Buenas tardes,
Os comento lo que me sucede por si a alguien se le ocurre que puede estar pasando.
Tenemos varias VDOMs creadas. Dentro de cada una de ellas, nateamos IPs contra las IPs de las sucursales a las que queremos llegar.
El problema es que cuando intentamos hacer un ping desde nuestra sucursal a las demás no llegamos. Hasta que no hacemos un cambio en la IP del puerto de gestión y le engañamos diciéndole que la IP de ese puerto es la IP nateada a la que queremos llegar, y volvemos a poner en el puerto de gestión la IP correcta, no funciona nada de lo que hemos hecho en las Virtual IP.
Parece algo de arp, pero no sé como comprobarlo.
¿Alguien sabe que puede pasar? ¿Qué pruebas puedo hacer para intentar descubrir el problema?
Muchas gracias.
Saludos.
NAT FORTI 620B v4.0,build0185,091020 (MR1 Patch 1)
Re: NAT FORTI 620B v4.0,build0185,091020 (MR1 Patch 1)
Hola, no entendi, tenes vdoms??? o vlan????
como es la conexion contra las sucursales? si explicas con mas detalles, podremos ayudarte mejor.
saludos
como es la conexion contra las sucursales? si explicas con mas detalles, podremos ayudarte mejor.
saludos
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
Re: NAT FORTI 620B v4.0,build0185,091020 (MR1 Patch 1)
Perdón por no explicarlo muy bien. Es un poco complicado de explicar.
A los VDOMs me refiero a fortis virtuales que creamos. Luego dentro de cada VDOM creamos VPNs IPSEC contra las sucursales, y dentro VIRTUAL IP creamos las IPs nateadas.
Despues hacemos un ping a una IP nateada sin recibir los reply. Cambiamos la IP del puerto de gestión, y ponemos la misma IP nateada a la que estamos haciendo ping. Cuando empieza a responder, volvemos a poner al puerto de gestión la IP de gestión que tenía antes y funciona todo bien durante un tiempo. Al cabo de 20 horas como mucho o hacemos el cambio ese o no vemos las máquinas de las sucursales. Parace algo de tablas arp, pero no tengo ni idea de que puede estar pasando.
Gracias.
Saludos.
A los VDOMs me refiero a fortis virtuales que creamos. Luego dentro de cada VDOM creamos VPNs IPSEC contra las sucursales, y dentro VIRTUAL IP creamos las IPs nateadas.
Despues hacemos un ping a una IP nateada sin recibir los reply. Cambiamos la IP del puerto de gestión, y ponemos la misma IP nateada a la que estamos haciendo ping. Cuando empieza a responder, volvemos a poner al puerto de gestión la IP de gestión que tenía antes y funciona todo bien durante un tiempo. Al cabo de 20 horas como mucho o hacemos el cambio ese o no vemos las máquinas de las sucursales. Parace algo de tablas arp, pero no tengo ni idea de que puede estar pasando.
Gracias.
Saludos.
Re: NAT FORTI 620B v4.0,build0185,091020 (MR1 Patch 1)
Hola, que firmware tenes?
saludos
saludos
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
Re: NAT FORTI 620B v4.0,build0185,091020 (MR1 Patch 1)
gabyrossi escribió:Hola, que firmware tenes?
saludos
Hola,
el que pone en el nombre del post ; )
v4.0,build0185,091020 (MR1 Patch 1), pero el problema ya viene de la v3.
Gracias gabyrossi.
Saludos.
Re: NAT FORTI 620B v4.0,build0185,091020 (MR1 Patch 1)
Ok, perdon, pero sigo sin terminar de entender
"Despues hacemos un ping a una IP nateada sin recibir los reply. Cambiamos la IP del puerto de gestión, y ponemos la misma IP nateada a la que estamos haciendo ping. Cuando empieza a responder, volvemos a poner al puerto de gestión la IP de gestión que tenía antes y funciona todo bien durante un tiempo. Al cabo de 20 horas como mucho o hacemos el cambio ese o no vemos las máquinas de las sucursales. Parace algo de tablas arp, pero no tengo ni idea de que puede estar pasando."
ip de gestion de que?
como armaste los vips? para que necesitas vips, si tenes un vpn ? o no tiene relacion una cosa con la otra.
