Saludos Gabriel.
Oye gabriel, tengo un lio con la instalacion de dos máquinas 3810 que tengo. Espero me puedas ayudar.
Lo que pasa es que en mi empresa se compraron dos FG 3810A para que trabajen en alta disponibilidad, realmente no habia tenido en cuenta de que manera trabaja las maquinas cuando uno le habilita Actve-Active para realizar balanceo de carga y en estos días que he realizado el plan de trabajo para ponerlas en HA me he encontrado un lio.
Mi red tiene dos Routers de frontera los cuales cada uno tiene un ISP diferente para poder tener REDUNDANCIA y no depender de un solo proveedor. La idea es que pueda ubicar un Firewall detrás de cada router de modo que mis redes locales puedan tomar cualquier de los dos caminos de salida y ponerlos a trabajar en HA modo Active-Active, y es ahi en donde encontre el problema, porque he releído los documentos guia sobre el tema y no he encontrado un ejemplo que me permita hacerlo ya que tecnicamente tendria dos salidas hacia internet (Dos Gw diferentes) y en ese estado el firewall debe tener la misma configuracion en todo. Se me complica mas el tema ya que tengo uno de los dos en producción recibiendo trafico y mapeando VIP hacia mi red y esa configuracion debe mantenerse.
Espero ser claro y agradezco cualquier ayuda que me puedan dar.
Gracias.
VDOM-HA
Re: VDOM-HA
Hola, com estas? SI queres mantener eso, no podrias hacerlo en HA. Como bien decis, si quiseras tenerlos en HA los dos tienen la misma configuracion.
Lo que si podrias es ponerlos en HA pero con los 2 enlaces conectados, y trabajar con las policy routes para sacar rango de ip por una wan y por la otra.
para hacer eso hay que configurar bastante, a demas de tener los mismos equipos para el ha deben tener el mismo firmware, etc.
saludos
Gabriel
Lo que si podrias es ponerlos en HA pero con los 2 enlaces conectados, y trabajar con las policy routes para sacar rango de ip por una wan y por la otra.
para hacer eso hay que configurar bastante, a demas de tener los mismos equipos para el ha deben tener el mismo firmware, etc.
saludos
Gabriel
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
-
camilo.villota
- Mensajes: 41
- Registrado: 15 Dic 2008, 17:39
Re: VDOM-HA
Saludos Gabriel.
Tenia la esperanza de que me dijeras que se puede....pero bueno.
He estado revizando una idea, pero no sé si sea muy loca. Mira:
Estaba pensando en poner a trabajar los VDOM en cada máquina, es decir que detras de cada Router de frontera esten "dos Firewall" uno ROOT y otro creado "FG-2" con la intención de que el root salga por un router y el otro "FG-2" salga por el segundo router y hacer lo mismo en el otro firewall detras del otro Router de frontera.
Para mi LAN lo que haria es que cada servidor tenga 2 VLAN en su tarjeta de red de modo que pueda salir por cualquiera de los dos lados, pues cada vlan apuntaria a salir por uno de los dos firewall....(Espero me entiendas). La duda que tengo es si de este modo podria poner las máquinas de alguna manera en HA, asi sea en Active-pasive.
Realmente no tendria problema con lo del firmware y eso, porque las máquinas son igualitas
Agradezco tus comentarios.
Tenia la esperanza de que me dijeras que se puede....pero bueno.
He estado revizando una idea, pero no sé si sea muy loca. Mira:
Estaba pensando en poner a trabajar los VDOM en cada máquina, es decir que detras de cada Router de frontera esten "dos Firewall" uno ROOT y otro creado "FG-2" con la intención de que el root salga por un router y el otro "FG-2" salga por el segundo router y hacer lo mismo en el otro firewall detras del otro Router de frontera.
