Comunidad FORTIGATE.es

Buenas, ¿Has probado a conectarte durante el reinicio del equipo? Algunos equipos sólo dejan usar el usuario maintainer durante los primeros 14 segundos del arranque. ¿Ese modelo no tiene botón de reset? Si no lo tiene puedes hacer una instalación limpia (asegúrate de tener el firmware que quieres i...

Buenas, En teoría, si entiendo el esquema, la política con ID 17 permite el acceso desde tu LAN a tu VLAN12. Lo cual debería dejar que los equipos de tu red LAN accedan a la VLAN. ¿Funciona el ping a la IP del firewall de la VLAN 12 desde la LAN? ¿Es el firewall el default gateway que asigna el DHCP...

Buenas,

Según la documentación de Fortinet puedes descargar las MIBs de aquí:

[Debes identificarte para poder ver enlaces.]

En mi caso tengo la 5.4 y se puede descargar de donde se indica.

Saludos.

Buenas, Entiendo que quieres conectar los dos firewalls a las tres WANs ¿no? Creo que con un switch (de capa 2 es suficiente en mi opinión) con al menos 9 puertos libres podrías hacerlo. Tendrías que crear 3 VLAN con 3 puertos cada uno (uno para cada WAN y para cada puerto en HA de los Fortigates). ...

Buenas,

Parece que tu problema tiene que ver con las rutas. Si no interfiere en el resto de rutas y políticas, deberías crear en el FG del site 2 una ruta estática o un policy route que te encaminase los paquetes del site 2 al FG del site 1.

Saludos.

Buenas, Te respondo a las preguntas: 1. En efecto, el Fortigate resuelve las políticas por orden de arriba a abajo. 2. Un objeto puede aparecer en todas las políticas en las que sea necesario. Te en cuenta que puedes tener varias interfaces y que desees que un equipo se conecte a las distintas inter...

Buenas, Por cierto me equivoqué. Tienes razón la topología estrella es la que tienes definida la otra sería una malla. ¿Las IPSec las has hecho por ruta o por política? En mi caso monté este escenario hace unos cuantos años y lo hice por políticas y necesitabas definir un concentrador de VPNs. Sin e...

Buenas, Para tu primera pregunta tienes que utilizar VIP (IPs virtuales) que te permite redirigir todas las IPs públicas asignadas al firewall a los diferentes servicios internos que quieras publicar en Internet. Para el tema del correo es posible hacer lo que detallas creado un IP pool con las dist...

Buenas,

Puedes resolverlo utilizando policy routes:

[Debes identificarte para poder ver enlaces.]

Saludos.

Buenas, Es posible conectar los dos spoke pero utilizando el firewall hub como un concentrador de VPNs. En este escenario el tráfico pasaría siempre por el HUB. Si prefirieses que las conexiones fueran directas entonces lo ideal sería una topología estrella (todos con todos). Tendrías que montar las...

Buenas, Es posible que el error se produzca porque estés diciendo que aplique la política desde cualquier interfaz a cualquier interfaz. Yo lo que haría sería definir una política que deniegue las conexiones desde la interfaz interna (donde estén los PCs con las IPs que deseas bloquear) hasta la int...

Buenas, Aunque no sea la solución a este problema, creo que en circunstancias normales es mejor que sea el Firewall el que gestione la IP pública en lugar del router. Así en el firewall puedes gestionar VIPs por si quieres utilizar varios servicios internos con una única IP pública. ¿Las IPs pública...

Buenas, Lo primero es que tendrías que configurar el Tplink de modo que encamine tus paquetes hacia Internet de la sucursal B al Fortigate de la sucursal A a través de la VPN. Y luego en el Fortigate configurar una política con interfaz origen tu VPN y destino la interfaz WAN con el webfilter activa...

Buenas,

¿Los dos fortigates tienen la misma velocidad de conexión? ¿Realizas algún tipo de análisis sobre los paquetes (IPS, IDS, etc.)? Supongo que no tendrás activado ninguna política con traffic shaping ¿no?

Saludos.

Buenas,

También tienes que tener en cuenta el tipo de análisis que estás haciendo a los paquetes. Si el equipo es pequeño y está realizando análisis profundo de los paquetes la velocidad disminuirá notablemente.

Saludos.