En este artículo abordaremos un problema común en la conectividad de dispositivos mediante FortiGate, donde el tiempo de respuesta del ping se muestra como 0.1 ms. Este síntoma es crucial ya que puede indicar que los paquetes de ping no están llegando al dispositivo final. El artículo proporcionará un diagnóstico detallado y una solución recomendada para resolver este problema de conectividad.
Índice
Descripción del problema
Cuando se presenta un tiempo de respuesta de 0.1 ms durante una prueba de ping, esto puede ser un síntoma de que los paquetes de ping no están alcanzando el dispositivo de destino. Generalmente, se espera que el tiempo de respuesta del ping sea superior a 1 ms. Un tiempo de respuesta tan bajo indica que la respuesta proviene del propio FortiGate y no del dispositivo final.
Alcance
Este artículo es aplicable a dispositivos FortiGate en versiones 6.4 o superiores.
Diagnóstico paso a paso
Para diagnosticar este problema, sigamos los siguientes pasos:
- Ejecutar un comando de ping desde FortiGate hacia el IP del dispositivo de destino.
- Si el tiempo de respuesta es de 0.1 ms, esto sugiere que la respuesta está siendo generada por la propia unidad de FortiGate.
- Utilizar un sniffer (capturador de paquetes) para verificar qué sucede con los paquetes.
Al correr el sniffer, busque las etiquetas ‘root in’ y ‘root out’. Si se observa esto, confirma que la respuesta de ping proviene del FortiGate.
Solución recomendada
Una posible causa de este problema es la configuración de IP Pools o Virtual IPs con la opción de respuesta ARP habilitada. Para resolver esto, verifique el IP Pool y el Virtual IP/Servidor Virtual que podría estar afectando:
Realice los siguientes pasos:
- Identifique el objeto correspondiente en la configuración.
- Desactive la opción de ‘arp-reply’ para ese objeto.
A continuación, se presentan los comandos CLI que pueden ayudar a desactivar esta función:
config firewall ippool
edit "IP Pool"
set startip 192.168.39.1
set endip 192.168.39.255
set arp-reply disable
next
endSiguiendo estos pasos, el ping debería dirigirse correctamente al dispositivo. Es recomendable ejecutar nuevamente el comando del sniffer para verificar la solución.
Comandos CLI utilizados
A continuación se mencionan los comandos CLI utilizados en el diagnóstico y solución:
config firewall ippool
edit "IP Pool"
set startip 192.168.39.1
set endip 192.168.39.255
set arp-reply disable
next
endBuenas prácticas y recomendaciones
Para evitar problemas similares en el futuro, considere las siguientes recomendaciones:
- Revise periódicamente la configuración de IP Pools y Virtual IPs en su FortiGate.
- Asegúrese de que la opción de respuesta ARP solo esté habilitada donde sea necesario.
- Realice pruebas de conectividad regularmente para detectar anomalías a tiempo.
Notas adicionales
Cuando se experimenten problemas de conectividad, es esencial tener en cuenta que los problemas pueden ser causados no solo por configuraciones incorrectas en FortiGate, sino también por condiciones externas como cambios en la red o fallos en el dispositivo final.
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!