Neste procedimento explica-se como configurar dois firewalls Fortigate em modo cluster, para alta disponibilidade. É necessário que ambos os firewalls tenham a mesma versão de firmware. No meu caso os dois têm uma versão 3, com uma build 400. Configurei-lhes as seguintes características a cada um:

Nome do host: Mortadelo
IP de la DMZ: 192.168.4.1
IP de la Internal: 192.168.2.1
IP de la WAN1: 192.168.1.155

Nome do host: Filemon
IP de la DMZ: 192.168.4.2
IP de la Internal: 192.168.2.2
IP de la WAN1: 192.168.1.156

Las direcciones IP dan igual cual asignar (logicamente) simplemente lo indico para decir que las demás interfaces están deshabilitadas.

Poço, lo que habría que configurar para hacer este clúster, Nós vamos “Sistema” > “Config”. Em “Mode” indicaremos el estado de este firewall, si es en “Autônomo” significa que no pertenecerá a ningún clúster. Si está en modo “Active-Pasive”, el que está en modo pasivo estaría como apagado o esperando al que este como activo falle. Lo más lógico es configurarlo como “Active-Active” para que se hagan cómo un balanceo de carga y se repartan la carga. La prioridad indica, cual será la prioridad de este firewall en el clúster, podemos tener varios con más o menos prioridad para que lleven ellos la carga, normalmente se ponen todos con la mesma prioridade. Em “Nome do Grupo” é simplesmente o nome do clúster, No meu caso “CLUSTER” e atribuímos uma palavra-passe/senha para quando querramos unir más firewalls a este clúster. Habilitamos “Enable Session Pick-up” para indicar que no se pierdan las sesiones si hay alguma caida, esto es lógico, para isso es un clúster (High Ability). Más abaixo indicamos las interfaces que queremos monitorizar con los Logs (“Port Monitor”) que normalmente son las interfaces externas. E em “Heratbeat Interface” marcaremos las que estarán conectadas entre los firewalls, en estas fortalezas o normal é conectarlos por algum puerto que tengamos libre, como no meu caso por la DMZ, assim que marco este check e conecto los firewall com um clable cruzado entre as interfaces da DMZ. “OKEY”. Temos de ser pacientes e esperar um bom bocado até que o cluster seja criado, já que o fortigate terá de reiniciar. Damos cerca de cinco minutos para continuar com o passo seguinte.

Agora fazemos o mesmo no outro firewall, se antes o configurámos no 192.168.2.1, agora faremos no outro 192.168.2.2, introduzindo o mesmo nome de cluster para nos unirmos a ele com a mesma palavra-passe. “OKEY”. Agora o FW irá reiniciar, Somos novamente pacientes e esperamos que se junte ao cluster.

Uma vez reiniciados, veremos que na consola principal a imagem já mudou e vemos vários juntos, isso significa que há um cluster, no ecrã já indica quem são os membros do cluster. A la hora de crear el clúster tenemos que tener en cuenta que el primer que hagamos, desde el que creemos el clúster, será el que mantenga la configuración, ya que los demás la irán heredando de él.

E a partir de “Sistema” > “Config” veremos más opciones y quienes son miembros…

Podemos hacer una prueba, por ejemplo un ping hacia el exterior y apagar uno de forma brusca, quitandole la alimentación o lo que fuera. Vemos que el ping se corta, por que el clúster de fortigate todavía le queda mucho por mejorar pero que al de un par de segundos todo vuelve a su cauce con el otro fortigate. Así que el clúster funciona perfectamente.