Este artículo aborda un problema común que puede presentarse en los dispositivos FortiGate, específicamente cuando un endpoint no puede establecer una conexión Telnet con un servidor público. Entender cómo solucionar este problema es crucial para asegurar que las configuraciones de red funcionen sin inconvenientes, especialmente en entornos empresariales donde la conectividad es esencial. A continuación, se detallará un diagnóstico paso a paso y las soluciones recomendadas.
Índice
Descripción del problema
Un endpoint puede no ser capaz de conectarse a un servidor público debido a una configuración de enrutamiento específica en el FortiGate. Por ejemplo, si la ruta predeterminada 0.0.0.0/0 se dirige hacia wan1 y/o wan2, pero el siguiente salto para alcanzar esa dirección IP pública es otro dispositivo detrás de la LAN, los paquetes se enviarán a la dirección IP pública en lugar de al siguiente salto deseado.
Alcance
Este artículo se centra en el dispositivo FortiGate y en cómo solucionar problemas de conectividad hacia servidores públicos.
Diagnóstico paso a paso
- Confirmar que el paquete llegó al FortiGate.
Abre la primera ventana de CLI de FortiGate:
diagnose sniffer packet any ‘host <dirección IP del dispositivo fuente> and port <puerto de telnet>’
Abre la segunda ventana de CLI de FortiGate:
diagnose debug reset
diagnose debug flow filter clear
diagnose debug console timestamp enable
diagnose debug flow show function-name enable
diagnose debug flow filter addr <dirección IP fuente>
diagnose debug flow filter port <número de puerto>
diagnose debug flow trace start 99
diagnose debug enable
Deshabilitar una vez finalizada la resolución de problemas:
diagnose debug reset
- Si el paquete no llega al FortiGate, verifica el siguiente salto del endpoint:
En el símbolo del sistema de Windows:
route print
En este caso, los paquetes se envían hacia un hotspot que puede haber eludido el FortiGate, por lo que es necesario desconectar el hotspot.
- Una vez verificado el siguiente salto, verifica si existe una ruta a ese destino y al siguiente salto.
get router info routing-table all
Si la ruta al siguiente salto no existe, crea una nueva ruta estática hacia ese destino a través de CLI o GUI. En la GUI de FortiGate, navega a Network -> Static Route, especifica la dirección IP de destino e ingresa el siguiente salto.
Solución recomendada
La solución más eficaz para el problema planteado implica asegurarse de que la ruta correcta esté establecida y de que el endpoint esté conectándose adecuadamente al FortiGate. Crear o ajustar rutas estáticas puede ser necesario para garantizar el flujo adecuado de la red.
Comandos CLI utilizados
diagnose sniffer packet any 'host <IP> and port <puerto>'diagnose debug resetdiagnose debug flow filter cleardiagnose debug console timestamp enablediagnose debug flow show function-name enablediagnose debug flow filter addr <IP fuente>diagnose debug flow filter port <número puerto>diagnose debug flow trace start 99diagnose debug enableget router info routing-table all
Buenas prácticas y recomendaciones
Es recomendable realizar pruebas regulares de conectividad en la red para identificar problemas antes de que se conviertan en grandes inconvenientes. Además, asegúrate de documentar cualquier cambio realizado en las rutas y configuraciones de FortiGate para futuras referencias.
Notas adicionales
El error en la conexión a servidores públicos puede también ser indicativo de problemas más amplios en la configuración de la red. Por lo tanto, es vital revisar todos los segmentos de la red y asegurarse de que estén configurados de manera óptima. Utilizar herramientas de monitoreo puede facilitar la identificación de problemas recurrentes en la red.
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!