Descripción:
Este artículo explica y proporciona un ejemplo de configuración relacionado con la configuración de la interfaz de administración de alta disponibilidad.
Ejemplo típico de configuración activa-pasiva de alta disponibilidad con configuración de interfaz de administración reservada de alta disponibilidad.
https://docs.fortinet.com/document/FortiWeb/6.4.1/administration-guide/404272/configuring-high-avail…
Por diseño, solo se permite una ruta predeterminada (la ruta estática con destino 0.0.0.0/0) en FortiWeb.
Por ejemplo, si se configura una ruta predeterminada en Sistema -> Red -> Ruta , entonces no se permite configurar otra ruta predeterminada en la configuración de ruta HA.
Por lo tanto, la conectividad a la interfaz de administración de alta disponibilidad a menudo se interrumpe debido a la configuración de la ruta. Más información sobre cómo se comportan la ruta estática HA y la ruta política. Consulte la guía a continuación.
https://docs.fortinet.com/document/FortiWeb/6.4.1/administration-guide/964016/configuring-ha-setting…
Solución
Basada en la topología típica de configuración activa-pasiva de HA, con menos de 2 casos de uso, la solución debe cumplir con los requisitos del caso para enrutar el tráfico de administración de HA a través de la ruta esperada.
Consulte a continuación las 2 posibles soluciones:
Escenario 1
La red del cliente (usuarios administradores) proviene de una red desconocida: Red
desconocida significa que la conexión del cliente puede provenir de 10.10.10.x e Internet.
Desde CLI
Desde GUI
Realice un seguimiento del rastreador para determinar el destino de la conectividad para que la interfaz de administración de alta disponibilidad responda en consecuencia.
La captura de sniffer indica el retorno del tráfico de administración de HA de acuerdo con la ruta de la política de HA.
# diagnose network sniffer any ‘host 172.10.10.1’ 4
filters=[host 172.10.10.1]interface=[port1] 9.374762 10.10.10.7.51131 -> 172.10.10.1.443: syn 1836135939
interface=[port1] 9.374775 172.10.10.1.443 -> 10.10.10.7.51131: syn 171024616 ack 1836135940
interface=[port1] 9.376389 10.10.10.7.51131 -> 172.10.10.1.443: ack 171024617
Escenario 2
Red conocida significa que la conexión del cliente sólo vendrá de 10.10.10.x; cualquiera de las dos opciones funcionará dependiendo de la configuración del entorno.
Si el tráfico debe coincidir con la IP de origen, utilice la opción A.
Opción A
Opción B
Desde GUI
Reemplace la dirección de origen, la dirección de destino, la interfaz saliente y la dirección de la puerta de enlace de acuerdo con la configuración de su entorno.
Pasos de verificación
Realice un seguimiento del rastreador para determinar el destino de la conectividad para que la interfaz de administración de alta disponibilidad responda en consecuencia.
La captura de sniffer indica el retorno del tráfico de administración de HA de acuerdo con la política de HA o la ruta estática de HA.
# diag network sniffer any ‘host 172.10.10.2’ 4
filters=[host 172.10.10.2]interface=[port1] 3.373251 10.10.10.7.51211 -> 172.10.10.2.443: syn 560192458
interface=[port1] 3.373261 172.10.10.2.443 -> 10.10.10.7.51211: syn 2110820095 ack 560192459
interface=[port1] 3.374993 10.10.10.7.51211 -> 172.10.10.2.443: ack 2110820096
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!