Ahoj gurus, jsem tak trochu nový v Fortigate, majíce zkušenosti hlavně s Palo a Cisco. Při řešení závady VPN jsem si všiml v logách, že veškerý zajímavý provoz je zamítán - (Odmítnuto kontrolou politiky směrování (policy 0)
To mě přimělo zkoumat politiky, jestli se něco nezměnilo, ale zatímco to dělal, administrátor Checkpoint na druhé straně vymazal své SA, tunel se znovu aktivoval a pak se v logách objevila stejná komunikace povolená.
Je to jen vlastnost Fortigate, že když je rozhraní tunelu dole, začne rovnou zamítat tento provoz určený k směrování na toto rozhraní? U Palos a Ciscos bych viděl, že provoz je povolen, ale není směrován, protože rozhraní je dole.
Napadlo mě zeptat, protože mě to zmátlo a myslel jsem, že problém jsou politiky.
Pokud je rozhraní dole, měly by příslušné trasy vypadnout ze směrovací tabulky a způsobit, že provoz nebude odpovídat žádné politice a narazí na výchozí zamítnutí (policy 0).
Zajímavé, takže na Fortigate jsou politiky závislé na směrování. Mohu mít politiku, která povoluje provoz, ale pokud v tabulce není žádná trasa pro tento provoz, firewall to vidí jako neshodu s politikou? Je nějaký způsob, jak upravit logy a/nebo nastavení tak, aby byly průhlednější o tom, že se provoz blokuje kvůli závislosti na trase, nikoliv kvůli chybějící nesprávné politice?
Vracím se k vaší původní otázce, věřím, že FortiOS automaticky neodmítá VPN provoz, pokud je tunel dole.
Co se stane je, že se najde jiná trasa (pokud existuje), a pak se provede kontrola politik.
Pokud je můj logika správná, pravděpodobně váš provoz směřoval do blackhole trasy a narazil na policy 0, protože nemáte (zjevně) politiky k povolení odchozího provozu do nulového rozhraní.
Nikoli, mám výchozí trasu. V tomto případě je rozhraní tunelu dole, takže Fortigate začal blokovat provoz, jako by neexistovala odpovídající politika, dokud se rozhraní tunelu neobnoví. Snažím se jen pochopit proč. Je vždy zábava poznávat zvláštnosti nových platforem.
„Nepřijde mi, že by FortiOS automaticky odmítal VPN provoz, pokud je tunel dole.“
Jste si tím jistý? Měl byste si přečíst odpověď afroman_says.
Jeho odpověď:
„Tato statická trasa je vázána na rozhraní. Pokud je toto rozhraní dole, tato trasa není platná. Stejně tak platí pro připojená rozhraní. Logicky to dává smysl, protože FGT (nebo jakékoli síťové zařízení) by nemělo povolovat směrování na sítě definované na rozhraní, které je dole.“
To znamená, že VPN provoz bude odmítnut, protože pro tento provoz neexistuje trasa. Ve skutečnosti jsem to viděl sám, když jsem vytvořil trasu a toto rozhraní bylo dole, když jsem dělal ukázku trasy na Fortigate, trasa nebyla přítomna, pouze ty aktivní jsou zobrazeny.
Provoz by odpovídal cílovému rozhraní výchozí trasy.
Máte pravidlo, které povoluje váš provoz z toho rozhraní? Pokud ne, pak je log správný a říká vám, že nemáte pravidlo povolující provoz z toho rozhraní.
Vidím, co myslíte. Takže i když mám nakonfigurovanou statickou trasu směřující provoz do tohoto rozhraní tunelu, pokud rozhraní zkolabuje, tato statická trasa je odstraněna z tabulky tras a tudíž cílové rozhraní v politice nesedí. Myslel jsem, že když mám statickou trasu, neočekával jsem, že trasa zmizí z tabulky.
I když mám nakonfigurovanou statickou trasu směřující provoz do tohoto rozhraní tunelu, pokud rozhraní zkolabuje, tato statická trasa je odstraněna z tabulky tras a tudíž cílové rozhraní v politice nesedí.
Byl tam farmář s psem a Bingo byl jeho jméno-o!
I myslím, že když mám statickou trasu, neočekával jsem, že trasa zmizí z tabulky.
Tato statická trasa je vázána na rozhraní. Pokud je toto rozhraní dole, tato trasa není platná. Stejně tak platí i pro připojená rozhraní. Logicky to dává smysl, protože FGT (nebo jakékoli síťové zařízení) by nemělo povolovat směrování na sítě definované na rozhraní, které je dole.
DODATEK: Chtěl bych přidat, že pokud by toto chování bylo povoleno, vlastně byste vytvářeli “blackhole” trasu. Pokud je to vaše úmysl, můžete vytvořit statickou trasu a odkazovat na “blackhole” zařízení pro tento účel.
