Cómo solucionar el acceso a una interfaz de loopback en Azure

En este artículo, abordaremos un problema común que puede surgir al intentar acceder a una interfaz loopback en un firewall Fortinet desplegado en Azure desde una VNet y región diferentes. Este acceso es crítico para garantizar la comunicación fluida entre diferentes subredes y es esencial para mantener la seguridad y el rendimiento de la red. A través de este documento, proporcionaremos una guía técnica para resolver este tipo de configuraciones.

Índice

1 Descripción del problema
2 Alcance
3 Diagnóstico paso a paso
4 Solución recomendada

Descripción del problema

Acceder a una interfaz loopback desde diferentes VNets en Azure puede presentar desafíos debido a la falta de conexión entre estas redes. Este problema puede afectar la funcionalidad de aplicaciones y servicios que dependen de una conectividad constante y segura. Por lo tanto, es crucial establecer la configuración adecuada para habilitar este acceso.

Alcance

Este artículo se aplicará a dispositivos FortiGate desplegados en Azure y abordará cómo configurar el acceso a la interfaz loopback a través de subredes y VNets distintas.

Diagnóstico paso a paso

Para resolver el problema de acceso a la interfaz loopback, podemos considerar distintos escenarios:

Escenario 1: Acceso a la interfaz loopback dentro de la misma VNet.
Escenario 2: Acceso a la interfaz loopback entre diferentes VNets.
Escenario 3: Configuración de una VM Fortinet independiente sin InternalLB.

Escenario 1: Acceso a la interfaz loopback dentro de la misma VNet

En este escenario, la interfaz loopback (LoopbackSubnet) se configura en el firewall como una red interna (Interfaz lógica), sin una tarjeta de interfaz de red (NIC) física asociada. Azure no reconoce por defecto las rutas hacia la subred asociada con esta interfaz. Para permitir el acceso a la interfaz loopback con IP 10.0.6.1 desde ProtectedSubnet, es necesario agregar una Ruta Definida por el Usuario (UDR) que especifique el InternalLB en IP 10.0.2.4 como puerta de enlace para el tráfico destinado a la subred loopback.

Escenario 2: Acceso a la interfaz loopback entre diferentes VNets

La comunicación entre VNets en Azure no está habilitada por defecto. Para que el usuario en WindowsPC en VNet2 pueda acceder a la interfaz loopback, es necesario establecer emparejamiento de VNets. Además, es esencial crear Rutas Definidas por el Usuario en Region-C, dirigiendo el tráfico hacia el InternalLB en IP 10.0.2.4.

Escenario 3: Configuración de una VM Fortinet sin InternalLB

Si el firewall Fortinet está desplegado como una VM independiente, configura la UDR para dirigir el tráfico hacia la IP de Port2 como puerta de enlace.

Solución recomendada

Para habilitar el acceso a la interfaz loopback, sigue estos pasos:

Port1 ExternalSubnet 10.0.1.0/24
Port2 InternalSubnet 10.0.2.0/24
Port3 HASyncSubnet 10.0.3.0/24
Port4 HAMGMTSubnet 10.0.4.0/24
ProtectedSubnet 10.0.5.0/24
LoopbackSubnet 10.0.6.0/24

Ejemplo: Acceso a la interfaz loopback entre diferentes VNets (Escenario 2)

Para conectar dos o más VNets virtuales en Azure se utiliza el emparejamiento de VNets. Si las VNets están ubicadas en diferentes regiones de Azure, se debe utilizar el emparejamiento de VNETs global.

Consulte la documentación de Azure sobre emparejamiento de redes virtuales para más detalles.

Paso 1:

Crear una interfaz loopback y asignar una subred dedicada en el mismo espacio de dirección que la VNET de FortiGate.

config system interface
    edit "LoopBack"
        set vdom "root"
        set ip 10.0.6.1 255.255.255.0
        set allowaccess ping https ssh 
        set type loopback
        set role lan
    next
end

Paso 2:

Crear la misma subred en la VNET de FortiGate en Azure.