Trata de explicar los detalles ya que no conocemos como esta configurado tu fortigate y mucho menos tu red.
saludos
"Despues hacemos un ping a una IP nateada sin recibir los reply. Cambiamos la IP del puerto de gestión, y ponemos la misma IP nateada a la que estamos haciendo ping. Cuando empieza a responder, volvemos a poner al puerto de gestión la IP de gestión que tenía antes y funciona todo bien durante un tiempo. Al cabo de 20 horas como mucho o hacemos el cambio ese o no vemos las máquinas de las sucursales. Parace algo de tablas arp, pero no tengo ni idea de que puede estar pasando."
ip de gestion de que?
como armaste los vips? para que necesitas vips, si tenes un vpn ? o no tiene relacion una cosa con la otra.
Trata de explicar los detalles ya que no conocemos como esta configurado tu fortigate y mucho menos tu red.
saludos
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
Re: NAT FORTI 620B v4.0,build0185,091020 (MR1 Patch 1)
Perdona gabyrossi,
no me extraña que no lo entiendas. Tampoco se como explicartelo pero intentaré aclarate todo lo que pueda.
A IP de gestión me refiero a la pata del forti que está dedicado a la gestión (administración de máquinas, etc...) de los dispositovos y servidores en las sucursales. Luego tenemos otro que es servicio, por el que monitorizamos sistemas a través de Nagios. Es una segmentación de servicios (gestión y servicio). Espero que lo entiendas así.
Configuramos un nuevo VDOM (forti virtual para gestionar esta sucursal desde un forti "limpio"), y dentro de este empezamos a configurar la VPN IPSec. Despues nateamos las IPs a las que queremos llegar desde nuestra oficina, que pasamos a través del puerto de gestión y este nos enviaría por la VDOM correspondiente a la que perteneciese esa IP.
El problema es que las ips nateadas no funcionan hasta que cambiamos la ip del puerto por el que hacemos la gestion. Cambiamos esa ip por la nateada que queremos usar, hacemos ping a esa ip nateada y cuando empieza a responder al ping ya podemos volver a cambiar la ip del puerto de gestion por la suya. Para hacer esto debemos hacerlo por la IP pública del forti porque como habrás visto perdemos la gestión del forti.
Si necesitas información que te pueda aclarar este escenario, dímelo.
Muchas gracias.
Saludos.
no me extraña que no lo entiendas. Tampoco se como explicartelo pero intentaré aclarate todo lo que pueda.
A IP de gestión me refiero a la pata del forti que está dedicado a la gestión (administración de máquinas, etc...) de los dispositovos y servidores en las sucursales. Luego tenemos otro que es servicio, por el que monitorizamos sistemas a través de Nagios. Es una segmentación de servicios (gestión y servicio). Espero que lo entiendas así.
Configuramos un nuevo VDOM (forti virtual para gestionar esta sucursal desde un forti "limpio"), y dentro de este empezamos a configurar la VPN IPSec. Despues nateamos las IPs a las que queremos llegar desde nuestra oficina, que pasamos a través del puerto de gestión y este nos enviaría por la VDOM correspondiente a la que perteneciese esa IP.
El problema es que las ips nateadas no funcionan hasta que cambiamos la ip del puerto por el que hacemos la gestion. Cambiamos esa ip por la nateada que queremos usar, hacemos ping a esa ip nateada y cuando empieza a responder al ping ya podemos volver a cambiar la ip del puerto de gestion por la suya. Para hacer esto debemos hacerlo por la IP pública del forti porque como habrás visto perdemos la gestión del forti.
como armaste los vips? para que necesitas vips, si tenes un vpn ? o no tiene relacion una cosa con la otra.
Si necesitas información que te pueda aclarar este escenario, dímelo.
Muchas gracias.
Saludos.
Re: NAT FORTI 620B v4.0,build0185,091020 (MR1 Patch 1)
Hola, como estas? si lo que queres tener es comunicaion entre los vdom, tendras que hacer uj vdom link.
[Debes identificarte para poder ver enlaces.]
[Debes identificarte para poder ver enlaces.]
Lo de la ip de gestion, no entiendo porque tenes que modificar, si es porque usas la misma ip de gestion para manejar los equipos y ademas el virtual para entrar a los servers, deberas modificar el port de administracion del fortigate https que sea 442 por ejemplo y http en vez de 80 que sea 81.
asi no tendras que modificar cuando te conectas a los vips.
saludos
[Debes identificarte para poder ver enlaces.]
[Debes identificarte para poder ver enlaces.]
Lo de la ip de gestion, no entiendo porque tenes que modificar, si es porque usas la misma ip de gestion para manejar los equipos y ademas el virtual para entrar a los servers, deberas modificar el port de administracion del fortigate https que sea 442 por ejemplo y http en vez de 80 que sea 81.
asi no tendras que modificar cuando te conectas a los vips.
saludos
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst