Este artículo aborda un problema específico que se presenta después de una actualización del firmware en dispositivos FortiGate, donde la dirección de destino de la ruta estática desaparece. Este problema es crítico, ya que la falta de esta dirección puede afectar la conectividad de la red y la capacidad para enrutar tráfico correctamente. A través de este artículo, se ofrecerá un diagnóstico detallado y soluciones recomendadas para resolver este inconveniente.
Índice
Descripción del problema
Tras actualizar el firmware en FortiGate, se ha observado que la dirección de destino de la ruta estática desaparece. Este comportamiento puede causar confusión y problemas de conectividad en la red, ya que el enrutamiento depende de configuraciones precisas para funcionar correctamente.
Alcance
Este artículo aplica a dispositivos FortiGate con firmware versión 7.2.x.
Diagnóstico paso a paso
Cuando se produce este problema, es esencial realizar un diagnóstico adecuado para determinar la causa. Se recomienda seguir este proceso:
- Verifique si el firmware ha sido actualizado recientemente.
- Utilice los comandos de diagnóstico para revisar el registro de errores de configuración.
- Compruebe las rutas estáticas para identificar la ausencia de la dirección de destino.
Solución recomendada
Configuración:
Configurar VPN IPSec utilizando el asistente:
Desde CLI:
config vpn ipsec phase1-interface
edit «ABC-TUNNEL-XYZ»
set interface «port3»
set peertype any
set net-device disable
set proposal aes128-sha256 aes256-sha256 aes128-sha1 aes256-sha1
set comments «VPN: ABC-TUNNEL-XYZ (Creado por el asistente de VPN)»
set wizard-type static-fortigate
set remote-gw 10.5.20.106
set psksecret ENC ehpZslaquEarMvK
next
end
config vpn ipsec phase2-interface
edit «ABC-TUNNEL-XYZ»
set phase1name «ABC-TUNNEL-XYZ»
set proposal aes128-sha1 aes256-sha1 aes128-sha256 aes256-sha256 aes128gcm aes256gcm chacha20poly1305
set comments «VPN: ABC-TUNNEL-XYZ (Creado por el asistente de VPN)»
set src-addr-type name
set dst-addr-type name
set src-name «ABC-TUNNEL-XYZ_local»
set dst-name «ABC-TUNNEL-XYZ_remote»
next
end
La dirección de destino se añade automáticamente a la ruta estática como se muestra a continuación:
config router static
set device «ABC-TUNNEL-XYZ»
set comment «VPN: ABC-TUNNEL-XYZ (Creado por el asistente de VPN)»
set dstaddr «ABC-TUNNEL-XYZ_remote»
next
end
config firewall address
edit «ABC-TUNNEL-XYZ_remote_subnet_1»
set uuid 9f593496-8ae8-51ef-b219-f8824328139f
set allow-routing enable
set subnet 10.109.0.0 255.255.240.0
next
end
config firewall addrgrp
edit «ABC-TUNNEL-XYZ_remote»
set uuid 9f5b7134-8ae8-51ef-263f-1cb2b5a6a08f
set member «ABC-TUNNEL-XYZ_remote_subnet_1»
set comment «VPN: ABC-TUNNEL-XYZ (Creado por el asistente de VPN)»
set allow-routing enable
next
end
Agregue múltiples objetos de dirección al mismo grupo remoto de VPN ‘ABC-TUNNEL-XYZ_remote’, y asegúrese de que la opción ‘allow-routing’ esté habilitada en todos los objetos de dirección como se muestra a continuación, ya que para los miembros del grupo de dirección remota de VPN, ‘allow-routing’ está habilitado por defecto.
config firewall address
edit «member_1»
set uuid ce240328-8ae8-51ef-a787-b2ac37e32e17
set allow-routing enable
set subnet 10.110.0.0 255.255.240.0
next
edit «member_2»
.
.
edit «member_11»
end
Incluya todos los miembros del objeto de dirección anteriores como parte del grupo ‘ABC-TUNNEL-XYZ_remote’.
De manera similar, cree y agregue otra lista de objetos de dirección con ‘allow-routing’ en todos los objetos de dirección y objetos de grupo como parte del grupo anidado.
configure firewall addrgrp
edit «nested_group»
set uuid 515aabb0-8aea-51ef-d7b8-b20dcf9b044c
set member «second_member_1» «second_member_2» «second_member_3» «second_member_4» «second_member_5» «second_member_6» «second_member_7» «second_member_8» «second_member_9»
set allow-routing enable
next
edit «ABC-TUNNEL-XYZ_remote»
set uuid 9f5b7134-8ae8-51ef-263f-1cb2b5a6a08f
set member «ABC-TUNNEL-XYZ_remote_subnet_1» «member_1» «member_10» «member_11» «member_2» «member_3» «member_4» «member_5» «member_6» «member_7» «member_8» «member_9» «nested_group»
set comment «VPN: ABC-TUNNEL-XYZ (Creado por el asistente de VPN)»
set allow-routing enable
next
end
Sin embargo, ‘second_member_9‘ no está habilitado con la opción ‘allow-routing’, consulte la configuración a continuación:
config firewall address
edit «second_member_9»
set uuid a1ad73f0-8ae9-51ef-be87-2a3c20da00c5
set subnet 10.129.0.0 255.255.240.0
next
end
Con estas configuraciones, si se actualiza el firmware de FortiGate, se pueden ver los siguientes registros en el puerto de consola.
diag debug config-error-log read
>>> «set» «dstaddr» «ABC-TUNNEL-XYZ_remote» @ root.router.static.2:value parse error (error -3)
>>> «set» «dstaddr» «ABC-TUNNEL-XYZ_remote» @ root.router.static.3:value parse error (error -3)
Y con el objeto de dirección ‘second_member9’, la dirección de destino no se actualizará en la ruta estática, como se muestra a continuación, convirtiéndose en la ruta predeterminada que puede afectar el flujo de tráfico.
config router static
edit 2
set device «ABC-TUNNEL-XYZ»
set comment «VPN: ABC-TUNNEL-XYZ (Creado por el asistente de VPN)»
next
end
Buenas prácticas y recomendaciones
Es fundamental asegurarse de que todos los objetos de dirección asignados en los grupos de la firewall tengan habilitada la opción ‘allow-routing’. Esto evitará problemas futuros de conectividad y asegura un correcto funcionamiento de las rutas estáticas.
Notas adicionales
Si se presentan problemas adicionales, revise la configuración de la VPN y los objetos de dirección. La correcta configuración de todos los elementos relacionados es esencial para garantizar la estabilidad y funcionamiento óptimo de la red.
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!