S T A C K F I R E

Loading

  • contacto@stackfire.com

Hoy les mostrar茅 una sencilla configuraci贸n de Fortigate para tener redundancia en la salida de nuestro firewall hacia Internet, de tal forma que si perdemos la l铆nea ADSL principal o si perdemos la conectividad por alg煤n motivo, podremos salir autom谩ticamente por la l铆nea ADSL secundaria sin tener apenas corte de datos de nuestros usuarios LAN hacia Internet. Hay que tener en cuenta que las pantallas pueden variar dependiendo de la versi贸n de FortiOS que tengan, sin embargo los fundamentos son exactamente los mismos.

A continuaci贸n veremos la configuraci贸n aplicada a un Fortigate 60-D, con una l铆nea principal de 20MB conectada al puerto WAN 2 y una l铆nea secundaria de 6MB conectada al puerto WAN 1.

Con este escenario base, iremos a la secci贸n 芦System 鈥> Network 鈥> Interfaces禄 y configuraremos cada interfaz WAN del Fortigate con una IP libre del mismo rango que el router al cual apuntar谩 cada una como salida.

Una vez realizada esta configuraci贸n, iremos a la secci贸n 芦System 鈥> Network 鈥> Routing禄 y crearemos las rutas est谩ticas necesarias para redundar y priorizar correctamente ambas l铆neas ADSL. Para ello pulsaremos en 芦Create New禄.

En la pantalla de creaci贸n, indicaremos como red destino 0.0.0.0/0.0.0.0, seleccionaremos WAN 1 como dispositivo, en el campo Gateway indicaremos la IP del router conectado a la WAN 1 y en el campo Distance pondremos el valor 20, m谩s adelante veremos el porqu茅.

Pulsaremos 芦OK禄 para guardar los cambios.

En segundo lugar, seguiremos el mismo proceso de creaci贸n de una ruta est谩tica para el dispositivo WAN 2 (nuestra l铆nea principal) pero esta vez, en el campo Distance indicaremos el valor 10, este valor de distancia menor har谩 que nuestro Fortigate, a la hora de escoger el camino por el cual sale hacia internet, escoja este segundo.

Guardaremos los cambios pulsando 芦OK禄 y, si ya tenemos las pol铆ticas correspondientes que permitan el tr谩fico entre la LAN (puerto Internal 1) y las interfaces WAN 1 y WAN 2, ya tendremos nuestra red LAN saliendo por defecto por el ADSL de 20MB.

Para una configuraci贸n 贸ptima se debe establecer el par谩metro Dead Gateway Detection en nuestra unidad Fortigate, este par谩metro permitir谩 establecer un control sobre la actividad del link hacia el siguiente salto definido, es decir, si definimos la IP 8.8.8.8 como siguiente salto, Fortigate evaluar谩 cada cierto tiempo si la IP contesta a ping, en caso afirmativo habr谩 verificado la actividad de esta l铆nea, en caso negativo marcar谩 el estado del link como 芦Down禄 y nuestra tabla de Routing saltar谩 a nuestra segunda l铆nea definida. A continuaci贸n vemos la configuraci贸n de Dead Gateway Detection:

En caso que caiga nuestra l铆nea principal o nos quedemos sin servicio en ella, Fortigate se dar谩 cuenta que esa ruta (con distancia 10) ya no est谩 disponible y, en apenas 2-3 segundos, desviar谩 el tr谩fico autom谩ticamente por la l铆nea ADSL secundaria de 6MB (con distancia 20).

Con esta sencilla configuraci贸n seguiremos teniendo acceso a Internet hasta que se solucione el problema en la l铆nea principal.

Leave a Comment