Problema con Dispositivos Fortigate no resuelve dominios

No se si alguno le haya pasado este molesto inconveniente con los equipos fortigate, sin embargo posteo la solucion por si alguna persona necesita dar solucion al problema y el “grandioso” soporte de fortigate no ha sido capaz de resolver el problema (Mas adelante sabran por que digo Grandioso ).

Hace poco tenia un problema con una caja Fortigate, un Fortigate 100D para ser mas exactos, el equipo se habia instalado y licenciado correctamente, sin embargo en una de mis revisiones rutinarias, observe que el dashboard del equipo decia que el equipo no estaba licenciado. Al ver esto me sorprendi y realice un par de pruebas basicas.  Desde la consola hice un ping hacia internet (8.8.8.8) el cual respondio satisfactoriamente. Posteriormente, lance un ping hacia el dominio google.com y oh sorpresa cuando me salio el maravilloso mensaje:

 

problema dns

Al tener claro cual era el inconveniente,  intente corregirlo cambiando los servidor DNS configurados, configurar los DNS desde la consola,  pero ninguna de estas formas tuvo resultado. Al ver la situacion se me ocurrio la grandiosa idea de comunicarme con el soporte de Fortinet por el cual se paga bastante dinero a la hora de licenciar la caja. sin embargo juzguen ustedes mismos la calidad de las respuestas:

from epsilon to All Participants:
I have discovered a problem. My unit doesn’t resolve any domains names. I’m doing ping to 8.8.8.8 and I got answer, however when I want to ping to google.com It isn’t able to give me a good answer, I have configured the dns of google
from epsilon to All Participants:
does fortigate have a dig command ?? or simmilar?
from soporte-Fortigate to All Participants:
I am sorry to say but if you are unable to ping, 1 check the cable
from soporte-Fortigate to All Participants:
make sure that the interface is up
from soporte-Fortigate to All Participants:
remove the fortigate and try with computer instead
from epsilon to All Participants:
this is not a technical answer

Al ver lo util que iba ser la ayuda del soporte de fortigate, decidi investigar un poco por mi cuenta y afortunadamente encontre un post donde hablan de lo que ocurre y como solucionarlo: Cito el autor donde explica lo que sucede:

By default management vdom is set to ‘dmgmt-vdom’ which is a non-existing VDOM on device. And since the FortiGuard update traffic is a management traffic it is always sent through management VDOM which is root by default. But the management VDOM is set to ‘dmgmt-vdom’ by default on FortiGate 100D.

En pocas palabras lo que sucede es que el vdom de administracion es asignado como “dmgmt-vdom” el cual no existe, y todo el trafico administrativo de fortiguard es enviado por dicho vdom, el cual no existe, y por lo tanto alli es donde surge el problema. Para resolver esto debemos asignar el vdom de administracion al vdom principal, para hacer esto, tecleamos en la consola los siguientes comandos:

config sys global
set management-vdom root
end

De esta forma quedara el problema solucionado, la licencia ya se veran reflejadas y podras aplicar los filtros y politicas que desees. Cabe aclara que esto me sucedio en un Fortigate 100D, sin embargo no se si puede que ocurra en otros maquinas.

2 Comments

Add a Comment

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *