Estimados, junto con saludar y decir que somos nuevos en este foro, vengo a plantear un problema al cual no he podido encontrar información al respecto. Detallo el problema:
Tengo una red Wifi con equipameinto Meraki y el siguiente detalle de SSID:
- Corporativo: Red en modo bridge, es decir, cuando los equipos se acoplan a la red inalambrica, reciben la configuracion DHCP de la red nativa y son parte de esta como cualquier equipo.
- Visitas: Esta red se encuentra en modalidad NAT, esto implica que los equipos reciben una direccion IP del segmento 10.0.0.0/8, y conexiones de los equipos son gestionadas por medio de un NAT que el mismo AP realiza.
- Acceso movil: La misma modalidad que la red visitas, pero con la diferencia que solo están permitidos aquellos equipos que son moviles, como celulares y tablets.
Problema:
En la red "acceso movil", los celulares que cuentan con la aplicación "Microsoft Outlook" no pueden sincronizar los mensajes nuevos. Cuando reviso el Log de Forward de Fortigate, me encuentro con registros que apuntan a Microsoft Azure, Microsoft office365, AWS, cuya conexion aparece como Deny: IP connection error.
Si permito que mi celular con el problema, se conecte a la red "corporativo", logra sincronizar los correos sin problemas.
Hasta el minuto solo he deducido que el problema puede estar en el doble NAT que se realiza, primero de meraki y posterior con fortigate. La ip que tiene los registros es la configurada en el AP, ya que contra esa IP realiza el NAT el AP. He probado con politicas, sin ninguna politica, full acceso a internet y nada.
¿A alguien le ha pasado antes algo similar?, ¿hay alguna revisión más detallada que hacer vía consola que la webgui no permita?
Espero se entienda el problema y si alguno puede ayudar con algun consejo o experiencia se agradece de antemano, venimos del mundo ASA y es primera vez que administro un firewall fortigate.
Saludos,
Problemas Meraki y Fortigate 300D
Re: Problemas Meraki y Fortigate 300D
Buenas!
Si en la red de visitas te funciona, entonces no es un problema del NAT, porque en la red acceso movil aplica lo mismo no?
Tenes un exchange un tu red? los dns que le pones en ambas redes son publicos?
Podrias hacer un sniffer de uno de estos dispositivos en el fortigate para ver que esta haciendo.
Por ejemplo, supongamos que el port de dispositivos es el port10 y vas a analizar un telefono que tiene IP 10.0.1.10
En el fortigate por CLI pones esto:
diagnose sniffer packet port10 "host 10.0.1.10"
y revisas que va a haber trafico que se envia un syn, pero no tenes respuesta, por ejemplo:
0.745810 10.0.1.10.20683 -> 182.158.0.2.443: syn 2575671647
Entonces pasas a un debug mas especifico de ese trafico:
En el CLI de nuevo pones
1) diagnose debug disable
2) diagnose debug reset
3) diagnose debug flow filter saddr 10.0.1.10
4) diagnose debug flow filter daddr 182.158.0.2 (IP que queres rastrear)
5) diagnose debug flow filter proto 6
6) diagnose debug flow show console enable
7) diagnose debug flow trace start 1000
diagnose debug enable
Con eso te van a dar una salida del trafico y en que parte del flow del mismo, el fortigate lo bloquea (si es que lo hace claro)
Ojala ayude
Saludos!
Si en la red de visitas te funciona, entonces no es un problema del NAT, porque en la red acceso movil aplica lo mismo no?
Tenes un exchange un tu red? los dns que le pones en ambas redes son publicos?
Podrias hacer un sniffer de uno de estos dispositivos en el fortigate para ver que esta haciendo.
Por ejemplo, supongamos que el port de dispositivos es el port10 y vas a analizar un telefono que tiene IP 10.0.1.10
En el fortigate por CLI pones esto:
diagnose sniffer packet port10 "host 10.0.1.10"
y revisas que va a haber trafico que se envia un syn, pero no tenes respuesta, por ejemplo:
0.745810 10.0.1.10.20683 -> 182.158.0.2.443: syn 2575671647
Entonces pasas a un debug mas especifico de ese trafico:
En el CLI de nuevo pones
1) diagnose debug disable
2) diagnose debug reset
3) diagnose debug flow filter saddr 10.0.1.10
4) diagnose debug flow filter daddr 182.158.0.2 (IP que queres rastrear)
5) diagnose debug flow filter proto 6
6) diagnose debug flow show console enable
7) diagnose debug flow trace start 1000
diagnose debug enableCon eso te van a dar una salida del trafico y en que parte del flow del mismo, el fortigate lo bloquea (si es que lo hace claro)
Ojala ayude
Saludos!