Cómo resolver el error de transferencia de IP pública y entrada de tabla de rutas en FortiGate Azure HA

Este artículo aborda un problema común en la configuración de alta disponibilidad (HA) de FortiGate en Azure, donde se requiere verificar que la IP pública y la tabla de enrutamiento se hayan transferido correctamente al nuevo FortiGate primario. La correcta gestión de este proceso es crucial para garantizar la continuidad del servicio y la conectividad de red. A lo largo del artículo, proporcionaremos una guía detallada que resolverá este inconveniente, describiendo cómo realizar las comprobaciones necesarias y las configuraciones requeridas.

Índice

1 Descripción del problema
2 Alcance
3 Diagnóstico paso a paso
4 Solución recomendada
5 Comandos CLI utilizados
6 Buenas prácticas y recomendaciones
7 Notas adicionales

Descripción del problema

En entornos de alta disponibilidad, es fundamental que las instancias de FortiGate se sincronicen adecuadamente. Si el FortiGate primario se reemplaza, se debe asegurar que las IP públicas y las configuraciones de la tabla de enrutamiento se transfieran sin errores. La falta de esta transferencia puede causar interrupciones en el servicio y afectar la conectividad de los usuarios finales.

Alcance

El enfoque principal de este artículo es la verificación de la configuración de IP y la tabla de enrutamiento en un entorno de FortiGate-VM en Azure.

Diagnóstico paso a paso

En un entorno de FortiGate HA con un conector SDN, asumiendo que la configuración IP es la siguiente:

FortiGate Activo:

port1 (external) - 172.17.0.4 (IP primaria) 172.17.0.6 (IP secundaria) 172.17.0.7 (IP secundaria)
port2 (internal) - 172.17.0.68
port3 (HASync) - 172.17.0.132
port4 (HAMgmt) - 172.17.0.196

FortiGate Pasivo:

port1 (external) - 172.17.0.5 (IP primaria) 172.17.0.8 (IP secundaria) 172.17.0.9 (IP secundaria)
port2 (internal) - 172.17.0.69
port3 (HASync) - 172.17.0.133
port4 (HAMgmt) - 172.17.0.196

Configuración del SDN (Active):

config system sdn-connector
edit "AzureSDN"
    set type azure
    set use-metadata-iam disable
    set ha-status enable
    set tenant-id "XXXXXX"
    set client-id "XXXXXX"
    set client-secret XXXXX
    set subscription-id "XXXXX"
    set resource-group "SYAO-RG"
        config nic
        edit "FGT-FGT-A-Nic1"
            config IP
            edit "ipconfig1"
                set public-ip "YAOS-FGT-PIP"
            next
            edit "ipconfig2"
                set public-ip "YAOS-FGT-PIP-2"
            next
            edit "ipconfig3"
                set public-ip "YAOS-FGT-PIP-3"
            next
            end
        next
        end
    config route-table
    edit "FGT-RouteTable-ProtectedSubnet"
        config route
        edit "toDefault"
        set next-hop "172.17.0.68"
        next
        end
    next
    end
end

Configuración del SDN (Secondary):

config system sdn-connector
edit "AzureSDN"
set type azure
set use-metadata-iam disable
set ha-status enable
set tenant-id "XXXXXX"
set client-id "XXXXXX"
set client-secret XXXXX
set subscription-id "XXXXX"
set resource-group "SYAO-RG"
config nic
edit "FGT-FGT-B-Nic1"
config ip
edit "ipconfig1"
set public-ip "YAOS-FGT-PIP"
next
edit "ipconfig2"
set public-ip "YAOS-FGT-PIP-2"
next
edit "ipconfig3"
set public-ip "YAOS-FGT-PIP-3"
next
end
next
end
config route-table
edit "FGT-RouteTable-ProtectedSubnet"
config route
edit "toDefault"
set next-hop "172.17.0.69"
next
end
next
end
end

Ejecuta los siguientes comandos de depuración en el FortiGate secundario:

diag deb app azd -1
diag deb app azd-ha -1
diag deb console timestamp enable
diag deb enable

FortiGate se identifica como el nodo primario en el clúster.
El conector SDN busca recursos dentro del grupo de recursos SYAO-RG.
Examina los recursos de IP pública y recupera sus IDs de configuración IP.

FGT-FGT-B # 2024-11-06 19:07:18 HA event
2024-11-06 19:07:21 HA state: primary
2024-11-06 19:07:21 AzureSDN: resourcegroup: SYAO-RG, sub: <--your subscription ID-->
2024-11-06 19:07:21 get pubip YAOS-FGT-PIP in resource group SYAO-RG
2024-11-06 19:07:21 found pub ip YAOS-FGT-PIP in resource group SYAO-RG
...
2024-11-06 19:07:21 Disable interface: port1
2024-11-06 19:07:22 Disable interface: port2

Desvincula las IP públicas de FGT-FGT-A-NIC1.
Vincula las IP públicas a FGT-FGT-B-NIC1.

