Un error que ya había visto alguna vez, me suena a cuando empezamos a mirar para migrar a o365 … que te advertían de que … ojito con los puertos y el NAT. En este caso ha sido parecido … el firewall se quejaba, y sin puertos para hacer NAT no hay Internet.
El error en concreto es este:
Por suerte, esta bien documentado:
No sabia que para hacer NAT hide el firewall dividía el rango de puertos en 3 el caso es que hay dos formas de asignar los puertos, de forma estática (por defecto en R77.30 y anteriores) o dinamia (por defecto en R80).
Aunque las formas no son mágicas, si que dice que poniéndolo en forma «dinámica» ganas mas puertos. Ojo si usas VSX porque (según pone) subir este numero de puertos puede hacer que el rendimiento de tu firewall se vaya a hacer puñetas.
A lo que vamos:
Para ver en que modo estas:
fw ctl get int fwx_nat_dynamic_port_allocation -> si te devuelve un 0 estas en modo estático.
Para cambiarlo a dinámico:
1.- Crear el fichero $FWDIR/boot/modules/fwkern.conf (con un touch por ejemplo).
2.- Editar el fichero y añadir la siguiente linea: fwx_nat_dynamic_port_allocation=1 (ojo, sin espacios)
3.- Según el manual dice que es recomendable poner también: fwx_nat_dynamic_high_port_allocation_size=100
Grabas y reinicias (ojo que los dos nodos tienen que estar igual).
Aun no se si lo soluciona (espero que me dejen probarlo lo antes posible).
Echar un ojo también al Sk3224
Puedes mirar los valores con:
fw tab -t fwx_alloc | grep limit
fw tab -t fwx_auth | grep limit
fw ctl get int fwx_max_conns
Y en caso de problemas se pueden borrar las tablas sin tener que reiniciar los nodos:
fw tab -t fwx_alloc -x
fw tab -t fwx_cache -x -y
También te ofrecen una solución mas lógica … si necesitas mas puertos … añade mas ips publicas (y probablemente … pagalas).
En fin.