Cómo resolver el problema de tráfico de respuesta de una IP virtual que sale por una interfaz diferente en Fortinet

En este artículo, abordamos un problema que afecta a los FortiGate de versiones 7.4.2 y 7.4.3, relacionado con la salida del tráfico de respuesta para las IPs Virtuales (VIP). Este problema es crítico para la funcionalidad de las configuraciones de cortafuegos que utilizan perfiles de seguridad (UTM) con un modo de inspección basado en proxy. El objetivo de este artículo es proporcionar un diagnóstico detallado y soluciones efectivas para mitigar este inconveniente.

Descripción del problema

El problema consiste en que, al habilitar un perfil de UTM en la política del cortafuegos que utiliza el modo de inspección basado en proxy, el tráfico de respuesta para las IPs Virtuales no es dirigido a través de la misma interfaz de entrada. Esto puede causar que las respuestas se pierdan o no lleguen al cliente, generando una interrupción en el servicio.

Alcance

Este problema se presenta en las versiones FortiGate v7.4.2 y v7.4.3.

Diagnóstico paso a paso

Para diagnosticar este problema, es necesario examinar los registros de la administración de tráfico. Se recomienda utilizar un sniffer de paquetes para verificar el comportamiento del tráfico en las interfaces. A continuación, se presentan los resultados de los sniffers que evidencian el problema.

Salida del sniffer en el escenario no funcional:

diagnose sniffer packet any "port 443 and host 94.X.X.X" 4 0 l
interfaces=[any]
filters=[port 443 and host 94.X.X.X]
2024-01-17 10:36:14.787881 wan2 in 94.X.X.X.20293 -> 83.X.X.X.443: syn 1673605026
2024-01-17 10:36:14.788181 wan1 out 83.X.X.X.443 -> 94.X.X.X.20293: syn 2273180168 ack 1673605027

Salida del sniffer en el escenario funcional (UTM deshabilitado o modo de inspección basado en flujo):

2024-01-17 10:44:19.068794 wan2 in 94.X.X.X.20082 -> 83.X.X.X.443: syn 3957980771
2024-01-17 10:44:19.069248 wan2 out 83.X.X.X.443 -> 94.X.X.X.20082: syn 1675486524 ack 3957980772

Solución recomendada

Este problema fue resuelto en la versión v7.4.4 de FortiGate. Si no es posible realizar la actualización, se sugieren las siguientes soluciones temporales:

  • Cambiar a un perfil de inspección basado en flujo.
Artículos relacionados  Cómo resolver problemas al agregar o eliminar la Caché de Reenvío Multicast (MFC) en FortiGate

O

  • Deshabilitar los perfiles de UTM/s seguridad en la política de cortafuegos.

Comandos CLI utilizados

El siguiente comando CLI se utiliza para diagnosticar el tráfico en las interfaces y comprobar si el problema persiste:

diagnose sniffer packet any "port 443 and host 94.X.X.X" 4 0 l

Se recomienda mantener el sistema actualizado a la última versión disponible para evitar la exposición a problemas conocidos. Además, es aconsejable realizar pruebas exhaustivas tras cualquier cambio en la configuración del cortafuegos, especialmente al habilitar perfiles de UTM o cambiar modos de inspección.

Notas adicionales

Si después de aplicar estas soluciones el problema persiste, es aconsejable ponerse en contacto con el soporte técnico de Fortinet para recibir asistencia adicional. Además, siempre es útil revisar los registros de eventos y las métricas de rendimiento del sistema para comprender mejor el estado de la red.

¿Te ha resultado útil??

0 / 0

Deja una respuesta 0

Your email address will not be published. Required fields are marked *