ENRUTAR SERVICIO POP3 Y SMTP POR UNA WAN

Para temas sobre el uso de las politicas de filtrado en los productos FortiGate.
Responder
MartiFC
Mensajes: 1
Registrado: 06 Oct 2017, 18:35

ENRUTAR SERVICIO POP3 Y SMTP POR UNA WAN

Mensaje por MartiFC »

Buenos días. Tenemos un Fortigate 80C con la versión de Firmware v5.6.2 build1486 (GA).
Este Fortigate tiene 2 WAN y lo que queremos es que los usuarios tengan salida por defecto por la WAN2 para Internet pero el trafico de correo de los Outlook (POP3 y SMTP) de todos los ordenadores que se conecten a la LAN del Fortigate salga por la WAN1.
Es hacer un simple enrutamiento con origen LAN y destino WAN2 para los servicios POP3 y SMTP? Es que mi duda es si se tiene que hacer un enrutamiento de salida y otro de entrada y antes de empezar a tocar, como esta en producción quiero asegurarme de que y como hacerlo.
Si necesitan mas información se lo facilito.

Muchas gracias por adelantado.
Avatar de Usuario
gabyrossi
Mensajes: 10898
Registrado: 30 Oct 2007, 19:47

Re: ENRUTAR SERVICIO POP3 Y SMTP POR UNA WAN

Mensaje por gabyrossi »

hola, si simple de salida (politica de ruteo)

saludos
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
Avatar de Usuario
osesman
Mensajes: 16
Registrado: 26 Feb 2011, 05:07

Re: ENRUTAR SERVICIO POP3 Y SMTP POR UNA WAN

Mensaje por osesman »

Tengo V5.4.5 y en ruteo estatico es posible realiuzar ruteo por aplicaciones y sacar ese oesos servciios por un IOSp en caso de tener dos o mas, esto se hace mediante cli asi:
config router static
edit X
set gateway A.b.c.d
set device "wan2"
set internet-service 37782
next
end

o tambien via GUI aqui te guiaras mejor ya que te aparece la APP por nombre y no por si numero/ID.
Saludos.
rusinho
Mensajes: 15
Registrado: 28 Mar 2016, 17:08

Re: ENRUTAR SERVICIO POP3 Y SMTP POR UNA WAN

Mensaje por rusinho »

Buenos dias, como estan?

Hace unas semanas actualice a la version 5.6.3 y estoy teniendo problamas con el servidor de correo, tengo que total la navegacion salga por un proveedor hogareño por la wan2 y que el correo salga por un dedicado por la wan1, pero hay alguna configuracion que no esta funcionando o esta mal hecha porque aveces los correos salen por la wan2 generando un error ya que la ip por la que salen no es privada y esta en lista negra para este servicio. podrian por favor explicarme la forma de configurar correctamente que el correo salga solamente por la wan1?
Desde ya muchas gracias.
saludos.
No tiene los permisos requeridos para ver los archivos adjuntos a este mensaje.
Felipe
Mensajes: 229
Registrado: 02 Ago 2011, 14:27

Re: ENRUTAR SERVICIO POP3 Y SMTP POR UNA WAN

Mensaje por Felipe »

Hola,

No estoy muy familiarizado con el funcionamiento de la WAN definida por software pero es posible que tengas que crear una política de salida del correo por la WAN1. Creo que lo que ocurre es que tienes bien ordenadas las políticas de encaminamiento pero no sé si dispones de una política que permita al correo salir por la WAN1.

