Cómo resolver problemas con las IPs secundarias asignadas en FortiGate HA activo-pasivo en AWS entre múltiples zonas

En entornos de alta disponibilidad (HA) de FortiGate en Amazon Web Services (AWS) con múltiples zonas, es crucial entender cómo re-asignar direcciones IP públicas secundarias durante un failover. Este artículo aborda el proceso y los comandos necesarios para garantizar que la configuración de la red siga siendo funcional y eficiente, ayudando a prevenir interrupciones en el servicio.

Índice

1 Descripción del problema
2 Alcance
3 Diagnóstico paso a paso
4 Solución recomendada
5 Comandos CLI utilizados
6 Buenas prácticas y recomendaciones
7 Notas adicionales

Descripción del problema

Cuando se produce un failover de FortiGate HA en un entorno de AWS con múltiples zonas, las direcciones IP asignadas pueden no transferirse automáticamente. Esto se hace más complejo si hay varias IP públicas mapeadas a IPs privadas. Es fundamental gestionar correctamente estas asignaciones para mantener la continuidad del servicio.

Alcance

Este artículo se centra en la configuración de FortiGate HA en AWS, específicamente en cómo manejar la re-asignación de IPs en un entorno de múltiples zonas.

Diagnóstico paso a paso

En un entorno típico de AWS, los dispositivos FortiGate en alta disponibilidad (HA) tendrán un rango de direcciones IP diferente. La configuración debe incluir secundarias en ambas instancias de FortiGate. Se muestran a continuación ejemplos de cómo configurarlo.

A continuación se presenta un esquema de las IPs secundarias y públicas en un FortiGate HA:

Configuración de IPs en FortiGate HA

Solución recomendada

Los dispositivos FortiGate primario y secundario necesitan estar configurados para manejar las IP públicas de forma efectiva durante el failover. El FortiGate primario debe tener asignadas sus IPs secundarias junto con las IPs públicas. Esto evitará problemas de conectividad cuando se produce un cambio de estado HA.

Es crucial que las IPs públicas estén correctamente asignadas en el FortiGate primario. Un ejemplo visual de la configuración se presenta a continuación:

Configuración de IPs en FortiGate primario

Comandos CLI utilizados

A continuación se presentan algunos comandos CLI clave que pueden ayudar en el diagnóstico y la re-asignación de IPs:

AWS-HA-Passive # diagnose debug application awsd -1

Este comando habilita el modo de depuración para el servicio awsd, lo cual es útil para monitorear el estado del HA y las actividades relacionadas con las IPs.

Algunos mensajes esperados en el registro de depuración incluyen:

AWS-HA-Passive # awsd running in secondary mode, won't update
HA event
HA state: primary
awsd associate elastic ip 99.80.137.76 successfully
...

Buenas prácticas y recomendaciones

Validar que todas las IPs públicas están correctamente asignadas antes de realizar un failover.
Utilizar la depuración para supervisar el estado del failover y la asignación de IPs.
Hacer respaldos de la configuración de las IPs antes de implementar cambios significativos.

Notas adicionales

Es importante considerar que la asignación de IPs públicas se debe hacer en secuencia y seguir un proceso adecuado para evitar errores en la red. Para más detalles sobre la implementación de HA en AWS, se puede consultar la guía oficial de Fortinet.

Desplegando FortiGate-VM HA activa/pasiva en AWS entre múltiples zonas.

¿Te ha resultado útil??

0 / 0

Mila y César

Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.

¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!

Deja una respuesta 0

Otras preguntas sobre FortiGate

Cómo resolver la solicitud de archivos de configuración de FortiGate sin encriptar para el TAC
En este artículo, abordamos un problema crítico relacionado con la configuración de los dispositivos FortiGate. Se explicará por qué es importante evitar cifrar los archivos de configuración al enviarlos al Soporte Técnico de Fortinet (TAC). La correcta gestión de la seguridad en la transferencia de datos es fundamental para garantizar una recuperación eficaz y rápida Leer
Lista de recursos de FortiGate IPSec VPN
Bienvenidos 👍, soy Mila Jiménez y hoy os voy a ayudar con: ⬇️ Lista de recursos de FortiGate IPSec VPN Título y enlaces Descripción Configuración de VPN IPsec de sitio a sitio Cómo configurar la VPN Site to Site entre FortiGates (utilizando el asistente de configuración de VPN). VPN básica de sitio a sitio con Leer
Sugerencia para la solución de problemas: no se puede acceder a la interfaz de administración web (GUI) de fortigate
Índice1 Descripción2 Solución2.1 1) Configuración de la interfaz.2.2 2) Configuración de host de confianza.2.3 3) MTU a lo largo del camino.2.4 4) Puertos de acceso de administración.2.5 5) admin-server-cert (solo para versiones 5.6 y superiores).2.6 6) La IP virtual existente anula los puertos HTTP o HTTPS del administrador.2.7 7) Verifique si alguna política local está Leer
Explicación del FQDN por defecto cache-ttl
Buenas 👏, por si no me conocéis soy Mila Jiménez y hoy os voy a ayudar con: 🔽 Explicación del FQDN por defecto cache-ttl https://community.fortinet.com/t5/FortiGate/Technical-Tip-Explanation-of-the-FQDN-nbsp-default-nbsp-cache/ta-p/213280 ✅ Por último, felicitarte que hayas leído hasta abajo de esta publicación. Esperamos que haya servido para solucionar tus problemas y que recibamos pronto otra visita tuya. Si no consigues Leer
Cómo solucionar sitios lentos o inaccesibles con SD-WAN al usar el control de aplicaciones en ‘Permitir’
Este artículo aborda un problema que afecta a la conectividad de ciertos sitios web cuando se configura el balanceo de carga de SD-WAN en las reglas de SD-WAN y se habilita el Control de Aplicaciones con la acción establecida en ‘Permitir’. Este problema es relevante porque puede causar lentitud o inaccesibilidad en el acceso a Leer