En este procedimiento se explica cómo configurar dos firewall Fortigate en modo clúster, para alta disponibilidad. Es necesario que ambos firewalls tengan la misma versión de firmware. En mi caso los dos tienen una versión 3, con una built 400. Les he configurado las siguientes características a cada uno:

Nombre del host: Mortadelo
DMZ-ko IP-a: 192.168.4.1
Barruko IP-a: 192.168.2.1
WAN1 IP-a: 192.168.1.155

Nombre del host: Filemon
DMZ-ko IP-a: 192.168.4.2
Barruko IP-a: 192.168.2.2
WAN1 IP-a: 192.168.1.156

IP helbideek ez dute axola zein asignatzen den (logicamente) sinpleki adierazten dut beste interfazeak desgaituta daudela esateko.

Onena, zer konfiguratu beharko litzatekeen kluster hau egiteko, vamos a “System” > “Config”. In “Mode” adieraziko dugu firewall honen egoera, baldin eta “Standalone” signifikatuko du ez dela inolako klustererik izango. Baldin eta modalitatean badago “Active-Pasive”, pasibo moduan dagoena itzalita egongo litzateke edo aktibo dagoenak huts egiten badu itxaroten. Logikoena konfiguratu bezala da “Active-Active” kargaren oreka batekin egin dezaten eta karga banatzeko. Lehentasunak adierazten du, zein izango den firewall honen lehentasuna klusterrean, izan ditzakegu hainbat gehiago edo gutxiago lehentasunarekin karga eramateko, normalmente se ponen todos con la misma prioridad. In “Group Name” es simplemente el nombre del clúster, en mi caso “CLUSTER” y le asignamos un password/contraseña para cuando querramos unir más firewalls a este clúster. Habilitamos “Enable Session Pick-up” para indicar que no se pierdan las sesiones si hay alguna caida, esto es lógico, para eso es un clúster (High Ability). Más abajo indicamos las interfaces que queremos monitorizar con los Logs (“Port Monitor”) que normalmente son las interfaces externas. Eta “Heratbeat Interface” marcaremos las que estarán conectadas entre los firewalls, en estos fortigate lo normal es conectarlos por algún puerto que tengamos libre, como en mi caso por la DMZ, así que marco este check y conecto los firewall con un clable cruzado entre los interfaces de la DMZ. “OK”. Tenemos que ser pacientes y esperar un buen rato a que se creé el clúster, ya que el fortigate tendrá que reiniciarse. Damos unos cinco minutos para continuar con el siguiente paso.

Ahora hacemos lo mismo en el otro firewall, si antes lo hemos configurado en el 192.168.2.1, ahora lo haremos en el otro 192.168.2.2, metiendo el mismo nombre de clúster para unirnos a él con su misma contraseña. “OK”. Ahora el FW se reiniciará, somos otra vez pacientes y esperamos a que se una al clúster.

Berrabiarazitakoan, veremos que en la consola principal la imagen ya nos ha cambiado y vemos varios juntos, esto significa que hay un clúster, en la pantalla ya indica quienes son los miembros del clúster. A la hora de crear el clúster tenemos que tener en cuenta que el primer que hagamos, desde el que creemos el clúster, será el que mantenga la configuración, ya que los demás la irán heredando de él.

Y desde “System” > “Config” veremos más options y quienes son miembros…

Podemos hacer una proba, adibidez un ping hacia el exterior y apagar bat de forma brusca, quitandole la elikadura o lo que fuera. Vemos que el ping se corta, por que el clúster de fortigate todavía le queda asko hobetu behar, baina al de un par de segundos dena vuelve a su cauce con el otro fortigate. Así que el clúster funciona perfectamente.