Sei sulla pagina 1di 5

Analisi Fortinet firewall con dual link Internet HA

Per iniziare cominciamo ad analizzare la configurazione piu’ semplice di gestione di


link multipli disponbilisui firewall Fortinet in cui configuriamo un doppio link Internet in
High Availability impostando un link primario e uno di backup. Nella parte di
configurazione di routing statico sotto “Static Route” impostiamo la linea Internet
principale sull’interfaccia wan1 e linea di backup su sull’interfaccia wan2.

Per fare questo inseriamo una default route 0.0.0.0/0.0.0.0 con gateway l’ip del router
internet (nell’esempio 62.123.90.25) sulla wan1 impostando una distanza 10, poi
impostiamo una seconda default route con l’ip del router della wan2 (nell’esempio
80.204.121.193) impostando una distanza superiore, nell’esempio 15.

Con queste impostazioni per raggiungere Internet finche’ la linea attestata sulla wan1
e’ funzionante si passa sempre dalla wan1, mentre nel caso ci fosse un problema su
quest’interfaccia il traffico verrebbe reindirizzato sulla wan2. Infatti nel routing monitor
si vede solo una default route attiva: quella della wan1 nel caso la linea principale sia
funzionante (come nello figura sottostante), quella della wan2 nel caso la linea
principale avesse un fail. Il secondo default gateway sulla wan2 non si vede.
Adesso in questa configurazione diventa interessante analizzare il comportamento
delle route statiche sul firewall.

Prenderemo come lan di riferimento per effettuare i test la sottorete 10.200.1.0/24 con
default gateway 10.200.1.254 (ip del nostro firewall). La configurazione del firewall e’
sempre con doppio link in HA di cui solo uno attivo, in questo caso quello attestato
sulla wan1.

Nell’esempio e’ necessario raggiungere una sottorete remota 10.100.1.0/24


raggiungibile tramite un router della lan, il router con ip 10.200.1.1.

Dalla figura si nota che per raggiungere la sottorete 10.100.1.0/24 e’ stata impostata
una route statica.

Interessante vedere come lavorano i client che puntano come default gateway al
10.200.1.254, il nostro firewall ma posso raggiungere la 10.100.1.0/24 tramite il router
10.200.1.1.

Questa la routing table dell’host windows 10.200.1.10 prima che cerchi di contattare
un ip sulla sottorete 10.100.1.0/24 mostrata tramite il comando route print.
Dopo un ping o un qualsiasi pacchetto inoltrato verso la 10.100.1.0/24 questa la nuova
routing table

Sono comparse delle route statiche sul client per ogni indirizzo della sottorete
10.100.1.0/24

Queste sono state passate al client dal default gateway, dal firewall Fortigate, tramite
un icmp redirect.

Questo visibile da questo capture con Wireshark:


Da notare che non e’ presente alcuna regola sul firewall per per permettere che il
traffico venga rediretto verso il gateway 10.200.1.1 (per intenderci non c’è una regola
da internal->internal allow).

Quindi in questo caso il Fortigate usa il suo motore di routing, che lavora intervendo
prima che il pacchetto arrivi ai filtri firewall, e riuscendo quindi a impostare le route
statiche sui client tramite icmp senza che sia specificata alcuna regola sul firewall.
Come nota architetturale e’ da osservare che il motore di routingè necessario che
venga interrogato prima del motore firewall dato che le regole vengono impostante
“per interfaccia” . In questa architettura il match di un pacchetto che attraversa il
firewall deve prima essere analizzato a livello routing per capire a quale interfaccia
fare riferimento e quindi a quale regola fare riferimento.

Test eseguiti su Fortigate firmware 3.0 MR6 patch2

Autore: Fabrizio Rosina

Per ulteriore documentazione e articoli: www.gzone.it