Queridos amigos del blog de Encora, soy Eric Ros, Head of Cyber Security y hoy os vengo a hablar de la configuración de redundancia WAN en los dispositivos Fortigate.
ÍNDICE DE ARTÍCULOS SOBRE FORTINET
Los compañeros del Encora Team estamos escribiendo una serie de posts sobre la tecnología Fortinet que tanto nos pedís los clientes y amigos de Encora:
- Fortigate: 5 módulos UTM. Ir al artículo
- Fortigate: Configuración de redundancia WAN. El presente artículo
- Fortigate: Módulo IPS. Ir al artículo
- Fortigate: Módulo antivirus. Ir al artículo
- Fortigate: Módulo web filtering. Ir al artículo
- Fortigate: Módulo application control. Ir al artículo
Si echáis en falta alguna tecnología de Fortinet podéis hacérnoslo saber y la incorporaremos lo antes posible.
CONFIGURACIÓN DE REDUNDANCIA WAN
Cuando implementamos una solución de firewall, del fabricante que sea, una de las preocupaciones debería ser que tenga redundancia WAN. Si solo tenemos un cortafuegos y se rompe o desconfigura, vamos a dejar a nuestra empresa sin conexión a Internet: Noooooo 🙂
Hoy os mostraremos una sencilla configuración de Fortigate para tener redundancia en la salida de nuestro cortafuegos hacia Internet.
De este modo si cae la línea ADSL principal o si perdemos la conectividad por algún motivo, podremos salir automáticamente por la línea ADSL secundaria.
Esto se producirá sin tener apenas corte de datos de nuestros usuarios LAN hacia Internet.
A continuación veremos la configuración aplicada a un Fortigate 60D, con una línea principal de 20MB conectada al puerto WAN 2 y una línea secundaria de 6MB conectada al puerto WAN 1.
Con este escenario base, iremos a la sección «System –> Network –> Interfaces» y configuraremos cada interfaz WAN del Fortigate con una IP libre del mismo rango que el router al cual apuntará cada una como salida.
Creación de rutas estáticas
Una vez realizada esta configuración, iremos a la sección «System –> Network –> Routing» y crearemos las rutas estáticas necesarias para redundar y priorizar correctamente ambas líneas ADSL.
Para ello pulsaremos en «Create New».
En la pantalla de creación, indicaremos como red destino 0.0.0.0/0.0.0.0. Seleccionaremos WAN 1 como dispositivo, en el campo Gateway. Indicaremos la IP del router conectado a la WAN 1 y en el campo Distance pondremos el valor 20, más adelante veremos el porqué 🙂
Pulsaremos «OK» para guardar los cambios.
En segundo lugar, seguiremos el mismo proceso de creación de una ruta estática para el dispositivo WAN 2 (nuestra línea principal). Pero en esta ocasión, en el campo Distance indicaremos el valor 10.
Este valor de distancia menor hará que nuestro Fortigate, a la hora de escoger el camino por el cual sale hacia internet, escoja este segundo.
Guardaremos los cambios pulsando «OK». Si ya tenemos las políticas correspondientes que permitan el tráfico entre la LAN (puerto Internal 1) y las interfaces WAN 1 y WAN 2, ya tendremos nuestra red LAN saliendo por defecto por el ADSL de 20MB.
Para una configuración óptima se debe establecer el parámetro Dead Gateway Detection en nuestra unidad Fortigate.
Este parámetro permitirá establecer un control sobre la actividad del link hacia el siguiente salto definido.
Si definimos la IP 8.8.8.8 como siguiente salto, Fortigate evaluará cada cierto tiempo si la IP contesta a ping:
- En caso afirmativo habrá verificado la actividad de esta línea.
- En caso negativo marcará el estado del link como «Down» y nuestra tabla de Routing saltará a nuestra segunda línea definida.
A continuación vemos la configuración de Dead Gateway Detection:
Redundancia WAN en Fortigate conseguida
En caso que caiga nuestra línea principal o nos quedemos sin servicio en ella, Fortigate se dará cuenta que esa ruta (con distancia 10) ya no está disponible. En apenas 2-3 segundos, desviará el tráfico automáticamente por la línea ADSL secundaria de 6MB (con distancia 20).
Con esta sencilla configuración de fortigate hemos conseguido la redundancia WAN y seguiremos teniendo acceso a Internet hasta que se solucione el problema en la línea principal.
Si queréis que os llamemos y hablemos de configuraciones relacionadas con Fortinet o, en general con ciberseguridad, estamos a vuestra disposición.
¡Un saludo y hasta el próximo post!
