Fortigate: ping e traceroute

Muitas vezes durante um troubleshooting precisamos validar a conectividade das interfaces diretamente conectadas ao firewall, do roteamento e das políticas aplicadas.  A utilização do protocolo ICMP, com o ping e o traceroute são fundamentais na resolução de problemas de rede.

A maioria dos equipamentos de rede dispara o ping pela interface mais próxima do destino, por exemplo se o seu Fortigate estiver conectado à Internet e você pingar o 8.8.8.8 (DNS do google), o endereço de origem do pacote ICMP será a da sua interface WAN.

Em muitos casos é necessário também  forçar o IP de origem para validar o roteamento, seja pela LAN, NAT ou Tunnel para checar o roteamento da rede ou o roteamento de redes que estão além da sua administração.

Para executar o ping e o traceroute via CLI no Fortigate para utilizar os comandos execute ping [endereço IP] ou execute traceroute [endereço IP], conforme exemplo abaixo.

FortiGate-VM64 # execute ping 8.8.8.8

PING 8.8.8.8 (8.8.8.8): 56 data bytes
64 bytes from 8.8.8.8: icmp_seq=0 ttl=60 time=27.7 ms
64 bytes from 8.8.8.8: icmp_seq=1 ttl=60 time=42.3 ms
64 bytes from 8.8.8.8: icmp_seq=2 ttl=60 time=204.4 ms
64 bytes from 8.8.8.8: icmp_seq=3 ttl=60 time=30.0 ms
64 bytes from 8.8.8.8: icmp_seq=4 ttl=60 time=29.5 ms
--- 8.8.8.8 ping statistics ---
5 packets transmitted, 5 packets received, 0% packet loss
round-trip min/avg/max = 27.7/66.7/204.4 ms

Para configuração de parâmetros durante a execução do ping utilize o comando execute ping-options [parâmetro], conforme exemplo abaixo:

FortiGate-VM64 # execute ping-options

adaptive-ping   Adaptive ping <enable|disable>.
data-size       Integer value to specify datagram size in bytes.
df-bit          Set DF bit in IP header .
interface       Auto | .
interval      Integer value to specify seconds between two pings
pattern         Hex format of pattern, e.g. 00ffaabb.
repeat-count Integer value to specify how many times repeat PING
reset           Reset settings.
source          Auto | .
timeout         Integer value to specify timeout in seconds.
tos             IP type-of-service option.
ttl             Integer value to specify time-to-live.
validate-reply  Validate reply data .
view-settings   View the current settings for PING option.

Configurando a “origem” (source) do ping como 192.168.15.200 para pingar 10 vezes o destino:

FortiGate-VM64 # execute ping-options source 192.168.15.200
FortiGate-VM64 # execute ping-options repeat-count 10
FortiGate-VM64 # execute ping 8.8.8.8
PING 8.8.8.8 (8.8.8.8): 56 data bytes
64 bytes from 8.8.8.8: icmp_seq=0 ttl=60 time=186.4 ms
<saída omitida>
--- 8.8.8.8 ping statistics ---
10 packets transmitted, 10 packets received, 0% packet loss
round-trip min/avg/max = 27.9/49.3/186.4 ms

Para validar a configuração efetuada digite execute ping-options view-settings.

Traceroute

Para configuração de parâmetros durante a execução do traceroute utilize o comando execute traceroute-options [parâmetro], conforme exemplo abaixo:

FortiGate-VM64 # execute traceroute-options
device          Auto | .
queries       Integer value to specify number of queries per hop
source          Auto | .
view-settings   View the current options of traceroute.

Faças as alterações e dispare o trarcert com  execute traceroute ..

FortiGate-VM64 # execute traceroute 8.8.8.8
traceroute to 8.8.8.8 (8.8.8.8), 32 hops max, 3 probe packets per hop, 84 byte packets
 1  192.168.15.1  3.431 ms *  24.914 ms
 2  192.168.0.20   31.343 ms  30.692 ms  27.018 ms
 3  201.22.1.21 <201.22.1.21.dynamic.abcdsl.abc.net.br>  28.246 ms  30.527 ms  34.763 ms
 4  152.255.138.213  34.929 ms  28.887 ms  33.092 ms
 5  72.14.218.101  45.153 ms  26.727 ms  25.589 ms
 6  108.170.251.81  28.665 ms  26.711 ms  29.637 ms
 7  108.170.237.101  26.557 ms  35.166 ms  34.000 ms
 8  8.8.8.8   33.719 ms  28.529 ms  27.056 ms

Referência
https://travelingpacket.com/2018/04/06/fortigate-ping-and-traceroute-options/

Leave a Reply

Your email address will not be published. Required fields are marked *