Comunidad FORTIGATE.es

Hola

Me ocurre el siguiente problema tenemos un Fortigate 90D Poe v5.2.0,build0589 (GA), configuradas interfaces Wan1 y Wan2 e Internal, de las cuales en la Internal tenemos el problema que le habiamos declarado asignacion de IP por medio de la MAC a ciertos equipos al rededor de unos 100 reservados mac ip, el servidor DHCP esta configurado que de el rango de 192.168.1.1 - 192.168.3.254, el detalle es que despues de unos dias de hacer el upgrade de 5.0 a 5.2 estos reservados se borraron es su mayoria solo quedaron algunos que estaban desde hace tiempo, al rededor de unos 40, que cren que es lo que sucede porque el forti borra los demas, esto solo nos habia sucedido cuando tuvimos que cargar una configuracion anterior porque tubimos problemas pero los dimos de alta nuevamente y sin problema pero ahora con esta version marca errores, de hecho cuando quiero dar de alta una mac con su ip al darle OK me dice Internal Error 500 que cren que es lo que sucede.

de antemano Gracias

hola, que version tenia antes de actualiarla al 5.2 ?


poor cli tambien te arrojo error al cargar una mac en la reserva de dhcp ?

saludos.

No por el CLI no manda error, tenia la 5.0.9 build 292 creo sino la 5.0.7

Alguien?

hola, abre un ticket con fortinet a ver si es un bug o que te dicen.

saludos.

Hola, a mi me pasa lo mismo pero con la version v5.0,build0310 (GA Patch 11) es un FG80C

Puedo crear el DHCP pero no veo donde puedo jugar con las reservas en lo que hace al software, no la tengo muy clara con el CLI, por eso busco en la parte del Forti web, tambien me ha pasado que quise actualizarlo al 5.2. y no volvió a arrancar, hasta que entré por Terminal y lo volvi a su firmware actual. Alguna sugerencia?

Hola,

Si únicamente quieres reservar IPs por MAC en la GUI puedes hacerlo. System->Network->interface. Seleccionas la interfaz activas el DHCP Server (si no lo habías hecho ya) y en la pestaña Advanced te permite crear una lista de control de accesos con las MAC (en caso de que sea servidor, o bien hacer un Relay si tienes el servidor DHCP en otro equipo).

No sé si te servirá esto de ayuda. Saludos.

Felipe, muchas gracias, hasta donde vos me decis esta perfecto, pero, te cuento lo que me falta:

Quisiera poder reservar una IP a una MAC que no esté dentro del rango de DHCP, ya que mi DHCP lo doy a los que entran a un rango donde la navegacion esta medio filtrada, y quisiera poner en otro rango (que no sea DHCP) a un grupo de "privilegiados" se entiende? Te doy un ejemplo:

192.168.20.2 - 192.168.20.29 (servidores e impresoras)
192.168.20.30 - 192.168.20.59 (privilegiados con Full internet)
192.168.20.60 - 192.168.20.189 (Internet medio, filtrado youtube, facebook, etc.) (de estos me estan dando problemas porque igual entran por HTTPS pero...lo vemos en otro post si quieren, yo filtro por UTM que yo voy definiendo y no funca el bloqueo a los HTTPS)

Entonces quisiera dar IPs automaticos a todo el mundo en el rango de la 60 a la 189 y si quiero poner a uno que agarro por ejemplo la 192.168.20.111 en una IP privilegiada, no me deja, ya que el DHCP lo tengo definido solo con las ips desde la 60 a la 189, se entiende?

Tampoco se como hacer para poner mas de un DNS, ya que probe usando , ; : y nada....

En el caso de crear 2 rangos de DHCP, no veo donde puedo diferenciarlos de alguna manera....

Tampoco veo que se puedan definir mascaras de subred diferentes porque los rangos se definen pero las opciones de GW, DNS y demas, solo son unicas para todos los rangos.

Bueno espero sus comentarios.

PD: No soy muy amigo del CLI, capaz tengo que ponerme a verlo con mas tiempo pero como estoy solo con la red de mi laburo se me complica. Debe haber unos 150 puestos mas servidores, mas dispositivos, BB, Android, IPhone etc...

Hola,

Lo más sencillo en tu caso si no quieres crear VLANs (aunque de cara a las políticas sería más claro) es crear varios rangos DHCP, en tu caso tres:

192.168.20.2 - 192.168.20.29
192.168.20.30 - 192.168.20.59
192.168.20.60 - 192.168.20.189

Eso si es necesario controlar el acceso MAc a MAC, y no sé en el caso de que dejes por defecto la acción de asignar IPs cuál de los rangos es el que se usaría. Supongo que el primero programado (en este caso el 192.168.20.60 - 192.168.20.189).

Una vez hecho esto puedes asignar políticas controlando por rango de IPs.

Espero que te sirva de ayuda.

Hola, crear vlan no es la solucion porque como manejaras mas mascaras de las redes esas?

es claro... solo podras hacer reservas de IP del rango que tu fortigate es server de dhcp. Las demas no las puedes manejar ya que no estan en tu scope de dhcp.
para eso agregas todo la mascara 724 y researvas las ip necesarias a cada mac. y listo.

dns especificas uno (coma)y el otro


saludos.

Buenas, por lo que veo vamos avanzando en la consulta, pero mascara "724"????

Gaby, veo que con la coma puedo separar los DNS, voy a probarlo y te cuento, pero antes de darle el ok a mi DHCP desde el forti, necesito excluir algunas IPs, por ejemplo las anteriores a la 192.168.20.60 y las posteriores a la .189 pero no tengo esa opcion, puede ser???? es solo por CLI ???

hola,

es mascara /24

si, exclusion de un rango es por cli

config system dhcp server
edit <server_index_int>
config exclude-range
edit <excl_range_int>
set end-ip <end_ipv4>
set start-ip <start_ipv4>
end
end
end
end

saludos

Me sigue dando error al poner la coma entre los dns locales, o sea los que le quiero definir al DHCP para asignarle a los puestos

revisa que no estes escribiendo mal la IP.

Hola Gaby, creo que eso lo revise 1000 veces ... jjajaja

mirá, copio y pego desde la interface del forti: 192.168.20.10,192.168.20.30

Esta bien asi no?

Ya no se que revisar... sera de la revision del forti?

Quise ponerle la 5.2 pero no arrancó el forti, se colgaba al iniciar y tuve que sacarlo del rack ponerlo en una PC conectar el Terminal y volver a la 5.0

Que opinas?