En aquest procediment s'explica com configurar dos firewall Fortigate en mode clúster, per a alta disponibilitat. Cal que ambdós firewalls tinguin la mateixa versió de firmware. En el meu cas tots dos tenen una versió 3, amb una built 400. Els he configurat les següents característiques a cadascun:

Nombre del host: Mortadelo
IP de la DMZ: 192.168.4.1
IP de la interna: 192.168.2.1
IP de la WAN1: 192.168.1.155

Nombre del host: Filemon
IP de la DMZ: 192.168.4.2
IP de la interna: 192.168.2.2
IP de la WAN1: 192.168.1.156

Les adreces IP no importen quina assignar (logicament) simplement ho indico per dir que les altres interfícies estan deshabilitades.

Bo, el que caldria configurar per fer aquest clúster, anem a “System” > “Config”. En “Mode” indicarem l'estat d'aquest tallafoc, si és en “Standalone” significa que no pertanyerà a cap clúster. Si està en mode “Actiu-Passiu”, el que està en mode passiu estaria com apagat o esperant que el que estigui actiu falli. El més lògic és configurar-lo com a “Actiu-Actiu” perquè funcionin com un balanç de càrrega i es reparteixi la càrrega. La prioritat indica, quina serà la prioritat d'aquest tallafoc en el clúster, podem tenir-ne diversos amb més o menys prioritat perquè sigui ells qui portin la càrrega, normalment se ponen todos con la mateixa prioritat. En “Nom del grup” és simplement el nombre del clúster, en el meu cas “CLÚSTER” i assignamos una contrasenya/contraseña per quan querramos unir més tallafocs a aquest clúster. Habilitem “Activar la recollida de sessió” per indicar que no se pierdan les sessions si hi ha alguna caïda, esto és lògic, per això és un clúster (Alta Capacitat). Más abaixo indicamos las interfaces que queremos monitorar amb los Logs (“Port Monitor”) que normalment són las interfaces externas. I en “Heratbeat Interface” marcaremos les que estarán connectadas entre los firewalls, en aquests fortificats el normal es connectamos por algún puerto que tengamos libre, com en mi cas por la DMZ, així que marco este check i connecto el tallafocs amb un clable creuat entre les interfícies de la DMZ. “OK”. Hem de ser pacients i esperar una bona estona que es creï el clúster, ja que el FortiGate haurà de reiniciar-se. Donem uns cinc minuts per continuar amb el següent pas.

Ara fem el mateix en l'altre tallafocs, si abans l'hem configurat en l' 192.168.2.1, ara ho farem en l'altre 192.168.2.2, introduint el mateix nom de clúster per unir-nos-hi amb la mateixa contrasenya. “OK”. Ara el FW es reiniciarà, som altra vegada pacients i esperem que s'uneixi al clúster.

Un cop reiniciats, veurem que a la consola principal la imatge ja ens ha canviat i veiem diversos junts, això significa que hi ha un clúster, a la pantalla ja indica qui són els membres del clúster. A la hora de crear el clúster tenemos que tener en cuenta que el primer que hagamos, desde el que creemos el clúster, será el que mantenga la configuración, ya que los demás la irán heredando de él.

I des de “System” > “Config” veremos más opciones y quienes son miembros…

Podemos hacer una prueba, por ejemplo un ping hacia el exterior y apagar uno de forma brusca, quitandole la alimentación o lo que fuera. Vemos que el ping se corta, por que el clúster de fortigate todavía le queda mucho por mejorar pero que al de un par de segundos todo vuelve a su cauce con el otro fortigate. Así que el clúster funciona perfectamente.