Cómo solucionar el problema de FortiGate que no responde a las sondas de salud en Azure

Este artículo aborda un problema común con FortiGate VM en Azure, donde se observan fallos en las sondas de salud. Este problema es crítico, ya que puede afectar la disponibilidad de servicios y la resiliencia de la infraestructura. A lo largo de este artículo, proporcionaremos un diagnóstico paso a paso y recomendaciones sobre cómo solucionar el problema, asegurando una correcta configuración de la red.

Descripción del problema

El problema radica en que la VM de FortiGate en Azure no responde a las sondas de salud (health probes). Esta situación puede suceder debido a la configuración predeterminada de DHCP que se aplica a los puertos cuando se utiliza el template de GitHub para establecer una configuración Active/Active de ELB/ILB en Azure.

Alcance

Este artículo es aplicable a las versiones de FortiOS ejecutadas en máquinas virtuales FortiGate, específicamente en plataformas de Azure.

Diagnóstico paso a paso

Para diagnosticar el problema, es crucial verificar la configuración de las interfaces de red y las rutas estáticas.

A continuación, se presentan algunos comandos que pueden ser útiles:

FortiGate-VM64-Azure # show system interface port2
config system interface
edit "port2"
set vdom "root"
set mode dhcp
set allowaccess ping https ssh fgfm probe-response
set type physical
set description "internal"
set snmp-index 2
set defaultgw disable
next
end

También es esencial revisar las rutas estáticas configuradas:

FortiGate-VM64-Azure # show router static
config router static

edit 1
set dst 168.63.129.16 255.255.255.255
set gateway 172.19.0.65
set device "port2"
next
edit 2
set dst 168.63.129.16 255.255.255.255
set gateway 172.19.0.1
set device "port1"
next

En este punto, se debe observar que FortiGate no responde a las sondas de salud, a pesar de que existe una ruta estática configurada. La siguiente verificación también es necesaria:

FortiGate-VM64-Azure # diagnose ip route list | grep -A3 168.63.129.16

Si los comandos indicados revelan que la ruta hacia 168.63.129.16 solo pasa por port1, esto significa que la ruta estática en port2 no funcionará debido al uso de DHCP.

Solución recomendada

La solución a este inconveniente consiste en deshabilitar la inclusión de rutas classless de DHCP en la configuración de las interfaces o bien optar por direcciones IP estáticas. Para deshabilitar la ruta classless de DHCP, utiliza el siguiente comando:

set dhcp-classless-route-addition disable

El ajuste en la configuración de la interfaz debería ser como sigue:

FortiGate-VM64-Azure # show system interface port2
config system interface
edit "port2"
set vdom "root"
set mode dhcp
set allowaccess ping https ssh fgfm probe-response
set dhcp-classless-route-addition disable
set type physical
set description "internal"
set snmp-index 2
set defaultgw disable
next
end

Repite los mismos ajustes en la configuración de port1 para asegurar que se mantengan consistentes.

Comandos CLI utilizados

Aquí se listan algunos de los comandos CLI utilizados durante el diagnóstico y la solución del problema:

• show system interface: Muestra la configuración actual de la interfaz de red.
• show router static: Muestra las rutas estáticas configuradas.
• diagnose ip route list: Permite ver la tabla de rutas IP.
• diagnose sniffer packet: Captura paquetes en una interfaz específica para análisis.

Buenas prácticas y recomendaciones

• Siempre verifica la configuración de las interfaces y rutas después de hacer cambios en la red.
• Evalúa la necesidad de usar DHCP versus configuraciones estáticas según el entorno y requisitos específicos.
• Realiza pruebas regulares de las sondas de salud para asegurar que los servicios sean accesibles.

Notas adicionales

Si tras realizar los cambios recomendados no se recibe un respuesta adecuada, es aconsejable revisar la política local de FortiGate y asegurarse que se, permite el tráfico correspondiente. Puedes consultar el siguiente artículo de la Base de Conocimientos:

FortiGate-VM-probe-on-Azure-or-AWS-load-balancer