Para mi LAN lo que haria es que cada servidor tenga 2 VLAN en su tarjeta de red de modo que pueda salir por cualquiera de los dos lados, pues cada vlan apuntaria a salir por uno de los dos firewall....(Espero me entiendas). La duda que tengo es si de este modo podria poner las máquinas de alguna manera en HA, asi sea en Active-pasive.
Realmente no tendria problema con lo del firmware y eso, porque las máquinas son igualitas
Agradezco tus comentarios.
Re: VDOM-HA
Hola, no se porque tanto lio. Pones la 2 wan en el mismo equipo con ha y listo.
configuras todo para que salgan por las 2 o para que salga algo por una y algo por otra.
saludos
configuras todo para que salgan por las 2 o para que salga algo por una y algo por otra.
saludos
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
-
camilo.villota
- Mensajes: 41
- Registrado: 15 Dic 2008, 17:39
Re: VDOM-HA
Hola nuevamente.
Te doy un ejemplo de lo que me pone a pensar si hago lo que me dices.
Tengo un servidor de Correo mapeado de la 190.6.160.34 a la 10.6.160.34 y sale por la WAN1, asi que frente a Hotmail siempre debe apracer con la 190.6.160.34 para que no me rechace los correos...digamos que pongo los 2 gw y utilizo una política de ruta que siempre me saque el trafico por WAN1..si se me llega a caer la WAN1 entonces que pasaria?...perderia el mapeo?..Saldria por WAN2?...si sale por wan 2 y no se pierde el mapeo seria genial!.
Gracias por tu ayuda.
Te doy un ejemplo de lo que me pone a pensar si hago lo que me dices.
Tengo un servidor de Correo mapeado de la 190.6.160.34 a la 10.6.160.34 y sale por la WAN1, asi que frente a Hotmail siempre debe apracer con la 190.6.160.34 para que no me rechace los correos...digamos que pongo los 2 gw y utilizo una política de ruta que siempre me saque el trafico por WAN1..si se me llega a caer la WAN1 entonces que pasaria?...perderia el mapeo?..Saldria por WAN2?...si sale por wan 2 y no se pierde el mapeo seria genial!.
Gracias por tu ayuda.
Re: VDOM-HA
hola, si en la politica de ruteo no le pones gw, si sa cae, saldra por la otra wan
saludos
saludos
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
-
camilo.villota
- Mensajes: 41
- Registrado: 15 Dic 2008, 17:39
Re: VDOM-HA
Que tal Gabriel.
Te cuento que he realizado esta prueba:
1.Conecté las dos WAN...(wan1 y wan2).
2. Configuré dos rutas por defecto para que puedan ser utilizadas pero a wan1 la deje como principal.
3. Configuré la VIP para que a mi servidor DNS lo vean en Internet por la 200.29.XX.--- => 10.0.0.2/8.
4. Puse una regla de firewall que dice que: source Wan1=any, dest LAN=VIP service=any
5. Coloqué otras dos reglas para navegar: LAN =>Wan1 y LAN=>Wan2
Hasta aqui todo funciona perfecto ya que desde internet le doy ping a mi servidor DNS y responde sin problema, pero lo que necesito es que pueda salir por wan2 si se cae la principan...asi que hice lo que me dices:
6. Creé una politica de ruta que dice que cualquier dirección de la subred 10.0.0.0/8 que entre por el puerto LAN salga por Wan1 y como dices, no le puse Gw.
Hice la prueba y efectivamente sale a internet por la otra salida, pero la VIP se me pierde.
En que parte estoy fallando?....agradeceria si me indicas lo que me hace falta, pues la idea es que la VIP no la pierda.
Te cuento que he realizado esta prueba:
1.Conecté las dos WAN...(wan1 y wan2).
