532"
Re: Problema de Conexion
Publicado: 27 Abr 2017, 17:44
por cristofer666
Estimados muchas gracias por su ayuda he podido solucionar con las instrucciones de Garsa. Mi problema estaba en la definicion de las Virtuales. Lo que yo realizo para que se conecte mi LAN con la DMZ, es lo siguiente:
LAN --->Virtual IP ---->DMZ
Entonces mi virtual Ip la había configurado en Interface como Any, graso error, porque al responderme el dns se me perdía en esa regla. Lo que realice fue reconfigurar y la Virtual la deje como Interface de mi LAN y vuala, ya navego normalmente y no tengo ningún problema.
Solo me faltaría solucionar la primera parte de mis redes que se puedan ver mi subredes, voy a probar con el trace y les comento. Gracias Garsa. Gracias Makco10. por vuestro tiempo
Re: Problema de Conexion
Publicado: 28 Abr 2017, 16:19
por Garsa
Ha! excelente Cristofer, me alegro te haya ayudado.
Explicame mejor esa 2nda parte a ver que puede ser. También muéstrame las politicas entre esas redes.
Saludos!
Re: Problema de Conexion
Publicado: 28 Abr 2017, 19:35
por makco10
Excelente.
Re: Problema de Conexion
Publicado: 03 May 2017, 01:08
por cristofer666
Como estas Garsa, mira el problema que menciono surge de la siguiente configuracion:
Como mencione tengo un 80D con 4 puertos los cuales utilizo el port2 para mi LAN (10.10.1.0). Dentro de eso port utilizo 2 Ip's Secundarias (10.10.2.0 10.10.3.0). En una primera ocasión no tenia una Wan Load Balance y mis secundarias con la red primarias, se veían, se podía realizar ping y todo. Para estoy surge la necesidad de agregar una WAN por lo que realizo mi Wan_Load_Balance, que al realizar la misma se me pierde la funcionalidad de que mis redes LAN secundarias se vean entre si y con mis redes primarias. Les he hecho casi de todo, por politicas de Firewall, por Politicas de Rutas, pero no consigo que esas se vean. Ese es mi inconveniente.
Saludos