Bienvenidos 🙌, por aquí Mila Jiménez y hoy nos toca tratar con: 👇🏻
Cómo la dirección IP en ‘set management-ip’ podría dar lugar a un problema de enrutamiento
Descripción
Este artículo describe que si se añade una dirección IP desde una subred diferente bajo ‘set management-ip‘, es posible que se produzca un problema de enrutamiento, ya que FortiGate ve cualquier IP que la referencia en ‘set management-ip‘ como conectado directamente a la interfaz donde está configurado.
Productos
FortiGate v6.4.
FortiGate v7.0.
FortiGate v7.2.
Solución
Aquí está la tabla de enrutamiento de mi FortiGate antes de añadir la dirección IP de otra subred bajo el ‘set management-ip‘.
# get router info routing-table all
Códigos: K – kernel, C – conectado, S – estático, R – RIP, B – BGP
O – OSPF, IA – OSPF interárea
N1 – OSPF NSSA externo tipo 1, N2 – OSPF NSSA externo tipo 2
E1 – OSPF externo tipo 1, E2 – OSPF externo tipo 2
i – IS-IS, L1 – IS-IS nivel 1, L2 – IS-IS nivel 2, ia – IS-IS inter área
* – candidato por defecto
Tabla de enrutamiento para VRF=0
C 100.100.100.0/24 está conectado directamente, mgmt1 —– Esta es una IP privada, sólo para la demostración.
Añadir una dirección IP de otra subred bajo la etiqueta ‘set management-ip‘:
Aquí está la tabla de enrutamiento después del cambio de configuración anterior:
# get router info routing-table all
Códigos: K – kernel, C – conectado, S – estático, R – RIP, B – BGP
O – OSPF, IA – OSPF interárea
N1 – OSPF NSSA externo tipo 1, N2 – OSPF NSSA externo tipo 2
E1 – OSPF externo tipo 1, E2 – OSPF externo tipo 2
i – IS-IS, L1 – IS-IS nivel 1, L2 – IS-IS nivel 2, ia – IS-IS inter área
* – candidato por defecto
Tabla de enrutamiento para VRF=0
C 100.100.100.0/24 está conectado directamente, mgmt1 —– Esta es una IP privada, sólo para la demostración.
C 200.200.200.0/24 está conectado directamente, mgmt1 <—– Esta es una IP privada, sólo para demostración.
Ahora, FortiGate ve el conjunto de IPs bajo ‘set management-ip‘ como conexión directa y dio lugar a un problema de enrutamiento.
El tráfico destinado a otra dirección IP en ese rango se envía a través del puerto de gestión.
Para resolver este problema, cambie/elimine la IP o cambie la máscara por ejemplo a /32 (para que afecte sólo a una IP), o utilice una dirección IP del mismo rango que la subred asignada a la interfaz.
Para terminar, felicitarte que hayas llegado hasta abajo del post. Espero que haya sido de ayuda y que nos guardes en tus favoritos.
Si no logras dar con la solución a tu problema usa la barra de búsqueda o déjanos tu pregunta en los comentarios.
¡Nos vemos!
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!