Imprimir

Manual de Diagnóstico para Servicios de Internet Operativos (FW Fortinet)

Tabla de contenidos

1. Manual para la Revisión de un Servicio de Internet con Firewall Fortinet [Editar]

Manual para la Revisión de un Servicio de Internet con Firewall Fortinet [Editar]

✅ Paso 1: Ingreso y Revisión Inicial del Dashboard

Al acceder a la interfaz web del firewall Fortinet (FortiGate), lo primero que visualizamos es el Dashboard. Esta sección proporciona información valiosa y en tiempo real sobre el estado general del dispositivo:



🏢 Información clave:

  • Hostname: Nombre asignado al dispositivo (ej. CC_AECID_GT_INTERNET).
  • Uptime: Tiempo de actividad desde el último reinicio. Un uptime bajo puede indicar reinicios recientes o inestabilidad.
  • Número de Serie: Identificador único del equipo.
  • Licencias activas: FortiGuard, Web Filtering, Antivirus, IPS, Application Control, etc.
  • Usuarios conectados y sesiones activas.
  • Gráficas de CPU, memoria y tráfico: Permite detectar sobrecargas o comportamiento anómalo.

⚠️ Recomendaciones:

  • Verifica que las licencias estén activas y vigentes.
  • Comprueba el uptime: si es bajo o si hay pérdida de licencias, puede haber indicios de falla o reinicio inesperado.

🔧 Paso 2: Verificación de Interfaces y Traducción NAT (IP Pool)

Esta sección es crucial para entender cómo el FortiGate enruta y traduce el tráfico desde la red interna hacia Internet.

📍 2.1 Verificar interfaces configuradas (GUI)

Ruta en GUI:
Network > Interfaces


¿Qué observar?
  • Interfaces activas y su dirección IP
  • Roles asignados (LAN, WAN, Loopback, etc.)
  • Modos de acceso (ping, https, ssh…)
  • Dirección IP pública (puede estar en loopback o directamente en la WAN)
  • Interfaces virtuales (VLANs o túneles)

💡 Nota: En algunos casos, como el de tu ejemplo, la IP pública no se asigna directamente a la interfaz WAN, sino a una interfaz loopback. Esto implica que se está utilizando NAT para salida a Internet.

🧱 2.2 Diagnóstico CLI: Interfaces

Puedes obtener la configuración completa desde CLI con:

show system interface

🔍 Ejemplo (fragmento relevante):

edit "wan1"
   set ip 10.10.10.1 255.255.255.224
   set allowaccess ping
   set role wan
next
edit "PUBLICA"
   set type loopback
   set ip 190.50.6.110 255.255.255.252
   set role lan
next
edit "lan"
   set ip 192.168.1.1 255.255.255.0
   set role lan
next
🔍 Interpretación:
  • wan1 tiene IP privada → conexión al proveedor.
  • Loopback "PUBLICA" tiene la IP pública real → se usará con NAT.
  • "lan" es la red interna del cliente.

🔄 2.3 Verificar IP Pool (Traducción NAT)

Cuando se usa loopback para representar una IP pública, el FortiGate necesita traducir el tráfico saliente con esa IP mediante un IP Pool.

Ruta en GUI:
Policy & Objects > IP Pools



🔍 Aquí debes validar que:

  • Exista un IP Pool con la IP pública que figura en la loopback.
  • Ese pool esté vinculado a una política de salida (Policy).

🛠️ CLI para IP Pools

Comando para listar el pool configurado:

get firewall ippool

Resultado esperado:

== [ POOL ]
name: POOL

Comando para ver detalles del pool:

show firewall ippool

Ejemplo:

config firewall ippool
   edit "POOL"
       set startip 190.50.6.110
       set endip 190.50.6.110
   next
end

📌 Nota: Esto confirma que la IP 190.50.6.110 está registrada como IP pública para NAT.

📦 2.4 Verificación de Rutas Estáticas

La revisión de rutas estáticas permite confirmar que el FortiGate tiene instrucciones claras para enviar tráfico hacia Internet a través de un gateway predeterminado (default gateway).

📍 GUI:

Ruta:
Network > Static Routes


🔍 Validar que exista una ruta como esta:

Destination Gateway IP Interface Estado
0.0.0.0/0 10.105.10.1 wan1 Enabled

💡 Esto indica que todo el tráfico sin destino específico (0.0.0.0/0) se enviará hacia el proveedor por la interfaz WAN.

