Comunidad FORTIGATE.es

Hola

Tengo el siguiente inconveniente. Tengo un FG200D con FortiOS 5.0 G6

Este equipo tiene 3 enlaces a internet y 1 enlace MPLS a otros sitios de la empresa

Tengo definidas varias VLANs y por rutas estáticas salen a Internet por el Default (ruta de menor prioridad), y hacia las otras redes de la compañía por MPLS

Quiero Forzar que una VLAN, si o si salga por wan1 independientemente de por donde salgan el resto de las VLANs en el equipo, es decir, independientemente de que ruta estática hacia internet tiene prioridad = 0

Lo primero que se me ocurrió es definir un Policy Route, como el equipo se fija en las "policy" antes que en las estáticas, obligo que la VLAN202 salga si o si por wan1 independientemente de que ruta estática tiene prioridad = 0 y es la default para todo el FW

Con que me encuentro? al definir la "policy" le estoy indicando que cualquier paquete con origen en la VLAN202 y vaya hacia la 0.0.0.0/0.0.0.0 salga si o si por wan1.

El tema es que TODO se va a la wan1 por lo tanto pierdo la salida a las otras redes por MPLS.

Lo unico que se me ocurre es definir otras "policy" para las redes de MPLS posicionadas mas arriba hacia MPLS, pero tengo como 50 redes!!!!, a alguien se le ocurre otra solucion?

Gracias

Daniel

Hola.

Si sumarizas esas redes no se te quedarían en menos?

Otra opción que se me ocurre sería dividir el FG en dos VDOMS. Uno con los interfaces de internet y la red de transito, y otro con la misma red de tránsito y las otras redes internas. Así podrás hacer políticas de policy routing mucho más sencillas.

Un saludo.

Hola, si no queda otra que hacer eso.
Salvo que la policy route por la wan la hagas solo por http , https, y demas....y no todooo el trafico

Si es mejor que lo hagas por otro dominio virtual para que no afectes el servicio, pero si es posible hacerlo sin hacer dominio virtual. Creo que lo que puedes hacer es colocarle la misma distancia al otro isp y colocarle la prioridad al otro servicio como alta. Para no afectar la red.

Buenas tardes a todos.

Tengo un problema y quisiera que me ayudaran con su experiencia si les ha pasado y como lo solventaron.

Tengo un 100D EN VERSION v5.0,build0292 , resulta que tengo 3 internet 1 wan y los otros 2 los metos por interfaces 2 cualquiera, cuando estoy nateando internet por una vlan o interfaz fisica para que por medio del enlace de datos pase internet no navegan los equipos.

CABE RESALTAR que si reparto desde la wan si lo hace, y solo me ocurre con las versiones recientes,desde la 5.2.1, 5.2.2,5.2.3 Y 5.2.4 cuando bajo a las 5.0 todo funciona perfecto.

Vi algunas soluciones de poner a los servicios all, numero de protocolo =0 pero asi esta default.

Ayuda porfavor estimados.

Hola Amigo, explicate bien, realmente no entiendo bien lo que quieres hacer.

"resulta que tengo 3 internet 1 wan y los otros 2 los metos por interfaces 2 cualquiera"?

"cuando estoy nateando internet por una vlan o interfaz fisica para que por medio del enlace de datos pase internet no navegan los equipos."?

Si puedes hacer una grafica de lo que realmente vas hacer seria de muy utilidad.

Estas haciedno mal tu policy, verifica bien como lo estas realizando