Comunidad FORTIGATE.es

Buenos días, Es que lo que pretendes hacer no es posible si alguien está haciendo MAC spoofing y conoce la MAC de equipos permitida en principio el Fortigate no puede evitarlo. Supongo que si lo combinas con un device identification y OS detection podrían intentar poner las cosas más difíciles al li...

¿Está tu Fortigate sobrecargado? Mir a ver si puedes hacer esta comprobación: # diag hardware sysinfo shm SHM counter: 67 SHM allocated: 1556480 SHM total: 101220352 conservemode: 0 <–This should be one, if the system is in conserve mode shm last entered: n/a system last entered: n/a SHM FS total: 1...

Buenas, El tema se comentó recientemente. Se debe a que la VIP la has asociado a la interfaz WAN en lugar de ANY y cuando intentas acceder desde otra interfaz el firewall la deshecha. Deberás o bien utilizar un dns interno que traduzca tus nombres de dominio a las IPs internas o bien borrar la VIP y...

Buenas, A ver no puedo asegurarte que vaya a funcionar pero he repasado el fichero de configuración para ver donde se configura el dashboard y va ligado al perfil del usuario. Supongo que habilitando un widget dentro del dashboard del perfil del usuario ya debería aparecerte. Deberías tener algo com...

Buenas, El firewall es un dispositivo literal. Si tu configuras la VIP en la Interfaz externa WAN y no ANY es lógico que se comporte así porque cuando defines la política indicas la interfaz de entrada y de salida y en el caso de haber seleccionado la VIP en la interfaz WAN, sólo podrás seleccionar ...

Buenas,

Es posible que no hayas puesto la regla con el filtro web que has creado encima de la del proxy, con lo que está ejecutándose siempre antes la regla con proxy.

Saludos.

Buenas, Para la entrada lo puedes gestionar con VIPs. Para la salida a Internet puedes crear un IP pool con cada uno de las IPs públicas que quieres manejar y luego cuando configures la política de salida a Internet de cada puerto indicarle que utilice el IP pool que le corresponda (opción IP Pool C...

Buenas, ¿El servidor DNS es vuestro? Si vosotros podéis controlar los DNS sería posible programar un script que detectara la caída de la línea y modificara los registros DNS para que llegase por la otra interfaz (actualizando en timserial). Antes tardaba unas horas en propagarse los DNS pero en las ...

Buenas, Supongo que la VPN configurada es una IPSec ¿no? Necesitaría más información, por ejemplo: ¿Tienen todos los equipos IP pública o están configuradas como dialup? ¿Has modificado convenientemente los elementos de la fase 2? ¿Has creado las políticas necesarias y la nueva ruta estática ? Salud...

Buenas, En principio has hecho lo que deberías y debería de funcionar adecuadamente. Por si acaso repasemos los pasos: 1. Crear VIP IP_publica (Interfaz WAN)->IP_privada (Interfaz LAN) con port forwarding o no según tu criterio 2. Crear política que permita el acceso desde la interfaz WAN a la inter...

Hola, Si el esquema es tan sencillo como el que muestras en el diagrama y el firewall posee en una interfaz una IP de la Red interna, sólo necesitarás crear una regla que permita el acceso desde la interfaz de la red WiFi a la interfaz de la red red Interna (con las limitaciones de origen, destino y...

Buenas, Un poco tarde supongo. Creo que sería posible crear una VLAN en el puerto 1 con la subred adecuada para dicho segmento y configurar el DHCP de la interfaz VLAN resultante. Eso sí, necesitarías un switch entre tus equipos y el firewall para que etiquete convenientemente los equipos que perten...

Buenas, Si no he entendido mal dispones de dos conexiones a Internet y deseas utilizar un enlace u otro en función de tu interfaz (IPs) origen en el Fortigate ¿no?. Si ese es el caso deberías crear dos rutas estáticas con idéntica distancia y prioridad (aunque con distancia superior al resto de ruta...

Buenas, La segunda parte de este tutorial quizás pueda servirte de ayuda para configurar el dyndns: https://travelingpacket.com/2014/01/17/fortinet-ddns-options/ Una vez configurada la interfaz dyndns al parecer es posible crear una VIP en dicha interfaz con IP origen 0.0.0.0 y la Ip destino que nec...

Buenas, Perdona la demora en la respuesta pero es que estuve de vacaciones un tiempo. El tema es relativamente sencillo, ya que necesitarías simplemente habilitar diferentes VIPs en el firewall apuntando a cada uno de los servicios que quisieras supervisar (web, correo, ping,..) que por regla genera...