Cómo solucionar el fallo en la conmutación por error al servidor real ZTNA cuando se configura una ruta de agujero negro en Fortinet

En este artículo abordamos un problema relacionado con la sincronización en servidores de respaldo de FortiGate. Este inconveniente se presenta cuando un servidor real activo se apaga y la conmutación por error a un servidor en espera falla, provocando errores de conectividad, como el error 504. A continuación, se detallarán las causas de este problema y cómo solucionarlo de manera efectiva.

Índice

1 Descripción del problema
2 Alcance
3 Diagnóstico paso a paso
4 Solución recomendada
5 Comandos CLI utilizados
6 Buenas prácticas y recomendaciones
7 Notas adicionales

Descripción del problema

El problema radica en que la conmutación por error a un servidor real en espera falla cuando uno de los servidores reales activos deja de funcionar. Esto se debe a que se ha configurado una ruta de agujero negro para la dirección IP del servidor real. La falta de conmutación adecuada puede llevar a la interrupción del servicio y afectar la disponibilidad de las aplicaciones alojadas.

Alcance

Este artículo es aplicable a las versiones de FortiGate v7.4.4 y v7.4.5.

Diagnóstico paso a paso

Para diagnosticar la situación, debe realizar los siguientes pasos:

Verifique la configuración de los servidores reales utilizando el comando:

config firewall access-proxy

Examinar el estado del chequeo de salud de los servidores reales.

diag wad access-proxy health-check status

Observe el resultado de las monitorizaciones del enlace. Si el servidor principal está marcado como ‘muerto’, pero los estados operacionales indican ‘vivo’, se identificará la discrepancia que causa el fallo.

Solución recomendada

Para resolver el problema, asegúrese de que la configuración del servidor ZTNA esté correctamente ajustada. A continuación, se presenta un ejemplo de configuración que incluye el chequeo de salud habilitado:

config firewall access-proxy
    edit "ztna_server_http"
        set vip "ztna_server_http"
        config api-gateway
            edit 1
                config realservers
                    edit 1
                        set ip 172.16.200.207
                        set health-check enable
                    next
                    edit 2
                        set ip 172.16.200.209
                        set status standby
                        set health-check enable
                        set holddown-interval disable
                    next
                end
            next
        end
    next
end

Además, configure correctamente la ruta estática de agujero negro:

config router static
    edit 0
        set status enable
        set dst 172.16.200.207 255.255.255.255
        set blackhole enable
    next
end

Con esta configuración, cuando el monitor de enlace detecte que el servidor real principal (172.16.200.207) está ‘muerto’, se intentará la conmutación por error al servidor en espera (172.16.200.209).

Comandos CLI utilizados

A continuación, se indican algunos de los comandos CLI que pueden ser necesarios para el diagnóstico y la solución:

diagnose wad access-proxy health-check status – Este comando permite verificar el estado de los chequeos de salud de los servidores.
diag wad debug enable all – Habilita todos los depuradores de WAD para una investigación más profunda.
diagnose debug reset – Reinicia la depuración del FortiGate después de capturar los datos necesarios.
execute tac report – Captura un informe para el soporte técnico de FortiGate.

Buenas prácticas y recomendaciones

Es fundamental seguir algunas buenas prácticas para garantizar un funcionamiento óptimo:

Evite la configuración de rutas de agujero negro innecesarias para direcciones IP de servidores críticos.
Realice pruebas regulares de conmutación por error para asegurar que los servidores de respaldo estén listos para asumir la carga si es necesario.
Mantenga el firmware de los dispositivos FortiGate actualizado para evitar la aparición de errores conocidos.

Notas adicionales

Este problema fue resuelto en la versión v7.6.0. Asegúrese de mantener su dispositivo actualizado para beneficiarse de las correcciones y mejoras más recientes.

Logs necesarios para la investigación de FortiGate TAC:

diagnose wad filter src 
diagnose wad debug enable all
diagnose wad debug enable category all
diagnose wad debug enable level verbose
diagnose wad access-proxy health-check status
diagnose debug enable

Una vez que se capturen los datos en el momento del problema, restablezca los depuradores usando el comando ‘diagnose debug reset’ y capture el informe TAC usando la configuración ‘execute tac report’.

¿Te ha resultado útil??

0 / 0

Mila y César

Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.

¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!

Deja una respuesta 0

Otras preguntas sobre <a href="https://todoforti.net/fortigate/">FortiGate</a>

Cómo resolver el problema de licencia de dispositivo que no se refleja en el panel de FortiGate
En este artículo, abordaremos un problema común que afecta a los dispositivos FortiGate: la información de licencia que no se muestra correctamente en el panel de control. Este inconveniente puede surgir tras la instalación de un nuevo dispositivo o un reemplazo (RMA). Es fundamental resolver este problema para asegurar un funcionamiento óptimo de la solución Leer
Cómo resolver la publicidad de IPs NATted en BGP con Fortinet
Este artículo aborda cómo anunciar direcciones IP NATteadas en la tabla de enrutamiento BGP. Este concepto es relevante cuando hay subredes que se superponen en ambas ubicaciones en una VPN IPSEC, y se utiliza BGP como protocolo de enrutamiento. El contenido aquí presentado tiene como objetivo ayudar a solucionar problemas relacionados con la configuración adecuada Leer
Cómo resolver el conflicto de caché con el gateway DDNS en Fortinet IKE
El presente artículo aborda el problema de conflicto de caché con el error ‘Cache conflict with DDNS gateway <duplicated tunnel-name>’ al intentar establecer túneles IPsec Site-to-Site (S2S). Este error es relevante ya que impide la correcta creación de túneles, afectando la comunicación entre ubicaciones remotas. Aquí se proporcionan pasos claros para diagnosticar y resolver este Leer
Uso de puntos de automatización para generar un resumen de los cambios de configuración.
Descripción: Este artículo explica cómo configurar un punto de automatización en FortiOS que generará una lista de resumen de los cambios realizados por un usuario administrativo en FortiGate y enviará un correo electrónico a la dirección designada que contiene esta lista de cambios (en el formato de una entrada de registro , por defecto). Tenga Leer
Cómo solucionar el análisis de captura de paquetes SIP con la herramienta Wireshark
Este artículo aborda un problema común en el análisis de llamadas SIP utilizando Wireshark. La comprensión del flujo de llamadas es crucial para diagnosticar problemas en las comunicaciones VoIP. Aquí aprenderás a utilizar Wireshark para analizar archivos PCAP y obtener información esencial sobre las conexiones de llamadas, lo que te permitirá resolver problemas de configuración Leer