Nota: Mantenga todas las demás configuraciones como predeterminadas.

Paso 3:

Crear una tabla de rutas y asociarla con la otra VNET donde se encuentra la Host-VM (WindowsPC).

Desde el panel del menú izquierdo, navegue a 'Rutas' y complete toda la información requerida de la siguiente manera:
- Ruta nombre: ToLoopback
- Tipo de destino: Direcciones IP.
- Direcciones IP de destino/rangos CIDR: 10.0.6.0/24 (Subred del Loopback).
- Tipo de siguiente salto: Appliance Virtual.
- Dirección siguiente salto: 10.0.2.4 (Dirección IP del Internal Load-Balancer).

Paso 4:

Asociar la tabla de rutas creada a la subred donde se encuentra la Host-VM.

Paso 5:

Para prevenir el enrutamiento asimétrico, crear una ruta estática para la subred de la Host-VM, apuntando hacia ‘port2’ del FortiGate.

config router static
    edit 5
        set dst 172.16.0.0 255.255.255.0
        set gateway 10.0.2.1
        set device "port2"
    next
end

Paso 6:

Ajustar las políticas del firewall para permitir tráfico de ‘port2’ hacia la interfaz loopback.

config firewall policy
    edit 10
        set name "From-Port2-To-LoopBack"
        set srcintf "port2"
        set dstintf "LoopBack"
        set action accept
        set srcaddr "all"
        set dstaddr "all"
        set schedule "always"
        set service "ALL"
        set logtraffic all
    next
end

Paso 7:

Verificar la conectividad entre la Host-VM y la interfaz loopback del FortiGate.

¿Te ha resultado útil??

0 / 0

Mila y César

Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.

¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!

Deja una respuesta 0

Otras preguntas sobre <a href="https://todoforti.net/fortigate/">FortiGate</a>

Cómo resolver la pérdida de configuraciones de VDOM tras reiniciar un FortiGate en modo transparente con múltiples VDOMs habilitados
Este artículo aborda un problema común relacionado con la configuración de VDOM en dispositivos FortiGate que operan en modo transparente. Específicamente, se explica cómo recuperar la configuración de VDOM que se pierde tras reiniciar el dispositivo. Entender esta situación es crucial para mantener la continuidad de las operaciones de red y evitar complicaciones futuras. Índice1 Leer
Alerta por correo electrónico cuando la interfaz WAN se cae
Hola amig@s 👏, soy César Sánchez y hoy os vengo a contar: ⤵️ Alerta por correo electrónico cuando la interfaz WAN se cae Configuración. 1) Activación de la automatización: Especifique el identificador de eventos de registro y es posible filtrar por una interfaz específica, por ejemplo: WAN1. 2) Acción de automatización: Especifica la acción tomada Leer
Recuperar el acceso a FortiGate a través de FortiCloud
Buenas 🙌, por aquí César Sánchez y vengo a ayudaros con: 🔽 Recuperar el acceso a FortiGate a través de FortiCloud Si la unidad está configurada para conectarse a FortiCloud, existe la posibilidad de añadir una nueva cuenta de administrador desde FortiCloud. El segundo requisito para el procedimiento es tener una suscripción a FortiCloud (la Leer
Cómo solucionar el error 2221 del agente coleccionista FSSO en Fortinet
Este artículo aborda el error 2221 que aparece en los registros del agente del recolector FSSO. Este error es significativo ya que puede afectar la capacidad de la infraestructura para sincronizar correctamente la información del grupo de usuarios desde el controlador de dominio. En este documento, se ofrecerá una guía detallada para diagnosticar y resolver Leer
Cómo descargar el archivo de configuración de fortigate desde la GUI
Descripción Este artículo describe cómo descargar el archivo de configuración de FortiGate desde la GUI. Solución Vaya a Admin -> Configuración -> Copia de seguridad , seleccione ‘PC local’ en ‘Copia de seguridad en’ y seleccione ‘Aceptar’. ¿Te ha resultado útil?? SiNo 0 / 0 Mila y CésarHola, somos Mila Jiménez y César Sánchez. Dos Leer