1

Fortigate HA ACTIVO – PASIVO

Hola a tod@s,

En este post vamos a ver como configurar dos Firewall Fortigate en HA (Alta Disponibilidad) en modo Activo-Pasivo:

  • Vamos a utilizar dos Interfaces de cada dispositivo para HA para vincularlos y sincronizarlos.
  • En HA uno de los Fortigate estará como primario y éste sincronizará su información con el otro Fortigate que será el secundario.
  • El link para el HA entre los Fortigate, que en este caso usaremos dos (HA1 y HA2) se llama Heartbeat y se utiliza para la sincronización y detección entre los equipos.
  • Tenemos dos modos de configurar HA: Activo-Pasivo y Activo-Activo.

En este primer post vamos a ver el modo Activo-Pasivo, en este modo solo el dispositivo primario procesa el tráfico, el otro dispositivo está en modo de espera y sólo entrará a funcionar en caso de caída del primario, toda la configuración realizada en el dispositivo primario se sincronizará con el dispositivo secundario.

Vamos a ver que necesitamos para crear y configurar un cluster HA en Firewall FortiGates:

  • Dos Fortigates del mismo modelo
  • Misma versión de FortiOS en ambos equipos
  • Mismas licencias
  • Un link entre los equipos que componen el cluster HA, en este caso vamos a utilizar dos
  • Las mismas interfaces deben de estar conectadas al mismo dominio de broadcast, es decir, los puertos usados deben de ser los mismos en ambos dispositivos y conectados en el mismo segmento de red.

 

  • Para empezar con la configuración de nuestro cluster HA Activo-Pasivo, vamos a realizar las configuraciones básicas sobre uno de nuestros Fortigate, que actuará como primario, el otro Fortigate lo dejamos con las configuraciones de fábrica, en este link podemos ver la configuración inicial y puesta en marcha.
  • Aquí vemos como tenemos configurado el hostname y las interfaces de red del primer Fortigate (LAN y WAN):

  • Del segundo Fortigate, está tal y como viene de fábrica:

  • Lo primero que vamos a realizar es configurar sobre el Fortigate01 el nombre de las interfaces de red que van a participar en el cluster HA, se llaman interfaces de Heartbeat y se utilizan para la sincronización y detección entre los equipos, utilizaremos los puertos 4 y 5:

  • Ahora sobre System > HA > seleccionamos el modo que nos interese, en este caso Active-Passive:

  • Sobre High Availability le indicamos el modo y la prioridad, sobre Cluster Settings le damos un nombre al cluster, le asignamos un password, habilitamos Session pickup para que automáticamente se pasen las sesiones de un Fortigate a otro y así los clientes no tengan que volver a reconectarse, el Monitor interfaces lo vamos a habilitar más adelante y explicaremos de que se trata y sobre Heartbeat Interfaces vamos a configurar las interfaces que van a participar en el cluster HA, sobre Heartbeat Interface Priority vamos a configurar las prioridades de las interfaces de Heartbeat, que en este caso el port4 va a tener prioridad sobre el port5:

  • Ahora podemos ver que en System > HA nos muestra los puertos 4 y 5 con un corazón indicando que son los puertos de Heartbeat para el cluster:

  • Sobre el Fortigate01 ya tenemos las configuraciones de HA realizadas, ahora debemos de configurar el Fortigate02, y como el nombre del host no se sincroniza, es lo primero que tenemos que configurar, en System > Settings:

  • Ahora sobre System > HA realizamos las mismas configuraciones que hemos hecho sobre el Fortigate01, excepto que en la prioridad del dispositivo la vamos a bajar a 100, clic sobre OK:

  • Como podemos ver perdemos conexión con nuestro Fortigate02, ya que la dirección IP que tenía, ha desaparecido al unirlo al cluster, ahora estos dos dispositivos es como si fuesen uno solo y los dos van a tener las mismas configuraciones:

  • Sobre el Fortigate01 accedemos a System > HA y podemos ver que ya tenemos el segundo dispositivo unido al cluster, aunque todavía está sincronizando, esto nos lo muestra muy claro el checksum, que como podemos observar son números diferentes, ya que al no estar sincronizados todavía cada dispositivo tiene una configuración:

  • Pasados unos minutos, ya podemos ver que los dos dispositivos están sincronizados, el checksum es el mismo, como también podemos ver, el Fortigate01 está actuando como primario y el Fortigate02 como secundario:

  • Para ver de un solo vistazo el estado de nuestro Cluster HA, vamos a habilitar el siguiente panel, nos vamos a Dashboard y añadir:

  • Añadimos el Widget HA Status:

  • Como podemos ver, de un solo vistazo podemos ver el estado del cluster HA:

  • Ahora vamos a realizar una prueba, apagando el Fortigate01, para ver si el Fortigate02 coge el control como primario, y como podemos ver, todo funciona correctamente sin pérdida de servicio y el que estaba antes como secundario pasa a ser primario:

  • Si volvemos a iniciar el Fortigate01, podemos ver que ahora tiene el rol de secundario, ya que el Uptime del Fortigate02 es mayor que el del Fortigate01:

  • Si queremos que el Fortigate01 vuelva a coger el rol de primario, debemos de ejecutar este comando diagnose sys ha reset-uptime, lo que hace este comando es resetear el Uptime del dispositivo, en este caso del Fortigate02:

  • Como podemos ver, el Fortigate01 vuelve a tener el rol de primario:

  • Para terminar, vamos a configurar el Monitor interfaces en el cluster HA, esto significa, que la interface que vamos a monitorizar, si pierde conexión con el Firewall primario, automáticamente éste Firewall pasará a ser el secundario, tomando el otro Firewall el control, por lo tanto, vamos a configurar como Monitor interface, nuestra LAN:

 

Saludos y espero que os sea de ayuda 😉

jramos

Técnico Superior STI

Un comentario

  1. muy buena info, podrías ya que es muy interesante el tema de fortigate
    realizar un estudio sobre cómo habilitar en un mismo forti, dos conexiones de internet diferentes y otro sobre enlazar dos forti en ubicaciones diferentes mediante vpn. muchas gracias y ánimo con este trabajo que realizas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.