En este artículo se aborda un problema común en la configuración de VIP (Virtual IP) en dispositivos FortiGate, específicamente cuando se utilizan múltiples interfaces de túnel. Es crucial entender cómo se realiza la correspondencia de VIP para garantizar la redirección correcta del tráfico, especialmente en entornos donde se requiere alta disponibilidad y eficiencia en la gestión de recursos. Este artículo proporcionará un diagnóstico detallado y una solución recomendada para optimizar la configuración de VIP.
Índice
Descripción del problema
El problema se presenta cuando la configuración del VIP no permite la correcta asignación de la interfaz externa, lo que puede llevar a que el tráfico se dirija inesperadamente a una dirección IP virtual errónea. En este caso, se analizan dos configuraciones de VIP donde el tráfico proveniente de ‘Tunnel-1’ coincide con ‘VPN-1’ en vez de ‘VPN-2’, lo que causa confusión en la gestión de las conexiones.
Alcance
Este artículo aplica a dispositivos FortiGate, que permiten gestionar y adaptar configuraciones de red para optimizar el rendimiento y la seguridad.
Diagnóstico paso a paso
A continuación se presentan los comandos utilizados para mostrar la configuración del firewall y el tráfico recibido:
Core # show firewall vip
config firewall vip
edit "VPN-1" ------------------------------------------> VIP ID 1.
set uuid ea6e0a28-a31c-51ef-b7c2-6a42a7a068df
set extip 193.1.1.1
set mappedip "10.51.8.125"
set extintf "Tunnel-2"
set arp-reply disable
next
edit "VPN-2" ------------------------------------------> VIP ID 2.
set uuid 4489bd26-a31e-51ef-365b-947e4f17e748
set extip 193.1.1.1
set mappedip "10.53.8.125"
set extintf "Tunnel-1"
set arp-reply disable
next
end
Cuando se recibe tráfico de la interfaz de túnel ‘Tunnel-1’, se asocia incorrectamente con ‘VPN-1’. El siguiente registro de depuración refleja esta situación:
Core # 2024-11-15 19:30:56 id=65308 trace_id=26 func=print_pkt_detail line=5862 msg="vd-root:0 received a packet(proto=1, 10.10.1.1:4->193.1.1.1:2048) tun_id=10.5.136.2 from Tunnel-1."
Solución recomendada
Para remediar este problema, es fundamental incorporar el parámetro ‘srcintf-filter’ en la configuración del VIP. Esta opción permite establecer qué interfaz debe utilizarse para la traducción DNAT (Destination Network Address Translation).
La configuración actualizada del VIP es la siguiente:
config firewall vip
edit "VPN-1" ------------------------------------------> VIP ID 1.
set uuid ea6e0a28-a31c-51ef-b7c2-6a42a7a068df
set extip 193.1.1.1
set mappedip "10.51.8.125"
set extintf "Tunnel-2"
set arp-reply disable
set srcintf-filter "Tunnel-2"
next
edit "VPN-2" ------------------------------------------> VIP ID 2.
set uuid 4489bd26-a31e-51ef-365b-947e4f17e748
set extip 193.1.1.1
set mappedip "10.53.8.125"
set extintf "Tunnel-1"
set arp-reply disable
set srcintf-filter "Tunnel-1"
next
end
Comandos CLI utilizados
- show firewall vip: Muestra la configuración actual de las VIP.
- config firewall vip: Inicia la configuración de una VIP específica.
- set srcintf-filter: Define la interfaz de origen permitida para que reciba tráfico.
Buenas prácticas y recomendaciones
Asegúrese de siempre tener en cuenta la correcta configuración de ‘srcintf-filter’ para evitar conflictos en la redirección del tráfico. Esto no solo optimiza las configuraciones actuales, sino que también mejora significativamente la seguridad de su red.
Notas adicionales
La implementación de este tipo de configuraciones es crucial en entornos donde el tráfico y la seguridad son críticamente necesarios, como en centros de datos o redes corporativas de gran escala. Mantener una documentación clara y actualizada sobre las configuraciones puede facilitar la resolución de problemas futuros.
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!