Cómo solucionar la configuración de conectores Fabric en FortiAnalyzer o FortiManager con VPN site-to-site y subredes superpuestas

El artículo aborda cómo configurar los conectores de Fabric de FortiAnalyzer o FortiManager en situaciones donde hay subredes superpuestas en una VPN de sitio a sitio. Entender este problema es crucial, ya que puede causar interrupciones en la comunicación y configuración de la gestión central. Aquí se explicarán los pasos para resolver estos problemas, mejorando la conectividad y la administración de la red.

Índice

1 Descripción del problema
2 Alcance
3 Diagnóstico paso a paso
4 Solución recomendada
- 4.1 Configuración de FortiAnalyzer en la GUI
- 4.2 Configuración de FortiManager en la GUI
5 Comandos CLI utilizados
6 Buenas prácticas y recomendaciones
7 Notas adicionales

Descripción del problema

El problema surge cuando se utilizan subredes superpuestas en una VPN de sitio a sitio, lo que puede provocar que la comunicación no funcione adecuadamente si no se configura correctamente el entorno NAT.

Alcance

Este artículo es relevante para dispositivos FortiGate.

Diagnóstico paso a paso

Para diagnosticar la situación, se supone que el NAT entre redes es correcto y que hay conectividad entre las subredes superpuestas. Consultar la documentación para configurar una VPN de sitio a sitio con subredes superpuestas es recomendable.

Debido a que el tráfico es de salida local, las reglas de SNAT o DNAT en las políticas de firewall no se aplican en este escenario. No hay forma directa de aplicar NAT al tráfico de salida local.

Solución recomendada

Para visualizar los conectores de Fabric, navegue a Security Fabric -> conectores de Fabric.

Al configurar los conectores de Fabric, se debe utilizar la dirección IP natted correspondiente, desde la perspectiva del FortiGate sucursal. En este caso, se usarán las IP 10.1.1.100 y 10.1.1.200 para FortiAnalyzer y FortiManager, respectivamente.

Configuración de FortiAnalyzer en la GUI

Vaya a Security Fabric -> conectores de Fabric -> Logging & Analytics, en Logging Settings seleccione FortiAnalyzer e ingrese la IP del servidor.

Configuración CLI:

config log fortianalyzer setting
    set status enable
    set server "10.1.1.100"
  end

Configuración de FortiManager en la GUI

Vaya a Security Fabric -> conectores de Fabric -> Central Management, en Central Management Settings seleccione Type como On-Premises y configure la dirección IP/nombre de dominio con la dirección IP correspondiente.

Configuración CLI:

config system central-management
    set type fortimanager
    set fmg "10.1.1.200"
  end

Comandos CLI utilizados

Los siguientes comandos son esenciales para la configuración correcta:

config log fortianalyzer setting
    set status enable
    set server "10.1.1.100"
    set source-ip "10.2.2.1"
  end
  
  config system central-management
    set type fortimanager
    set fmg "10.1.1.200"
    set fmg-source-ip 10.2.2.1
  end

Buenas prácticas y recomendaciones

La configuración de una dirección IP secundaria que corresponda a la red natted de la sucursal en la interfaz LAN es fundamental. Para establecer la dirección IP secundaria, navegue a Network -> Interfaces, seleccione la interfaz, habilite Secondary IP Address y elija Create New. En este caso, la dirección IP será 10.2.2.1/24. También se debe habilitar el acceso administrativo para FMG-Access y Security Fabric Connection en esta dirección IP secundaria.

Configuración de CLI para la dirección IP secundaria:

config system interface
    edit "port5"
        set ip 192.168.1.1 255.255.255.0
        set allowaccess ping
        config secondaryip
            edit 1
                set ip 10.2.2.1 255.255.255.0
                set allowaccess fgfm fabric
            next
        end
    next
  end

Notas adicionales

Las configuraciones de source-ip para los conectores de Fabric solo pueden ser configuradas a través de la CLI. Después de establecer los ajustes de source-ip en ambas configuraciones, los conectores de Fabric podrán comunicarse con cada dispositivo. Utilice el sniffer para verificar la conectividad, utilizando el source-ip configurado.

Ejemplo de sniffer hacia FortiAnalyzer:

Branch # diag sniff pack any 'host 10.1.1.100' 4 0 l
Using Original Sniffing Mode
interfaces=[any]
filters=[host 10.1.1.100]
2024-11-06 10:06:44.756320 BRANCHtoHQ out 10.2.2.1.10129 -> 10.1.1.100.514: psh 2814090234 ack 2240713378

Ejemplo de sniffer hacia FortiManager:

Branch # diag sniff pack any 'host 10.1.1.200' 4 0 l
Using Original Sniffing Mode
interfaces=[any]
filters=[host 10.1.1.200]
2024-11-06 10:08:36.784550 BRANCHtoHQ out 10.2.2.1.10841 -> 10.1.1.200.541: psh 2978532770 ack 4044092157

Los conectores de Fabric ahora deberían mostrar como ‘Conectados’.

¿Te ha resultado útil??

0 / 0

Mila y César

Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.

¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!

Deja una respuesta 0

Otras preguntas sobre <a href="https://todoforti.net/fortigate/">FortiGate</a>

Webhook de discordia para los puntos de automatización de Security Fabric
Descripción Este artículo describe cómo configurar una puntada de automatización de webhooks que publica un mensaje en un canal de Discordia elegido cuando la puntada se activa. Alcance Esta guía es aplicable a cualquier versión de FortiOS que soporte la acción de automatización de webhooks (6.0+). El FortiGate necesita ser capaz de resolver y comunicarse Leer
Cómo solucionar el error al enviar informes o correos de activación desde FortiGate
Este artículo aborda un error común en FortiGate que impide el envío de correos electrónicos para Informes Locales o códigos de activación. Comprender y resolver este problema es crucial, especialmente para garantizar la correcta recepción de notificaciones importantes y activaciones de servicios. A continuación, se presentarán los pasos necesarios para diagnosticar y solucionar este inconveniente Leer
Cómo solucionar el problema de usuarios ‘guest’ en FSSO de FortiGate
En este artículo, abordaremos un problema común en FortiGate relacionado con la creación de una sesión de usuario ‘invitado’ dentro del grupo ‘SSO_Guest_Users’. Esto es importante ya que, si no se maneja adecuadamente, puede llevar a inconsistencias en la asignación de políticas de firewall y afectar la seguridad de la red. A continuación, proporcionaremos un Leer
Consejo técnico: restablezca la contraseña de administrador si la cuenta de mantainer también está deshabilitada
Descripción: Este artículo describe otra manera sana de restablecer la contraseña de administrador si la cuenta de mantainer también está deshabilitada. Alcance FortiGate. Solución El requisito más importante para restablecer la contraseña de administrador es que el usuario debe tener el último archivo de configuración de respaldo de FortiGate, luego abra el archivo de configuración Leer
Diferencia y comprensión entre NPU Vdom link, NPU Vdom link con VLAN y Vdom link
Descripción Este artículo describe la diferencia básica entre NPU vdom link, NPU vdom link con VLAN ID y Vdom link. Alcance FortiGate. Solución – NPU Vdom Link. Los enlaces NPU vdom están en construcción y en el momento que se habilita el modo multi vdom el nombre de la interfaz ‘npu0_vlink’ es visible en FortiGate Leer