Este artículo aborda un problema que afecta a la conectividad de ciertos sitios web cuando se configura el balanceo de carga de SD-WAN en las reglas de SD-WAN y se habilita el Control de Aplicaciones con la acción establecida en ‘Permitir’. Este problema es relevante porque puede causar lentitud o inaccesibilidad en el acceso a aplicaciones críticas. A continuación, se proporcionará un análisis detallado del problema y las posibles soluciones.
Índice
Descripción del problema
Cuando las reglas de SD-WAN están configuradas con balanceo de carga y el Control de Aplicaciones está habilitado en la política del firewall, la conexión a ciertos sitios puede volverse lenta o inalcanzable. Este problema generalmente ocurre cuando las reglas de SD-WAN utilizan carga equilibrada con múltiples interfaces WAN.
Alcance
FortiGate v7.4.4.
Diagnóstico paso a paso
En las salidas de depuración, se observa que el tráfico inicialmente sale a través del puerto 7, pero después de un tiempo, se redirige a través del puerto 1. Este cambio inesperado en el enrutamiento se debe a la configuración de balanceo de carga de SD-WAN dentro de la regla de SD-WAN, lo que provoca que la sesión existente se cierre.
Solución recomendada
Este problema se ha resuelto en FortiOS v7.4.8 y v7.6.1, disponibles en el Portal de Soporte de Fortinet. Sin embargo, si la actualización no es posible, se pueden utilizar las siguientes soluciones alternativas:
- Modificar la acción de categoría de ‘Permitir’ a ‘Monitorear’.
- Deshabilitar el Control de Aplicaciones en la política del firewall.
- Configurar la regla de SD-WAN con una sola interfaz WAN.
Comandos CLI utilizados
config system sdwan
config service
edit 2
set name "Test"
set load-balance enable
set dst "all"
set src "all"
set priority-members 4 1
next
end
end
config firewall policy
edit 1
set name "Test"
set srcintf "port4"
set dstintf "virtual-wan-link"
set action accept
set srcaddr "all"
set dstaddr "all"
set schedule "always"
set service "ALL"
set utm-status enable
set ssl-ssh-profile "certificate-inspection"
set application-list "Corp_Users"
set logtraffic all
set nat enable
next
endBuenas prácticas y recomendaciones
Para evitar problemas de conectividad, se recomienda realizar las siguientes acciones:
- Revisar la configuración de las reglas de SD-WAN y asegurarse de que el balanceo de carga esté correctamente implementado.
- Realizar actualizaciones periódicas de FortiOS para aplicar correcciones y mejoras de rendimiento.
- Monitorear el tráfico y las sesiones a través de la interfaz de gestión para identificar problemas potenciales antes de que afecten a los usuarios finales.
Notas adicionales
Es esencial mantener la documentación al día y capacitar al personal en las mejores prácticas de configuración y mantenimiento de dispositivos FortiGate.
This structured and SEO-friendly article provides a comprehensive response to the identified issue while maintaining clarity and technical accuracy.
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!