Cómo solucionar fallos de ping entre puertos de gestión de HA en FortiGate

En este artículo, abordaremos un problema común relacionado con las fallas de ping entre los puertos de gestión de FortiGate en una configuración de Alta Disponibilidad (HA). Este problema es crucial ya que afecta la comunicación y la conectividad entre dispositivos, lo que, a su vez, puede comprometer la integridad de su red. A través de este artículo, aprenderá a diagnosticar y resolver estas fallas, asegurando que su entorno de FortiGate funcione sin interrupciones.

Índice

1 Descripción del problema
2 Alcance
3 Diagnóstico paso a paso
4 Solución recomendada
5 Comandos CLI utilizados
6 Buenas prácticas y recomendaciones
7 Notas adicionales

Descripción del problema

Cuando FortiGate está configurado en un modo Activo-Pasivo, es fundamental que los dispositivos se puedan comunicar entre sí a través de sus interfaces de gestión. Sin embargo, pueden surgir problemas, como la incapacidad de hacer ping entre las direcciones IP de gestión, lo que indica un error de configuración o conectividad.

Alcance

Este artículo es relevante para usuarios de FortiOS que implementan una configuración de ALta Disponibilidad (HA) en sus dispositivos FortiGate.

Diagnóstico paso a paso

Consideremos el siguiente escenario donde los dispositivos FortiGate están configurados de la siguiente manera:

IP de la interfaz de gestión de FortiGate1 (FGT1): 10.110.100.1
IP de la interfaz de gestión de FortiGate2 (FGT2): 10.110.100.2
La VLAN 1000 es la interfaz de gestión dedicada.

Al intentar hacer un ping desde FortiGate1 a FortiGate2, usted puede encontrarse con un error, el cual se ilustra a continuación:

FORTIGATE-MASTER # execute ping 10.110.100.2
PING 10.110.100.2 (10.110.100.2): 56 data bytes
--- 10.110.100.2 ping statistics ---
5 packets transmitted, 0 packets received, 100% packet loss

Solución recomendada

Para habilitar la funcionalidad de ping utilizando la IP de la interfaz de gestión dedicada, es necesario acceder al dominio virtual oculto (VDOM) de gestión. Siga estos pasos:

En FortiGate1, ingrese la configuración de la interfaz de gestión:

config system interface
    edit "vlan_1000"
    set ip 10.110.100.1 255.255.255.0
    set allowaccess ping https ssh
    set alias "mgmt"
    set role lan
    set snmp-index 46
    set interface "CORE-SW-LINK"
    set vlanid 1000
    next
end

En FortiGate2, realice la configuración correspondiente:

config system interface
    edit "vlan_1000"
    set ip 10.110.100.2 255.255.255.0
    set allowaccess ping https ssh
    set alias "mgmt"
    set role lan
    set snmp-index 46
    set interface "CORE-SW-LINK"
    set vlanid 1000
    next
end

Ahora, para entrar al VDOM de gestión, ejecute los siguientes comandos:

FORTIGATE-MASTER # execute enter vsys_hamgmt

Después de ingresar al VDOM, intente hacer ping nuevamente:

FORTIGATE-MASTER # execute ping 10.110.100.2
PING 10.110.100.2 (10.110.100.2): 56 data bytes
64 bytes from 10.110.100.2: icmp_seq=0 ttl=255 time=0.1 ms
64 bytes from 10.110.100.2: icmp_seq=1 ttl=255 time=0.0 ms
64 bytes from 10.110.100.2: icmp_seq=2 ttl=255 time=0.0 ms
64 bytes from 10.110.100.2: icmp_seq=3 ttl=255 time=0.0 ms
64 bytes from 10.110.100.2: icmp_seq=4 ttl=255 time=0.0 ms
--- 10.110.100.2 ping statistics ---
5 packets transmitted, 5 packets received, 0% packet loss round-trip min/avg/max = 0.0/0.0/0.1 ms

La IP de gestión del FortiGate secundario ahora es accesible a través de ping.

Comandos CLI utilizados

execute ping [IP]: utilizado para verificar la conectividad entre los dispositivos de gestión.
config system interface: permite configurar la interfaz de gestión del FortiGate.
execute enter vsys_hamgmt: accede al dominio virtual oculto para gestionar dispositivos en HA.

Buenas prácticas y recomendaciones

Para garantizar un funcionamiento óptimo de su configuración de HA:

Asegúrese de que las IPs de gestión estén en la misma subred y correctamente configuradas.
Revise regularmente los logs para identificar y solucionar cualquier problema de conectividad.
Considere implementar alertas para notificar fallas en la comunicación entre dispositivos HA.

Notas adicionales

Recuerde que las configuraciones de gestión son cruciales en el entorno de FortiGate y afectan la disponibilidad de red en situaciones críticas. Mantenga actualizados sus dispositivos FortiGate y asegúrese de realizar copias de seguridad de la configuración periódicamente para evitar pérdidas de datos importantes.

¿Te ha resultado útil??

0 / 0

Mila y César

Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.

¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!

Deja una respuesta 0

Otras preguntas sobre <a href="https://todoforti.net/fortigate/">FortiGate</a>

Cómo solucionar el error «502 Command REST no permitido por la política» en Fortinet
En este artículo se aborda un error común que puede ocurrir al acceder a un servidor FTP a través de TLS. Este problema es relevante ya que interfiere con la capacidad de reanudar descargas, lo que puede afectar la eficiencia de los usuarios. El artículo proporcionará un diagnóstico detallado y una solución recomendada para resolver Leer
Cómo solucionar el error de respuesta GetCACert en SCEP de Fortinet
En este artículo se abordará el proceso de obtención del certificado CA desde un objeto CMS utilizando el protocolo SCEP (Simple Certificate Enrollment Protocol). Este procedimiento es fundamental para garantizar la seguridad en la gestión de certificados dentro de la infraestructura de red de FortiGate. Un correcto manejo del SCEP puede prevenir problemas relacionados con Leer
Cómo solucionar la verificación de la autenticación multifactor por correo electrónico con FortiToken
En este artículo, abordamos un problema común que enfrentan los usuarios al implementar la autenticación de correo electrónico para el acceso VPN o de administrador en FortiGate. Este método permite enviar un código de autenticación mediante servicios SMTP, esencial para asegurar accesos y mantener la seguridad de la información. Aquí, explicaremos cómo solucionar este problema Leer
Cómo solucionar el fallo de verificación de ruta inversa en Fortinet con una ruta presente en la tabla de enrutamiento a través de la interfaz de entrada
En este artículo, abordaremos el problema de fallo en la verificación del camino inverso (RPF) en dispositivos FortiGate, un tema crucial para garantizar la correcta sincronización y flujo de tráfico en redes que utilizan FortiOS. Este fallo puede surgir incluso cuando la ruta está presente en la tabla de enrutamiento. Proporcionaremos un análisis detallado y Leer
Los bits de la dirección IP serán truncados por la máscara de subred
Asegúrese de utilizar la dirección de red en lugar de introducir cualquiera de las IP utilizables en el campo IP/Máscara de red. Ejemplo: En el siguiente ejemplo, la subred es /24, la IP introducida es 192.168.1.1, que es uno de los rangos de IP de host utilizables. Para evitar este error, es necesario introducir la Leer