WAN LLB. Problema de caducidad de sesiones web
Publicado: 22 Sep 2017, 10:59
Hola, soy novato en la administración del Fortigate. En concreto tengo un 90D con firmware 5.4.5.
He configurado muchos servicios y el forti funciona en general muy bien, pero se me está dando el caso de que algunos PCs cliente tienen problemas con sesiones web en páginas de bancos (y otras). Básicamente acceden a banca electrónica y aleatoriamente les sucede que su sesión caduca y deben volver a identificarse. Esto les sucede incluso navegando por las páginas, es decir que la sesión no debería caducar por tiempo. Usamos inspección SSL de tipo "certificate-inspection"; también tenemos el certificado del Fortigate instalado en los navegadores.
Mi sospecha es la siguiente: estamos usando 2 WAN con carga balanceada y funciona muy bien pero, ¿es posible que en mitad de una sesión web bancaria el tráfico pase de una WAN a otra y el servidor externo cierre la sesión por seguridad? Hoy mismo he creado algunas Reglas LLB indicando que la dirección del banco X salga por WAN1 (por ejemplo) y parece que funciona bien (el tiempo lo dirá).
Sin embargo tengo algunas dudas:
- ¿no se pueden usar comodines en la dirección del banco? por lo visto solo puedo poner Reglas con direcciones FQDN y no Wildcard FQDN, lo que facilitaría mucho el trabajo ya que muchas páginas cargan contenido de varios dominios, por ejemplo "bancoprueba.es", "static.bancoprueba.es", etc.. lo suyo sería poner una regla con comodín "*.bancoprueba.es". Pero bueno, eso en principio tampoco me importa demasiado.
- Por otro lado, si un usuario inicia una sesión http por WAN1, por ejemplo, ¿se puede configurar que siga saliendo por ese enlace durante un tiempo determinado? Por ejemplo, que los próximos 10 minutos no haya cambios en la salida a Internet.. quizás esto no tenga mucho sentido.
¡Gracias por vuestro tiempo!
Víctor.
He configurado muchos servicios y el forti funciona en general muy bien, pero se me está dando el caso de que algunos PCs cliente tienen problemas con sesiones web en páginas de bancos (y otras). Básicamente acceden a banca electrónica y aleatoriamente les sucede que su sesión caduca y deben volver a identificarse. Esto les sucede incluso navegando por las páginas, es decir que la sesión no debería caducar por tiempo. Usamos inspección SSL de tipo "certificate-inspection"; también tenemos el certificado del Fortigate instalado en los navegadores.
Mi sospecha es la siguiente: estamos usando 2 WAN con carga balanceada y funciona muy bien pero, ¿es posible que en mitad de una sesión web bancaria el tráfico pase de una WAN a otra y el servidor externo cierre la sesión por seguridad? Hoy mismo he creado algunas Reglas LLB indicando que la dirección del banco X salga por WAN1 (por ejemplo) y parece que funciona bien (el tiempo lo dirá).
Sin embargo tengo algunas dudas:
- ¿no se pueden usar comodines en la dirección del banco? por lo visto solo puedo poner Reglas con direcciones FQDN y no Wildcard FQDN, lo que facilitaría mucho el trabajo ya que muchas páginas cargan contenido de varios dominios, por ejemplo "bancoprueba.es", "static.bancoprueba.es", etc.. lo suyo sería poner una regla con comodín "*.bancoprueba.es". Pero bueno, eso en principio tampoco me importa demasiado.
- Por otro lado, si un usuario inicia una sesión http por WAN1, por ejemplo, ¿se puede configurar que siga saliendo por ese enlace durante un tiempo determinado? Por ejemplo, que los próximos 10 minutos no haya cambios en la salida a Internet.. quizás esto no tenga mucho sentido.
¡Gracias por vuestro tiempo!
Víctor.