🛠️ CLI – Validación Manual

Comando para ver la ruta estática configurada:

show router static

🧾 Ejemplo:

config router static
   edit 1
       set gateway 10.105.10.1
       set device "wan1"
   next
end

✅ Esto confirma que el tráfico por defecto saldrá por la WAN hacia el gateway 10.105.10.1.

📍 Ver tabla de enrutamiento completa:
get router info routing-table details

📌 Observa las siguientes claves:

  • S* → Ruta estática por defecto
  • C → Rutas directamente conectadas (LAN, Loopbacks, etc.)

🧾 Ejemplo del resultado:

S*      0.0.0.0/0 [10/0] via 10.105.10.1, wan1
C       192.168.1.0/24 is directly connected, lan
C       190.56.9.116/30 is directly connected, PUBLICA
C       172.16.0.0/24 is directly connected, LAN_CCEGPUBLICO

🔍 Interpretación:

  • Existe salida a Internet (S* 0.0.0.0/0)
  • Varias redes LAN están directamente conectadas
  • La IP pública está en una interfaz lógica llamada PUBLICA

🔐 Paso 3: Validar la Política de Firewall LAN → WAN

Dirígete en la GUI a:

📂 Policy & Objects > Firewall Policy



Asegúrate que la política que permite el tráfico de LAN a Internet tenga:

  • NAT habilitado ✅
  • IP Pool aplicado (si se creó uno)
  • Filtros como Web Filter, Application Control, SSL Inspection activos si se requiere control de navegación
✅ CLI – Ejemplo real:
show firewall policy

Resultado típico:

config firewall policy
edit 1
 set name "LAN-TO-WAN"
 set srcintf "lan"
 set dstintf "wan1"
 set srcaddr "all"
 set dstaddr "all"
 set schedule "always"
 set service "ALL"
 set nat enable
 set ippool enable
 set poolname "POOL"
 set logtraffic all
 set webfilter-profile "default"
 set ssl-ssh-profile "New-SSL"
next
🧩 Explicación de cada línea – Política de Firewall FortiGate
config firewall policy
🔧 Entra al modo de configuración de políticas de firewall.
edit 1
✏️ Selecciona o edita la política número 1 (cada política tiene un ID único).
set name "LAN-TO-WAN"
🏷️ Nombre de la política para identificación rápida (tráfico LAN → WAN).
set srcintf "lan"
🌐 Interfaz de origen: LAN interna del cliente.
set dstintf "wan1"
🌍 Interfaz de destino: salida hacia el proveedor de Internet.
set srcaddr "all"
📍 Permite tráfico desde cualquier IP de la red interna.
set dstaddr "all"
🌐 Permite tráfico hacia cualquier IP en Internet.
set schedule "always"
⏰ Regla activa 24/7.
set service "ALL"
📦 Se permite todo tipo de tráfico (web, DNS, correo, etc.).
set nat enable
🔁 Habilita NAT para traducir IP privada a pública.
set ippool enable
🏊 Usa un IP Pool si se requiere rotación de IPs públicas.
set poolname "POOL"
📛 Nombre del grupo de IPs públicas configuradas.
set logtraffic all
📊 Habilita registros completos de tráfico para auditoría y diagnóstico.
set webfilter-profile "default"
🌐 Aplica control de navegación basado en categorías.
set ssl-ssh-profile "New-SSL"
🔐 Inspección de tráfico cifrado (HTTPS, SSH) para control y protección.
next
➡️ Finaliza la configuración de esta política.

✅ Verificación de salida a Internet desde FortiGate (ping desde IP pública)

🧭 Objetivo:

Confirmar que el FortiGate tiene conectividad real a Internet, usando como origen la IP pública configurada en su interfaz WAN o asignada mediante IP pool.

🔧 Pasos CLI – Configuración del ping-options
execute ping-options source 190.56.9.117

🎯 Define que el ping saldrá desde la IP pública (en este caso, 190.56.9.117). Esto es útil cuando hay múltiples interfaces WAN o NAT involucrado, y queremos asegurarnos del camino de retorno correcto.

execute ping-options repeat-count 500

🔁 Indica que se enviarán 500 paquetes ICMP, lo cual sirve para hacer pruebas de estabilidad prolongada.

execute ping-options adaptive-ping enable

🧠 Activa el modo adaptativo: el FortiGate ajusta dinámicamente el tamaño y la tasa de los paquetes según respuesta. Es útil para detectar microcortes, pérdida de paquetes intermitente o problemas de MTU.

execute ping-options view-settings

🔍 Verifica la configuración actual de ping para confirmar que se está usando la IP y los parámetros deseados antes de ejecutar la prueba real.

