ISP 1y2(dif bloque) + Propio Bloque...como publicar VIP, VPN

Consultas variadas de naturaleza técnica

Responder
kicho16
Mensajes: 3
Registrado: 02 May 2017, 02:16

ISP 1y2(dif bloque) + Propio Bloque...como publicar VIP, VPN

Mensaje por kicho16 »

Estimados Señores, agradecería mucho su apoyo en la siguiente situación:
Se acaba de adquirir un FGT200D en la empresa y se tienen 2 escenarios en donde se tienen que conectar directamente al FGT los enlaces de los ISP:
version 5.4.4

Escenario 1:
ISP1 entrega bloque 10.10.10.10/30
isp2 entrega bloque 20.20.20.20/30
empresa tiene su propio bloque 30.30.30.0/24 en donde se publican todos los servcios HTTP, HTTPS, SMTP, FTP, VPN-IPsec, VPN-SSL, entre otros.
a- se requieren utilizar ambos ISP y realizar Failover realizando una zona-isp con ambos puertos WAN y por debajo (CLI) un link monitor, pero...
--ya que los bloques de los ISP son diferentes a los que la empresa maneja como se haria por el tema de la publicacion de los servicios y mas importante la VPN, es mediante una Policy Route o como?

Escenario 2:
ISP1 entrega bloque 10.10.10.10/30
isp2 entrega bloque 20.20.20.20/30
empresa tiene su propio bloque 30.30.30.0/24 en donde se publican todos los servcios HTTP, HTTPS, SMTP, FTP, VPN-IPsec, VPN-SSL, entre otros.
a- existe una empresa hermana en donde se quiere separar q la empresa-A salga por la WAN1 y si falla el enlace pueda salir por la WAN2 y viceversa, pero siempre teniendo servicios con el bloque propio de la empresa

Agradecindoles
Avatar de Usuario
gabyrossi
Mensajes: 10898
Registrado: 30 Oct 2007, 19:47

Re: ISP 1y2(dif bloque) + Propio Bloque...como publicar VIP, VPN

Mensaje por gabyrossi »

hola, no me queda claro cual es el problema...

o necesitas saber como hacerlo?
son muchos temas juntos :
podrias armar un balanceo, o simplemente manejar ECMP en una zona de wan...
luego usas policy routes por si qyeres trafico particular por algun enlace.
manejas vip para las publicaciones

y vpn ssl para acceder desde afuera tu red
para ver info:
[Debes identificarte para poder ver enlaces.]
[Debes identificarte para poder ver enlaces.]
[Debes identificarte para poder ver enlaces.]

saludos.
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
kicho16
Mensajes: 3
Registrado: 02 May 2017, 02:16

Re: ISP 1y2(dif bloque) + Propio Bloque...como publicar VIP, VPN

Mensaje por kicho16 »

Muchas Gracias Gaby, en efecto me gustaría saber cuales son las mejores practicas para hacer ese tipo de implementacion ya que:
Escenario1:
-> si hago un wan llb supongo todo ok, pero a como explique tengo 2 isp con bloques de ip diferente y a parte se cuenta con un propio bloque de IP/24 que es el que se tendría que utilizar para hacer las publicaciones de todos los servicios entrantes tales como VPN, HTTPS, etc....entonces como publico eso?
-> pensé crear Zonas para los ISP y la Inside pero si hago zona de ISP , al realizar una zona no me permite crear los VIP e igual tengo el problema de como crear resto de reglas.
->ECMP me gustaría tener mas información si es la opción a implementar así como temas de ruteo relacionados, mencionas el tema de hacer policy route, pero como haria los policy route para los enlaces vpn

Profundizo en el tema en donde se tienen 3 VPN IPsec para clientes 15 VPN SSL utiliznado FFSO con DCAgent+Collector pero ese no es el problema, el tema es como hacer de fuera pa dentro teniendo los escenarios de las conexiones de los ISP directamente al equipo pero sin tener que ocupar el bloque de ambos ISP ya que se cuenta con un bloque de IP Publico propio.

Escnario2:
me gustaría conocer igual cual seria la implementacion idónea (VDOM o zona) para manejar ambos enlaces y sacar la comunicación de ambas empresas separadas pero manteniendo el failover y a la vez tener cierta comunicación pese a tener segmentos internos diferentes,
de igual manera ambas tienen adicional segmento publico propio y en caso q el enlace falle y tenga q hacer el failover los servicios siempre se encuentren arriba
Avatar de Usuario
makco10
Mensajes: 1345
Registrado: 03 Jun 2011, 19:42
Ubicación: Honduras
Contactar:

Re: ISP 1y2(dif bloque) + Propio Bloque...como publicar VIP, VPN

Mensaje por makco10 »

Hola,

Si son dos empresas diferentes pero un mismo administrador no te recomiendo VDOM, manejalo mejor por zonas.

Saludos.
Defend Your Enterprise Network With Fortigate Next Generation Firewall

NSE4
NSE5
Avatar de Usuario
gabyrossi
Mensajes: 10898
Registrado: 30 Oct 2007, 19:47

Re: ISP 1y2(dif bloque) + Propio Bloque...como publicar VIP, VPN

Mensaje por gabyrossi »

hola, si haces el balanceo usando wan link load balance (llb) esta bien para el trafico saliente. el trafico entrantes se meneja separados.
utilizando virtual ip abriendo los servicios (ports) que necesites por cada wan por separado.

saludos
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
Responder