2024-11-06 19:07:22 removing pubip
2024-11-06 19:07:22 query nic FGT-FGT-A-Nic1
2024-11-06 19:07:22 query nic FGT-FGT-A-Nic1, rc: 0
2024-11-06 19:07:22 remove public ip YAOS-FGT-PIP in ipconfig ipconfig1 of nic FGT-FGT-A-Nic1
...
2024-11-06 19:07:56 add public ip YAOS-FGT-PIP in ipconfig ipconfig1 of nic FGT-FGT-B-Nic1

Actualiza la entrada de ruta predeterminada en la tabla de rutas con una dirección IP de salto siguiente de 172.17.0.69.
Muestra la última configuración de interfaz de la VM.

2024-11-06 19:08:13 query route table FGT-RouteTable-ProtectedSubnet
...
2024-11-06 19:08:14 Enable interface: port1
2024-11-06 19:08:14 Enable interface: port2

También es posible comprobar los cambios desde el registro de eventos de actividad de Azure:

Eliminando la IP pública del FortiGate Primario:

Eliminación IP

Adjuntando la IP pública al FortiGate Secundario y actualizando la entrada de ruta:

Asociación IP

Solución recomendada

Siguiendo los pasos anteriormente descritos, se deben asegurar las configuraciones necesarias para que la IP pública y la tabla de enrutamiento se transfieran correctamente al nuevo FortiGate primario. Esto garantiza que los servicios sigan funcionando sin interrupciones y que la seguridad de la red se mantenga intacta.

Comandos CLI utilizados

Los comandos clave para ejecutar este proceso han sido detallados a lo largo del artículo. Asegúrate de ejecutar los comandos en el contexto adecuado y de revisar las salidas para verificar que las configuraciones fueron aplicadas correctamente.

Buenas prácticas y recomendaciones

Realiza siempre un respaldo de la configuración antes de realizar cambios significativos.
Documenta todas las configuraciones y cambios realizados en la red para facilitar la resolución de problemas futuros.
Monitorea el estado de la alta disponibilidad y verifica regularmente las interfaces y las IPs públicas.

Notas adicionales

Asegúrate de que todos los parámetros utilizados en las configuraciones se adaptan a tu entorno y políticas de seguridad. La personalización puede ser necesaria según las necesidades específicas de tu red. Mantente al tanto sobre las actualizaciones y mejores prácticas proporcionadas por Fortinet para garantizar un rendimiento óptimo y la seguridad de tus dispositivos.

¿Te ha resultado útil??

0 / 0

Mila y César

Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.

¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!

Deja una respuesta 0

Otras preguntas sobre <a href="https://todoforti.net/fortigate/">FortiGate</a>

Cómo resolver la descarga de bases de datos desde el portal de soporte y su actualización en FortiGate
En este artículo, abordaremos un problema común que muchos usuarios de FortiGate pueden enfrentar: la descarga de bases de datos desde el portal de soporte. Este proceso es crucial para garantizar que su dispositivo funcione de manera eficiente y esté siempre actualizado. A través de este artículo, proporcionaremos una guía paso a paso para facilitar Leer
Cómo solucionar la asignación manual de un ID de política de firewall en FortiGate GUI
En este artículo, abordaremos un problema común relacionado con la asignación manual de un ID de política en un cortafuegos FortiGate. Este aspecto es crucial para una configuración efectiva, ya que permite gestionar mejor las políticas de seguridad en entornos complejos. A través de los pasos descritos, podrá solucionar este inconveniente y optimizar la configuración Leer
Cómo resolver la pérdida de configuraciones de VDOM tras reiniciar un FortiGate en modo transparente con múltiples VDOMs habilitados
Este artículo aborda un problema común relacionado con la configuración de VDOM en dispositivos FortiGate que operan en modo transparente. Específicamente, se explica cómo recuperar la configuración de VDOM que se pierde tras reiniciar el dispositivo. Entender esta situación es crucial para mantener la continuidad de las operaciones de red y evitar complicaciones futuras. Índice1 Leer
Cómo resolver el error de caracteres no válidos en el campo de nombre de usuario de administrador local en Fortinet
En este artículo abordaremos un problema que surge al intentar crear un nuevo administrador local en FortiGate, específicamente cuando se utilizan caracteres no válidos en el campo del nombre de usuario. Este inconveniente es relevante porque puede impedir la correcta administración del sistema, afectando la configuración y seguridad de la red. Aquí se proporcionarán pasos Leer
Cómo solucionar el inicio de un túnel IPsec por marcación desde la línea de comandos en Windows con FortiClient
En este artículo, abordaremos un problema común relacionado con el establecimiento de una VPN de acceso mediante FortiClient en sistemas operativos Windows. Este proceso es crucial para garantizar la seguridad de las conexiones remotas y permitir a los usuarios acceder a la red de manera segura. A lo largo del artículo, proporcionaremos una guía detallada Leer