Cómo solucionar la gestión de paquetes ICMP Tipo 3 en FortiGates

Este artículo aborda un problema común en la gestión de paquetes ICMP Type 3 por parte de FortiGate. Entender cómo se manejan estos paquetes es crucial para garantizar una configuración eficiente y evitar problemas de conectividad. A través de este artículo, aprenderás a diagnosticar y solucionar problemas relacionados con la sincronización y el flujo de tráfico en redes que utilizan FortiGate.

Índice

1 Descripción del problema
2 Alcance
3 Diagnóstico paso a paso
4 Solución recomendada
5 Comandos CLI utilizados
6 Buenas prácticas y recomendaciones
7 Notas adicionales

Descripción del problema

Los paquetes ICMP (Internet Control Message Protocol) son esenciales para la comunicación de red, permitiendo la transferencia de información relacionada con el diagnóstico y la notificación de errores. Cuando un FortiGate recibe un paquete ICMP de tipo 3, existen particularidades en cómo este paquete es procesado y enrutar, lo cual puede impactar la operación de la red y la experiencia del usuario.

Alcance

Este documento se centra específicamente en la gestión de paquetes ICMP Type 3 en dispositivos FortiGate.

Diagnóstico paso a paso

Cuando un FortiGate recibe un paquete ICMP Type 3, no busca la mejor ruta, sino que enruta el paquete según la información interna contenida. Esto significa que utiliza la ruta de retorno de la sesión que tiene los puertos indicados en el campo del Protocolo de Datagramas de Usuario (UDP) del paquete ICMP Type 3. Para entender mejor esta mecánica, se muestra a continuación cómo se vería la captura de paquetes:

P captura de paquetes con el campo del Protocolo de Datagramas destacado en azul:

Capture screenshot.png

Detalles de la sesión (con información relacionada con la ruta de retorno en negrita):

session info: proto=17 proto_state=00 duration=89 expire=96 timeout=0 flags=00000000 socktype=0 sockport=0 av_idx=0 use=3
origin-shaper=
reply-shaper=
per_ip_shaper=
class_id=0 ha_id=0 policy_dir=0 tunnel=/ vlan_cos=0/255
state=log may_dirty f00 f02
statistic(bytes/packets/allow_err): org=111/3/0 reply=0/0/0 tuples=2
tx speed(Bps/kbps): 1/0 rx speed(Bps/kbps): 0/0
orgin->sink: org pre->post, reply pre->post dev=4->4/4->4 gwy=10.174.15.42/10.174.15.42
hook=pre dir=org act=noop 10.144.7.147:45767->10.48.18.27:33439(0.0.0.0:0)
hook=post dir=reply act=noop 10.48.18.27:33439->10.144.7.147:45767(0.0.0.0:0)
misc=0 policy_id=1 pol_uuid_idx=15746 auth_info=0 chk_client_info=0 vd=0
serial=00002d7a tos=ff/ff app_list=0 app=0 url_cat=0
rpdb_link_id=00000000 ngfwid=n/a
npu_state=0x000100
no_ofld_reason:  npu-flag-off

Para obtener información sobre cómo filtrar a través de la CLI y leer la lista de sesiones de FortiGate, consulta el Consejo de Solución de Problemas: Información sobre la tabla de sesiones de FortiGate.

Solución recomendada

Es importante notar que la mecánica descrita es válida para los paquetes ICMP de tipo 3, independientemente del código relacionado. Por lo tanto, no se considera un error si un paquete de respuesta de eco (tipo 11) y un paquete ICMP (tipo 3) recibidos en la misma interfaz de un FortiGate son enrutados de manera diferente. Por ejemplo, al ejecutar un traceroute UDP (el predeterminado), los routers intermedios responderán con un mensaje de que el tiempo de vida del paquete ha expirado (ICMP Tipo 11), mientras que el router que tiene la IP de destino del traceroute responderá directamente con un paquete de puerto inalcanzable (ICMP Tipo 3).

Un FortiGate en el medio puede enrutar estos dos tipos de paquetes de manera distinta: el primero según la tabla de enrutamiento y políticas de enrutamiento eventuales, como las reglas de SD-WAN, y el último con el mecanismo explicado anteriormente.

Comandos CLI utilizados

Para llevar a cabo monitoreos, puedes usar comandos como:

get system performance status – te permite verificar el estado del sistema.
diagnose firewall iprope list – para listar las reglas de inspección de IP.
diagnose debug enable – habilita el modo de depuración para observar el tráfico en tiempo real.

Buenas prácticas y recomendaciones

Para asegurar un rendimiento óptimo en la gestión de paquetes ICMP, se recomienda:

Realizar auditorías regulares de la configuración de la red y del FortiGate.
Mantener actualizado el firmware del dispositivo FortiGate.
Implementar políticas de control de tráfico adecuadas para optimizar el enrutamiento.

Notas adicionales

Si bien este artículo se ha centrado en ICMP Type 3, es importante tener en cuenta que hay otros tipos de paquetes ICMP y sus respectivas configuraciones pueden variar. Para más información sobre protocolos específicos, se recomienda consultar los documentos RFC relevantes, como RFC 792.

¿Te ha resultado útil??

0 / 0

Mila y César

Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.

¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!

Deja una respuesta 0

Otras preguntas sobre FortiGate

Cómo resolver problemas de conectividad entre FortiGate y FortiAnalyzer: Error ‘Falló la resolución del nombre – No se pudo obtener el estado de FAZ’
El presente artículo aborda un problema crítico relacionado con la conectividad entre FortiGate y FortiAnalyzer. El error ‘Failed to get FortiAnalyzer’s status. Hostname resolution failed’ puede afectar la capacidad de la organización para monitorear y analizar eficazmente su seguridad de red. A través de este artículo, se proporcionarán soluciones y recomendaciones para resolver este error, Leer
Cómo resolver el proceso de selección de rutas para tráfico autogenerado en VRFs de Fortinet
En este artículo, se abordará un comportamiento fundamental en dispositivos FortiGate relacionado con la generación de tráfico en instancias de Virtual Routing and Forwarding (VRF). Comprender cómo el dispositivo selecciona las rutas cuando hay múltiples caminos hacia una dirección IP específica es crucial para optimizar la configuración y asegurar el funcionamiento adecuado de las redes. Leer
Cómo resolver problemas de certificado SSL en la VPN SSL de FortiClient desde la aplicación de Microsoft Store
Este artículo aborda los problemas relacionados con los certificados SSL VPN en la aplicación FortiClient de Microsoft Store. Es esencial entender estos problemas, ya que pueden afectar la conectividad de los usuarios a la VPN, comprometiendo así la seguridad y la funcionalidad de la red. A lo largo del artículo, se ofrecerán soluciones paso a Leer
Cómo resolver problemas de SNAT entre subredes con IP Pool y puerto fijo en Fortinet
En este artículo, abordaremos cómo configurar NAT entre subredes en dispositivos FortiGate. El problema de la configuración incorrecta de NAT puede provocar que la comunicación entre diferentes segmentos de red falle, afectando la conectividad y el rendimiento general de la red. Proporcionaremos una guía paso a paso sobre cómo solucionar este problema y asegurarnos de Leer
Cómo solucionar desconexiones intermitentes de FortiGate con FortiAnalyzer
En este artículo se aborda un problema conocido que los usuarios pueden enfrentar con FortiGate al conectarse a FortiAnalyzer. El FortiGate almacena el número de serie del FortiAnalyzer en una lista en caché junto con marcas de tiempo. Estas marcas de tiempo se utilizan para verificar la expiración de las entradas del número de serie. Leer