Saludos.
rusinho
Mensajes: 15
Registrado: 28 Mar 2016, 17:08

Re: ENRUTAR SERVICIO POP3 Y SMTP POR UNA WAN

Mensaje por rusinho »

MartiFC escribió: 16 Oct 2017, 12:28 Buenos días. Tenemos un Fortigate 80C con la versión de Firmware v5.6.2 build1486 (GA).
Este Fortigate tiene 2 WAN y lo que queremos es que los usuarios tengan salida por defecto por la WAN2 para Internet pero el trafico de correo de los Outlook (POP3 y SMTP) de todos los ordenadores que se conecten a la LAN del Fortigate salga por la WAN1.
Es hacer un simple enrutamiento con origen LAN y destino WAN2 para los servicios POP3 y SMTP? Es que mi duda es si se tiene que hacer un enrutamiento de salida y otro de entrada y antes de empezar a tocar, como esta en producción quiero asegurarme de que y como hacerlo.
Si necesitan mas información se lo facilito.

Muchas gracias por adelantado.
Felipe, muchas gracias por tu respuesta, mi duda es que en las políticas yo tengo configurado SD-WAN en Load Balance y nose ni encuentro la forma de configurar una salida desde el router dirigiendo el servicio SMTP (puerto 25) a la WAN1, necesitaría un poco mas detallada la forma en que puedo realizarlo por favor ya que todo esto es muy nuevo sobre todo con esta version que tiene el SD-WAN. Desde ya muchas gracias. saludos.
Felipe
Mensajes: 229
Registrado: 02 Ago 2011, 14:27

Re: ENRUTAR SERVICIO POP3 Y SMTP POR UNA WAN

Mensaje por Felipe »

Hola de nuevo,

Lo que comentaba es que mires si tienes configurada en el firewall una política tal que así:

Interfaz origen: Internal
Interfaz destino: WAN1
IP origen: La de tu servidor de correo
IP destino: All
Servicio: SMTP o el que sea necesario.

Una vez activa la política prueba que el tráfico se redirija adecuadamente. Puede que tengas algún problema con el NAT saliente, es posible que tengas que definir un IP Pool para que otros servidores de correos respondan al tuyo ya que si tu servidor de correo pregunta con una IP pública distinta al DNS asociado al mismo puede que rechacen las peticiones.

Espero te sirva de ayuda.
rusinho
Mensajes: 15
Registrado: 28 Mar 2016, 17:08

Re: ENRUTAR SERVICIO POP3 Y SMTP POR UNA WAN

Mensaje por rusinho »

Muchas gracias de nuevo, ahora estoy probando algo parecido a lo que me decis (si no es exactamente eso) dentro de SD-WAN Rules, donde se aplica sobre la ip del servidor de correo una politica de que todo lo que salga por el puerto 25 salga por WAN1, podrias confirmarme que esto es correcto?

Muchas gracias por tu ayuda!

saludos.
No tiene los permisos requeridos para ver los archivos adjuntos a este mensaje.
jaraneda
Mensajes: 29
Registrado: 10 Oct 2008, 15:55

Re: ENRUTAR SERVICIO POP3 Y SMTP POR UNA WAN

Mensaje por jaraneda »

tengo un problema similar, uso sd-wan con 2 isp pero quiero que el servicio de correo salga por la wan1 por una ip especicfica del pool publicas que nos entregaron pero no se como hacerlo.
Tengo un FortiGate 200D v6.0.4 build0231 (GA)

Gracias
Avatar de Usuario
gabyrossi
Mensajes: 10898
Registrado: 30 Oct 2007, 19:47

Re: ENRUTAR SERVICIO POP3 Y SMTP POR UNA WAN

Mensaje por gabyrossi »

en la imagen anterior se ve .... suar sd-wan rules ...
a demas de que si el mx del correo es diferente ip al de la wan1 por ejemplo debrias hacer esto:

ejemplo;
config firewall ippool
edit "IPPOOL-WAN1"
set startip 1.1.1.1
set endip 1.1.1.1
set arp-intf "wan1"
set associated-interface "wan1"
next
edit "IPPOOL-WAN2"
set startip 2.2.2.2
set endip 2.2.2.2
set arp-intf "wan2"
set associated-interface "wan2"
next
end


saludos.
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
Responder