En este artículo abordamos un problema específico relacionado con las rutas Blackhole en FortiOS y su impacto en la conectividad de red. La correcta configuración de estas rutas es crucial para evitar la pérdida de tráfico inesperado, especialmente en entornos críticos. A través de un diagnóstico detallado y soluciones recomendadas, este artículo ayuda a los administradores a gestionar mejor las configuraciones de sus dispositivos FortiGate.
Índice
Descripción del problema
Las rutas Blackhole son rutas estáticas configuradas con ‘set blackhole enable’. Cuando FortiGate realiza consultas de rutas restringidas a una interfaz particular, también se revisan estas rutas Blackhole. Esto puede resultar en caídas de tráfico si la ruta Blackhole es preferida sobre la ruta destinada.
Alcance
Este artículo se aplica a dispositivos FortiGate.
Diagnóstico paso a paso
Existen escenarios comunes en los que FortiGate puede igualar involuntariamente una ruta Blackhole y provocar la caída del tráfico, tales como:
- El gateway remoto de un túnel IPsec.
- Comprobación de encaminamiento inverso (Reverse Path Forwarding). Si hay una mejor ruta Blackhole, FortiOS ignora rutas menos específicas como si se habilitara ‘strict-src-check’.
- Monitor de enlace.
- Tráfico local, como el DNS del sistema o el tráfico de FortiGuard.
Ejemplo de tráfico de Ping:
FGT61F-A # get router info routing-table all
–output omitted–
Routing table for VRF=0
S* 0.0.0.0/0 [10/0] via 10.0.0.1, wan1, [1/0]
C 192.168.102.0/24 is directly connected, internal1
C 10.0.0.0/30 is directly connected, wan1
S 172.243.0.0/16 [10/0] via 10.0.0.1, wan1, [1/0]
S 173.243.138.91/32 [10/0] is a summary, Null, [1/0]
Debido a la presencia de una ruta por defecto y una ruta 172.243.0.0/16 en la tabla de rutas, un administrador podría erróneamente esperar que 173.243.138.91 sea accesible a través de wan1. Sin embargo, cualquier intento de acceder a 173.243.138.91 a través de wan1 fallará con ‘Network is unreachable’ (La red no es alcanzable) debido a que se coincidió con la ruta Blackhole más específica.
FGT61F-A # execute ping-options interface wan1
FGT61F-A # execute ping 173.243.138.91
PING 173.243.138.91 (173.243.138.91): 56 data bytes
sendto failed: 101(Network is unreachable)
sendto failed: 101(Network is unreachable)
sendto failed: 101(Network is unreachable)
sendto failed: 101(Network is unreachable)
sendto failed: 101(Network is unreachable)
Solución recomendada
Al configurar rutas Blackhole, se recomienda utilizar prefijos menos específicos que las rutas destinadas existentes, para asegurar que las rutas destinadas sean las que se igualen primero. En caso de que esto no sea posible, el tráfico puede ser permitido configurando una ruta destinada con el mismo prefijo, distancia administrativa y la misma o anterior prioridad. Consulte el artículo ‘Comportamiento de enrutamiento dependiendo de la distancia y prioridad para rutas estáticas’ y el siguiente ejemplo.
La ruta Blackhole del ejemplo tiene los siguientes atributos:
- prefijo 173.243.138.91/32.
- distancia administrativa 10.
- prioridad 1.
FGT61F-A # get router info routing-table all
–output omitted–
S 173.243.138.91/32 [10/0] is a summary, Null, [1/0]
Una ruta estática similar puede ser configurada sobre wan1 para permitir el tráfico.
config router static
edit <index>
set status enable
set dst 173.243.138.91 255.255.255.255
set gateway 10.0.0.1
set distance 10
set priority 1
set device «wan1»
next
end
Comandos CLI utilizados
Para ayudar en la administración y solución de problemas, se utilizaron los siguientes comandos:
- get router info routing-table all: Muestra todas las rutas en la tabla de enrutamiento.
- execute ping-options interface wan1: Configura la interfaz de una sesión de ping.
- execute ping 173.243.138.91: Ejecuta un ping para verificar la conectividad con la dirección IP proporcionada.
Buenas prácticas y recomendaciones
Para prevenir pérdidas de tráfico no intencionadas, se sugiere:
- Configurar rutas Blackhole menos específicas.
- Implementar rutas destinadas sobre las Blackhole cuando sea necesario.
- Revisar constantemente la tabla de rutas para evitar conflictos.
Notas adicionales
La correcta configuración de las rutas en FortiGate es vital para una red eficiente y segura. Los administradores deben estar alerta a los efectos de las rutas Blackhole y aplicar los ciclos de prueba necesarios para asegurar la continuidad del servicio.
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!