🚀 Prueba final – Ejecutar ping a un destino confiable (ej. Google DNS)
execute ping 8.8.8.8

📡 Se realiza un ping directo a 8.8.8.8 (Google DNS), confirmando:

  • Que hay salida a Internet real
  • Que el tráfico fluye desde la IP pública asignada
  • Que no hay pérdida de paquetes
  • Que el tiempo de respuesta es estable (25.4 ms en este caso)
📈 Resultado Esperado
500 packets transmitted, 500 packets received, 0% packet loss
round-trip min/avg/max = 25.4/25.5/68.6 ms
✅ Interpretación:
  • Sin pérdida de paquetes = buena conectividad
  • Promedio de 25 ms = excelente latencia para salida general
  • Consistencia en las respuestas = no hay jitter ni saturación

🔍 Verificación final – Tráfico permitido o bloqueado

📍 Ruta gráfica:

Log & Report > Forward Traffic


🎯 Objetivo:

Observar el flujo real de tráfico generado por los usuarios o pruebas (como el ping, navegación, DNS, etc.), y verificar que:

  • El tráfico está siendo aceptado por la política esperada.
  • No hay bloqueos por filtros de seguridad (web filter, SSL inspection, antivirus, app control, etc.).
  • Se confirma qué política fue utilizada (nombre y ID).
✅ ¿Qué buscar en esta pantalla?
Campo ¿Qué significa? ¿Qué debes revisar?
Source IP del cliente LAN que genera tráfico Verifica si coincide con tu red interna (ej. 192.168.x.x)
Destination IP o dominio de destino (DNS, Google, etc.) ¿Está resolviendo DNS correctamente? ¿Llegan a HTTPS?
Application Name Tipo de tráfico DNS, HTTPS, etc.
Result Resultado del flujo Debe decir Accept
Policy ID Política que permitió el tráfico Confirma que sea la política correcta (ej. TO INTERNET SIN INSPECCION)
🧠 Observación estratégica (basado en imagen):
  • Todas las conexiones DNS y HTTPS están saliendo correctamente.
  • El tráfico está siendo aceptado (Accept) sin bloqueos.
  • Se observa resolución DNS a 8.8.8.8 y fortinet-public-dns, lo cual es señal de buena salida a Internet.
  • La política aplicada en todos los casos es TO INTERNET SIN INSPECCION, lo que indica que no hay filtros bloqueando el tráfico.

🧠 Resumen Técnico – Verificación de Servicio de Internet en FortiGate

    1. Verificar interfaces
      Asegúrate de que las interfaces LAN y WAN estén activas y correctamente configuradas. La WAN debe tener una IP pública válida o estar vinculada a un pool de direcciones.

    1. Revisar tabla de rutas
      Confirma que exista una ruta por defecto (0.0.0.0/0) apuntando hacia el gateway del proveedor. Sin esta ruta, no hay salida a Internet.

    1. Revisar la política de firewall
      Debe existir una política que permita tráfico desde la LAN hacia WAN con:
      • NAT habilitado
      • IP pool correctamente aplicado
      • Servicio ALL o los servicios necesarios permitidos
      • Logging activado para facilitar diagnóstico
      • Filtros UTM (webfilter, ssl-inspection, AV, app control) según necesidad

    1. Probar salida a Internet desde FortiGate
      Usa el comando execute ping especificando como origen la IP pública de la WAN. Esto permite confirmar si el FortiGate tiene salida real a Internet.

  1. Visualizar logs en tiempo real
    Ingresa a Log & Report > Forward Traffic para confirmar que:
    • El tráfico DNS y HTTPS está siendo aceptado
    • No hay bloqueos por filtros mal aplicados
    • La política correcta está siendo usada (según el ID de política)

⚔️ Consejo Final – Estilo Katana

“Un buen diagnóstico no es solo técnica… es visión. El que ve más allá de los síntomas, encuentra la raíz del caos.”

🧠 Cuando todo parece estar bien pero el tráf

Obra publicada con Licencia Creative Commons Reconocimiento Compartir igual 4.0

Creado con eXeLearning (Ventana nueva)