Problema Direccionamiento DIBA

Para discusiones sobre temas técnicos (solución de problemas, configuraciones) cuyo tema no pertenezca especificamente a otros foros.
Responder
JulKeZ
Mensajes: 5
Registrado: 12 Ene 2017, 15:41

Problema Direccionamiento DIBA

Mensaje por JulKeZ »

Buenas tardes.

Estoy configurando un Fortigate 100D para conectar a un DIBA de telefónica.
El DIBA tiene 8 IPs públicas. El fortigate está conectado en la parte de la WAN al router del DIBA. El router tiene la IP 192.168.0.1 y el Fortigate tiene la IP 192.168.0.2 y como puerta de enlace la 192.168.0.1.
Las 8 Ips públicas las tengo configuradas cada una como un IP Pool, y desde las reglas defino que tráfico sale por una IP o por otra. Hasta ahí no tengo problema.
El problema viene con el tráfico generado por el propio fortigate, como por ejemplo el servidor DNS, o las conexiones al fortiguard. Estas salen desde la IP del fortigate, y no veo manera de indicar que salgan por una de las IPs públicas. El router del DIBA no lo saca a internet si no viene de una de las IPs públicas...
Por lo que vi por internet, se me ocurrió cambiar la ip de origen de los servicios, poniendo como IP de origen la de la DMZ o la de la LAN, pero el fortigate no lo saca con la IP pública de la regla para el tráfico de la DMZ a la WAN o de la LAN a la WAN.
He conseguido que medio funcione poniendo en la WAN como segunda IP una de las IPs públicas, y poniendo esa IP como ip de origen para el DNS, el NTP y el fortiguard, pero, aunque el DNS funciona, el fortiguard, por ejemplo, no lo hace.
El problema de configurarlo así, aunque funcionara, es que tengo una segunda wan de backup, y, en caso de que se cayera el DIBA, los servicios que tienen el source-ip cambiado no funcionarían.
Lo ideal para mi sería poder definir reglas en el tráfico del HOST hacia las demás redes, de esa manera podría indicar por qué IP quiero que salga en cada caso, que es como lo hacía en el PFSense que tenía en el lugar del Fortigate hasta ahora...
La otra opción que se me ocurre, pero que no he podido probar porque si la pruebo y no funciona pierdo la conexión con la oficina y tendría que ir allí a arreglarlo, es poner como IP en la WAN una de las IP's públicas, y como segunda IP en esa interfaz la 192.168.0.2, manteniendo la puerta de enlace en 192.168.0.1.

Un saludo,

Julio
JulKeZ
Mensajes: 5
Registrado: 12 Ene 2017, 15:41

Re: Problema Direccionamiento DIBA

Mensaje por JulKeZ »

Me respondo a mi mismo.
He probado lo que comentaba de poner una de las IPs públicas como IP de la WAN y la ip privada como IP secundaria y todo funciona perfecto. Me parece un poco extraño como queda configurado, pero funciona!
JulKeZ
Mensajes: 5
Registrado: 12 Ene 2017, 15:41

Re: Problema Direccionamiento DIBA

Mensaje por JulKeZ »

Me vuelvo a responder. Ayer lo vi funcionar, pero hoy ya no funciona. La Ip de origen de ese tráfico vuelve a ser la IP privada de la WAN. Si se os ocurre alguna forma de hacerlo funcionar, agradecería que la comentarais...
JulKeZ
Mensajes: 5
Registrado: 12 Ene 2017, 15:41

Re: Problema Direccionamiento DIBA

Mensaje por JulKeZ »

He contactado con el soporte de fortinet. Me dicen que no se puede hacer nada, y que debo hablar con el proveedor para que haga el NAT el router. En ello estoy, a ver que me dicen los de telefónica...
Avatar de Usuario
makco10
Mensajes: 1345
Registrado: 03 Jun 2011, 19:42
Ubicación: Honduras
Contactar:

Re: Problema Direccionamiento DIBA

Mensaje por makco10 »

Ok nos avisas que tal te fue..

Saludos
Defend Your Enterprise Network With Fortigate Next Generation Firewall

NSE4
NSE5
JulKeZ
Mensajes: 5
Registrado: 12 Ene 2017, 15:41

Re: Problema Direccionamiento DIBA

Mensaje por JulKeZ »

Los de telefónica, en su linea...
Se pasan la pelota de unos a otros, y ahora se están tomando su tiempo...
Y mientras, el firewall funcionando a medias...
De todas maneras, me parece increible que no pueda gestionar el tráfico que quiero que pueda o no pueda salir del fortigate...
Avatar de Usuario
gabyrossi
Mensajes: 10898
Registrado: 30 Oct 2007, 19:47

Re: Problema Direccionamiento DIBA

Mensaje por gabyrossi »

hola, por consola podrias indicale por ejemplo que para llegar a los server de fortiguard le llegue con tal IP
se hace por consola

config system fortiguard
set source-ip <ip4_addr>
end
probalo
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
Avatar de Usuario
gabyrossi
Mensajes: 10898
Registrado: 30 Oct 2007, 19:47

Re: Problema Direccionamiento DIBA

Mensaje por gabyrossi »

Igual, lo ideal es que las IP publica las manejes con el fortigate. si no siempre tendras problemas de nateo o cosas asi.

saludos
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
Naibed
Mensajes: 1
Registrado: 20 Mar 2017, 17:40

Re: Problema Direccionamiento DIBA

Mensaje por Naibed »

Buenas tardes,
yo tenía este mismo problema y me gustaría compartir, lo mejor que puedo, como lo he solucionado.

Lo primero fue solicitar a telefónica que cambiaran la configuración de su equipo de la siguiente manera:
* Solicite que me generaran una interfaz virtual (VLAN) con cada una de las direcciones IP públicas que me habían asignado.
* Yo genere las mismas interfaces virtuales en mi Fortigate.
* De esta manera tengo 8 VLAN con 8 direcciones privadas en la interfaz interna del router de telefónica.
* Solicite a telefónica que cada interfaz hiciera nat con la IP pública que le correspondiera y me direccionara todos los puertos TCP/UDP a la dirección IP de la interfaz virtual del fortigate.

Un saludo.
No tiene los permisos requeridos para ver los archivos adjuntos a este mensaje.
Avatar de Usuario
makco10
Mensajes: 1345
Registrado: 03 Jun 2011, 19:42
Ubicación: Honduras
Contactar:

Re: Problema Direccionamiento DIBA

Mensaje por makco10 »

Naibed escribió: 20 Mar 2017, 18:03 Buenas tardes,
yo tenía este mismo problema y me gustaría compartir, lo mejor que puedo, como lo he solucionado.

Lo primero fue solicitar a telefónica que cambiaran la configuración de su equipo de la siguiente manera:
* Solicite que me generaran una interfaz virtual (VLAN) con cada una de las direcciones IP públicas que me habían asignado.
* Yo genere las mismas interfaces virtuales en mi Fortigate.
* De esta manera tengo 8 VLAN con 8 direcciones privadas en la interfaz interna del router de telefónica.
* Solicite a telefónica que cada interfaz hiciera nat con la IP pública que le correspondiera y me direccionara todos los puertos TCP/UDP a la dirección IP de la interfaz virtual del fortigate.

Un saludo.
Interesante 🤔
Defend Your Enterprise Network With Fortigate Next Generation Firewall

NSE4
NSE5
Responder