Cómo solucionar el orden de ejecución del reenvío de puertos en Virtual IP (VIP) de Fortinet

Este artículo aborda un aspecto crítico de la configuración de FortiGate: el orden de ejecución de las IPs virtuales (VIP) para el reenvío de puertos. La correcta gestión de este orden es vital para garantizar que el tráfico se dirija al recurso adecuado en la red, evitando conflictos o pérdidas de conexión. Aquí exploraremos cómo manejar eficientemente el orden de las VIP y resolver problemas asociados a su configuración.

Descripción del problema

En FortiGate, el reenvío de puertos de las VIP se evalúa de arriba hacia abajo en la lista de políticas de firewall, lo que significa que el orden de las VIP es fundamental. Si una VIP se aplica a más de una política de firewall, solo se verificará si se aplica en al menos una de ellas. Esto puede provocar que las políticas no se comporten como se espera si no se gestiona correctamente el orden de ejecución.

Alcance

Este artículo se aplica a dispositivos FortiGate que utilizan VIP para la configuración de reenvío de puertos.

Diagnóstico paso a paso

Para diagnosticar problemas con el reenvío de puertos basados en VIP, se deben seguir estos pasos:

  1. Acceder a la configuración de políticas de firewall en la interfaz de FortiGate.
  2. Verificar el orden de las VIP; necesita ser revisado para asegurar que el tráfico se dirija correctamente.
  3. Probar la conectividad mediante herramientas como ping o telnet sobre los puertos configurados.

Solución recomendada

El proceso para modificar el orden de las VIP se realiza exclusivamente a través de la interfaz de línea de comandos (CLI). La imagen a continuación ilustra cómo cambiar el orden de las VIP, utilizando un comando específico.

Artículos relacionados  Cómo solucionar el error de reinicio tras cambiar la interfaz ULL en FortiGates NP7 en Alta Disponibilidad (HA)

VIP_move_command.png

Después de usar el comando, se puede observar un cambio exitoso en el orden tanto en la CLI como en la GUI.

VIP_order.png

Comandos CLI utilizados

A continuación, se presentan los comandos utilizados para ejecutar las configuraciones necesarias en FortiGate:

config firewall vip
edit "Nombre_de_la_VIP"
move "Nombre_del_Servidor_Virtual" antes de "Nombre_de_la_VIP"
end

Utilizar el comando «move» permite cambiar la posición de las VIP dentro de la lista de políticas. Sin embargo, es necesario asegurarse de que no haya conflictos con otras configuraciones existentes.

Buenas prácticas y recomendaciones

  • Siempre verifique el orden de las VIP después de realizar cambios para asegurarse de que refleje la intención de configuración.
  • Documente todos los cambios realizados en la configuración de VIPs para un seguimiento efectivo.
  • Pruebe la conectividad después de cualquier modificación para verificar que el tráfico fluya correctamente.

Notas adicionales

En versiones de firmware anteriores a v7.0, era posible, aunque no recomendado, tener direcciones IP virtuales superpuestas. En estos casos, el reordenamiento de VIPs utilizando el comando «move» no puede llevarse a cabo si NAT central está deshabilitado. Así que se debe tener cuidado al gestionar las configuraciones en firmware más antiguos.

Ejemplo de error al intentar mover una VIP cuando NAT central está deshabilitado:

VAN_DNAT # move "Servidor Virtual" antes de "Lpk2"
VIP entry cannot be moved when central-nat is disabled.
Command fail. Return code -651

En estos casos, es necesario eliminar las VIP del firewall y volver a configurarlas en el orden deseado.

¿Te ha resultado útil??

0 / 0

Deja una respuesta 0

Your email address will not be published. Required fields are marked *