En este artículo, discutiremos un problema común que puede surgir al utilizar la funcionalidad de SDN en FortiGate, donde el conector SDN no se conecta debido a un fallo en la resolución DNS. Este problema es crítico ya que puede afectar la comunicación y la gestión de recursos en Azure, lo cual es esencial para mantener la seguridad y el rendimiento de la red. A continuación, proporcionaremos un análisis detallado del problema, junto con pasos diagnósticos y soluciones recomendadas.
Índice
Descripción del problema
El problema radica en que el conector de SDN muestra un estado de «caído» en la interfaz gráfica de usuario (GUI). Esto significa que FortiGate no puede comunicarse correctamente con Azure para gestionar los recursos necesarios, impidiendo así funcionalidades críticas de automatización y gestión.
Alcance
Este artículo se aplica específicamente a dispositivos FortiGate configurados en un clúster de alta disponibilidad (HA) en Azure.
Diagnóstico paso a paso
Para identificar la causa por la cual el conector SDN permanece inactivo, debemos recopilar la salida de depuración necesaria. Primero, asegúrese de que su configuración de clúster HA y la del conector SDN son correctas. A continuación, ejecute los siguientes comandos de diagnóstico:
diag debug reset
diag debug application azd -1
diag debug console timestamp enable
diag debug enableLa salida de depuración proporcionará información crítica sobre lo que está sucediendo internamente cuando FortiGate intenta comunicarse con Azure.
Solución recomendada
La configuración del firewall FortiGate A-P en Azure debe ser correcta. Verifique la siguiente configuración de puertos:
- Port1: WAN
- Port2: LAN
- Port3: HA
- Port4: MGMT
Asegúrese de que el HA esté configurado correctamente:
config system ha
set group-id 5
set group-name "AzureHA"
set mode a-p
set hbdev "port3" 100
set session-pickup enable
set session-pickup-connectionless enable
set ha-mgmt-status enable
config ha-mgmt-interfaces
edit 1
set interface "port4"
set gateway 172.29.220.1
next
end
set override enable
set priority 150
set unicast-hb enable
set unicast-hb-peerip 172.29.220.69
endPor último, verifique la configuración del conector SDN para asegurarse de que no haya errores:
config system sdn-connector
edit "AzureSDN"
set status disable
set type azure
next
edit "AZ-SDN"
set type azure
set use-metadata-iam disable
set tenant-id "035694e9-xxxx-xxxx-xxxx-24fce088b110"
set client-id "478c681e-xxxx-xxxx-xxxx-ffb9c014a269"
next
endComandos CLI utilizados
Los siguientes comandos son esenciales para realizar el diagnóstico y confirmar el estado del conector SDN:
diag debug reset: Restablece el estado de la depuración.diag debug application azd -1: Inicia la depuración de la aplicación de Azure.diag debug console timestamp enable: Habilita las marcas de tiempo en la salida de depuración.diag debug enable: Activa el modo de depuración.
Buenas prácticas y recomendaciones
Es importante asegurarse de que los servidores DNS estén accesibles a través de la interfaz de gestión (port4). Verifique también las reglas de salida para el tráfico de acceso a Internet, ya que si no hay una dirección IP pública asociada a port4 o si falta una regla de salida adecuada, el conector SDN no podrá resolver las consultas DNS.
Se recomienda realizar capturas de paquetes en la interfaz de gestión para confirmar si se están recibiendo o no los paquetes de respuesta DNS.
Notas adicionales
Es crucial que la comunicación con management.azure.com en el puerto 443 también se dirija a través de port4 y que este tenga acceso a Internet. Esto es necesario para que el conector SDN funcione correctamente.
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!