2. Configuré dos rutas por defecto para que puedan ser utilizadas pero a wan1 la deje como principal.
3. Configuré la VIP para que a mi servidor DNS lo vean en Internet por la 200.29.XX.--- => 10.0.0.2/8.
4. Puse una regla de firewall que dice que: source Wan1=any, dest LAN=VIP service=any
5. Coloqué otras dos reglas para navegar: LAN =>Wan1 y LAN=>Wan2
Hasta aqui todo funciona perfecto ya que desde internet le doy ping a mi servidor DNS y responde sin problema, pero lo que necesito es que pueda salir por wan2 si se cae la principan...asi que hice lo que me dices:
6. Creé una politica de ruta que dice que cualquier dirección de la subred 10.0.0.0/8 que entre por el puerto LAN salga por Wan1 y como dices, no le puse Gw.
Hice la prueba y efectivamente sale a internet por la otra salida, pero la VIP se me pierde.
En que parte estoy fallando?....agradeceria si me indicas lo que me hace falta, pues la idea es que la VIP no la pierda.
Re: VDOM-HA
hola, como estas?
como pusiste las distancia de las wans? y la prioridad?
saludos
como pusiste las distancia de las wans? y la prioridad?
saludos
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
-
camilo.villota
- Mensajes: 41
- Registrado: 15 Dic 2008, 17:39
Re: VDOM-HA
Hola Gabriel.
Pues las distancias las puse así:
Wan1=10, priority 1
Wan2=20, no le puse prioridad.
Por si algo tengo el Firmware 3.0 MR7 patch2.
Gracias.
Pues las distancias las puse así:
Wan1=10, priority 1
Wan2=20, no le puse prioridad.
Por si algo tengo el Firmware 3.0 MR7 patch2.
Gracias.
Re: VDOM-HA
hola, como estas? como esta asi, todo sale por la wan1, y como backupo tenes la wan2
que es lo que queres hacer?
saludos
que es lo que queres hacer?
saludos
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
-
camilo.villota
- Mensajes: 41
- Registrado: 15 Dic 2008, 17:39
Re: VDOM-HA
Hola.
Si exacto, funciona como lo dices, todo sale por Wan1 y de respaldo tengo la Wan2, pero lo que pasa es que Tengo varias VIP mapeando servidores dentro de mi red y están ubicadas en la Wan1 y cuando hago caer la principal (Wan1) y las conexiones pasan a Wan2 éstas VIP ya no me funcionan. Es posible que igualmente las VIP sigan funcionando en Wan2?.
Te agradezco.
Si exacto, funciona como lo dices, todo sale por Wan1 y de respaldo tengo la Wan2, pero lo que pasa es que Tengo varias VIP mapeando servidores dentro de mi red y están ubicadas en la Wan1 y cuando hago caer la principal (Wan1) y las conexiones pasan a Wan2 éstas VIP ya no me funcionan. Es posible que igualmente las VIP sigan funcionando en Wan2?.
Te agradezco.
Re: VDOM-HA
hola, como estas? tendra que configurar los vip por la wan2 con sus respectivas politicas.
saludos
saludos
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
-
camilo.villota
- Mensajes: 41
- Registrado: 15 Dic 2008, 17:39
Re: VDOM-HA
Saludos Gabriel.
Mira que finalmente decidí dejar las dos Wan activas configurandoles las rutas por defecto exactamente en distancia y prioridad. Tambien para cumplir la norma de disponibilidad para mis servidores lo que hice fue hacer VIP para ellos mapeados con direcciones publicas diferentes pero apuntando a la misma privada dentro de mi LAN.
Con eso y tu ayuda he resuelto el lio que tenia par aponerlos en HA.
Muchas Gracias Gabriel.
Mira que finalmente decidí dejar las dos Wan activas configurandoles las rutas por defecto exactamente en distancia y prioridad. Tambien para cumplir la norma de disponibilidad para mis servidores lo que hice fue hacer VIP para ellos mapeados con direcciones publicas diferentes pero apuntando a la misma privada dentro de mi LAN.
Con eso y tu ayuda he resuelto el lio que tenia par aponerlos en HA.
Muchas Gracias Gabriel.
Re: VDOM-HA
hola, de nada
saludos y suerte.
gabriel
saludos y suerte.
gabriel
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst