Muitas vezes durante um troubleshooting precisamos validar a conectividade das interfaces diretamente conectadas ao firewall, do roteamento e das políticas aplicadas. A utilização do protocolo ICMP, com o ping e o traceroute são fundamentais na resolução de problemas de rede.
A maioria dos equipamentos de rede dispara o ping pela interface mais próxima do destino, por exemplo se o seu Fortigate estiver conectado à Internet e você pingar o 8.8.8.8 (DNS do google), o endereço de origem do pacote ICMP será a da sua interface WAN.
Em muitos casos é necessário também forçar o IP de origem para validar o roteamento, seja pela LAN, NAT ou Tunnel para checar o roteamento da rede ou o roteamento de redes que estão além da sua administração.
Para executar o ping e o traceroute via CLI no Fortigate para utilizar os comandos execute ping [endereço IP] ou execute traceroute [endereço IP], conforme exemplo abaixo.
FortiGate-VM64 # execute ping 8.8.8.8 PING 8.8.8.8 (8.8.8.8): 56 data bytes 64 bytes from 8.8.8.8: icmp_seq=0 ttl=60 time=27.7 ms 64 bytes from 8.8.8.8: icmp_seq=1 ttl=60 time=42.3 ms 64 bytes from 8.8.8.8: icmp_seq=2 ttl=60 time=204.4 ms 64 bytes from 8.8.8.8: icmp_seq=3 ttl=60 time=30.0 ms 64 bytes from 8.8.8.8: icmp_seq=4 ttl=60 time=29.5 ms --- 8.8.8.8 ping statistics --- 5 packets transmitted, 5 packets received, 0% packet loss round-trip min/avg/max = 27.7/66.7/204.4 ms
Para configuração de parâmetros durante a execução do ping utilize o comando execute ping-options [parâmetro], conforme exemplo abaixo:
FortiGate-VM64 # execute ping-options adaptive-ping Adaptive ping <enable|disable>. data-size Integer value to specify datagram size in bytes. df-bit Set DF bit in IP header . interface Auto | . interval Integer value to specify seconds between two pings pattern Hex format of pattern, e.g. 00ffaabb. repeat-count Integer value to specify how many times repeat PING reset Reset settings. source Auto | . timeout Integer value to specify timeout in seconds. tos IP type-of-service option. ttl Integer value to specify time-to-live. validate-reply Validate reply data . view-settings View the current settings for PING option.
Configurando a “origem” (source) do ping como 192.168.15.200 para pingar 10 vezes o destino:
FortiGate-VM64 # execute ping-options source 192.168.15.200 FortiGate-VM64 # execute ping-options repeat-count 10 FortiGate-VM64 # execute ping 8.8.8.8 PING 8.8.8.8 (8.8.8.8): 56 data bytes 64 bytes from 8.8.8.8: icmp_seq=0 ttl=60 time=186.4 ms <saída omitida> --- 8.8.8.8 ping statistics --- 10 packets transmitted, 10 packets received, 0% packet loss round-trip min/avg/max = 27.9/49.3/186.4 ms
Para validar a configuração efetuada digite execute ping-options view-settings.
Traceroute
Para configuração de parâmetros durante a execução do traceroute utilize o comando execute traceroute-options [parâmetro], conforme exemplo abaixo:
FortiGate-VM64 # execute traceroute-options device Auto | . queries Integer value to specify number of queries per hop source Auto | . view-settings View the current options of traceroute.
Faças as alterações e dispare o trarcert com execute traceroute ..
FortiGate-VM64 # execute traceroute 8.8.8.8 traceroute to 8.8.8.8 (8.8.8.8), 32 hops max, 3 probe packets per hop, 84 byte packets 1 192.168.15.1 3.431 ms * 24.914 ms 2 192.168.0.20 31.343 ms 30.692 ms 27.018 ms 3 201.22.1.21 <201.22.1.21.dynamic.abcdsl.abc.net.br> 28.246 ms 30.527 ms 34.763 ms 4 152.255.138.213 34.929 ms 28.887 ms 33.092 ms 5 72.14.218.101 45.153 ms 26.727 ms 25.589 ms 6 108.170.251.81 28.665 ms 26.711 ms 29.637 ms 7 108.170.237.101 26.557 ms 35.166 ms 34.000 ms 8 8.8.8.8 33.719 ms 28.529 ms 27.056 ms
Referência
https://travelingpacket.com/2018/04/06/fortigate-ping-and-traceroute-options/