:::: MENU ::::

FortiGate Mikrotik vrrp ha

środowisko: FortiOS 5.4.x Miktorik RuterOS 6.x.x

Użytkowanie jednego fizycznego urządzenie FortiGate (UTM) występuje brak możliwości skonfigurowania trybu HA zabezpieczającego przed fizyczną awaria powyższego. W celu zapewnienia ciągłości dostępu do sieci WAN oraz routingu pomiędzy segmentami sieci LAN możemy skorzystać z protokołu VRRP i drugiego urządzenia innej firmy. W tym przykładzie będzie to Mikrotik (ROUTER).

W poniższym przykładzie zakładamy, że użytkownik posiada podsieć publiczną z maską < /30 (funkcjonalność można też zrealizować dla maski /30), sieć wewnętrzna jest podzielona na trzy segmenty a podłączenie po stronie UTM (LAN) i Routera (AGR-LAN) odbywa się poprzez interfejs agregujący po kilka portów w tych urządzeniach, UTM posiada jeden VDOM root, połączenie WAN realizowane jest przez pojedynczy indywidualny dla każdego z urządzeń (UTM/ROUTER) publiczny adres IP (nie konfigurujemy VRRP po stronie WAN – można to zrobić analogicznie do poniższego przykładu dla LAN w przypadku posiadania
podsieci o masce /30), podsieć VRRP 172.17.17.0/24.

ROUTER – Mikrotik konfiguracja VRRP

/interface vrrp
add interface="AGR-LAN" name=vrrp101 priority=150 version=2 vrid=101 interval=1s preemption-mode=yes version=2 v3-protocol=ipv4
add interface="AGR-LAN" name=vrrp102 priority=150 version=2 vrid=102 interval=1s preemption-mode=yes version=2 v3-protocol=ipv4
add interface="AGR-LAN" name=vrrp103 priority=150 version=2 vrid=103 interval=1s preemption-mode=yes version=2 v3-protocol=ipv4

Ustawione opcje version=2 interval=1s odpowiadają domyślnym ustawieniom VRRP FortiOS, po podstawowej konfiguracji w CLI FortiGate nie wygenerują się błędy na interfejsach po stronie Mikrotika. Jak widać na poniższym zrzucie pełnej konfiguracji pojedynczego interfejsu VRRP w FortiOS o ile można zmienić interwał to nie ma możliwości wyboru wersji protokołu.

set vrgrp 101
set vrip 10.0.10.1
set priority 255
set adv-interval 1
set start-time 3
set preempt enable
set status enable

ROUTER – Mikrotik konfiguracja adresacji IPv4

/ip address
add address=172.17.17.2 interface="AGR-LAN" network=172.17.17.0
add address=10.0.10.1/24 interface=vrrp101 network=10.0.10.0
add address=10.0.20.1/24 interface=vrrp102 network=10.0.20.0
add address=192.168.100.1/24 interface=vrrp103 network=192.168.100.0

UTM – FortiGate konfiguracja w CLI

O ile Mikrotik umożliwia pełną konfigurację VRRP w GUI – FortiOS umożliwia ją domyślnie tylko z poziomu konsoli.

config system interface
   edit "LAN"
       set ip 172.17.17.1 255.255.255.0
       set vrrp-virtual-mac enable
       config vrrp
           edit 101
               set vrip 10.0.10.1
               set priority 255
           next
           edit 102
               set vrip 10.0.20.1
               set priority 255
           next
           edit 103
               set vrip 192.168.100.1
               set priority 255
           next
       end
       set secondary-IP enable
       config secondaryip
           edit 1
               set ip 10.0.10.1 255.255.255.0
           next
           edit 2
               set ip 10.0.20.1 255.255.255.0
           next
           edit 3
               set ip 192.168.100.1 255.255.255.0
           next
       end
   next
end

Gotowe, po położeniu interfejsu LAN FortiGate automatycznie podniesie się interfejs AGR-LAN Mikrotika maksymalna strata przy domyślnych ustawieniach to jeden ping.

Jeżeli posiadamy konto w serwisie SMSApi możemy otrzymywać automatycznie powiadomienia o zmianie stanu BACKUP/MASTER interfejsów VRRP w tym celu należy oddać skrypty wysyłające maile (jak skonfigurować ustawienia serwera SMTP przeczytasz TUTAJ

/system script
add name="vrrpnotifymaster" source="/tool e-mail send to=\"sms.do@smsapi.pl\" body=\"to=numer_telefonu1,numer_telefonu2&message=mikrotik vrrp interfaces changed state from backup to master\" subject=\"smsapi_user@smsuser_password\""
add name="vrrpnotifybackup" source="/tool e-mail send to=\"sms.do@smsapi.pl\" body=\"to=numer_telefonu1,numer_telefonu2&message=mikrotik vrrp interfaces changed state from master to backup\" subject=\"smsapi_user@smsuser_password\""

następnie ustawić wywołanie skryptu podczas zdarzeń związanych ze zmianą stanów wybranego interfejsu (zmodyfikowany wpis dodający jeden z interfejsów)

/interface vrrp add interface="AGR-LAN" name=vrrp101 priority=150 version=2 vrid=101 interval=1s preemption-mode=yes version=2 v3-protocol=ipv4 on-backup=vrrpnotifybackup on-master=vrrpnotifymaster

gotowe.