Página 1 de 1

Editar interfaces FortiWiFi 60 E.

Publicado: 02 Oct 2019, 19:09
por marcelocool
Hola, cuento con FortiWiFi 60E con FortiOS 6.0.5.

Necesito saber si se puede editar las interfaces o bocas de red del equipo con distintas IP a cada boca.
Actualmente el equipo cuenta con una WAN e Internal donde doy red por DHCP a mis usuarios. (se podrá cambiar o configurar para mejor)

Por una cuestión de seguridad Necesito aislar los departamentos. Asignar a un sector un IP clase A y mascara para unos 60 equipos y optimizar un poco la red y por otro lado mantener un rango de IP clase C (ya en funcionamiento)

osea:
en la boca 1 mediante UTP conectar desde Forti a Switch que va a producción por ejemplo con el IP 192.168.XX.XX
En la Boca 2 conectar desde Forti a el switch principal con el rango de IP 10.122.XX.XX para el resto de clientes.
Cabe decir que ambos deben tener salida a internet y poder controlar el ancho de banda en cada boca de red.
es posible??
NO tengo idea como crear vlans en Router ni en Switch (HP 1920s L3) ya que igualmente a informatica llega un UTP que va al sector para aislar y ya cuenta con su propio Switch.

Espero me puedan entender. Gracias.

Re: Editar interfaces FortiWiFi 60 E.

Publicado: 07 Oct 2019, 03:41
por makco10
Hola,

Si puedes hacerlo, si lo tienes en modo switch puedes desenlazar las interfaces para que configures independiente la configuración deseada.

Revisa este link: [Debes identificarte para poder ver enlaces.]

Te recomiendo lo actualices a la ultima version de firmware disponible, el link que te comparto es con la ultima version de firmware disponible.

Saludos.

Re: Editar interfaces FortiWiFi 60 E.

Publicado: 07 Oct 2019, 19:53
por marcelocool
Gracias por tu respuesta.

El equipo esta casi por defecto, con la interfaz WAN y Lan que figura como internal con DHCP, en base a eso, se han creado las políticas correspondientes. Supongo que el Forti no está en modo Switch.
En ese caso, como procedo.
Hay que borrar todas las politicas? Se debe configurar via CLI para cambiar su modo?
El router está en producción, es necesario ¨arrancar¨ desde cero con las configuraciones?


**En el sitio donde estoy, muchos usuarios utilizan FortiClient con Antivirus, por lo que, si hago upgrade de Forti OS 6.0.5 a 6.2, Forticlient deja de validarse en el Fortiguard del Router, obligando a todos a cambiar por FortiEMS y FortiClient 6.2 de pago.**

Muchas Gracias. -

Re: Editar interfaces FortiWiFi 60 E.

Publicado: 07 Oct 2019, 22:06
por makco10
Hola,

Comparte capturas de las interfaces (Oculta la ip publica del WAN) y de las politicas.


Saludos.

Re: Editar interfaces FortiWiFi 60 E.

Publicado: 08 Oct 2019, 14:56
por marcelocool
makco10 escribió: 07 Oct 2019, 22:06 Hola,

Comparte capturas de las interfaces (Oculta la ip publica del WAN) y de las politicas.


Saludos.
Adjunto politicas e interfaces.
(Se observa que está creada la LAN está 2 veces...debido a que, de un momento a otro perdí la conexión en la interfaz de red y sólo así pude levantarlas nuevamente.) :cry:

Re: Editar interfaces FortiWiFi 60 E.

Publicado: 08 Oct 2019, 17:32
por makco10
Hola,

Si te fijas tienes asignado los puertos al modo switch, puedes desenlazar esos puertos y configurar el direccionamiento por cada puerto.

No es necesario que borres las politicas solamente desenlaza las interfaces entrando al hardware switch.

En la parte de las politicas te recomiendo que mejor desagrupes y hagas politicas independientes, si te fijas tienes como source 3 interfaces, mejor realiza la politicas individuales y la ventaja que tendras es que al crear mas politicas será mas ordenado.

Las politicas para el acceso externo (WAN a la red interna) tambien realiza la politica independiente, asi puedes activar el IPS solamente para ese acceso y no para toda la red, de esta forma no incrementas el uso de CPU.

Saludos.

Re: Editar interfaces FortiWiFi 60 E.

Publicado: 08 Oct 2019, 19:43
por marcelocool
Hola,

¨puedes desenlazar esos puertos y configurar el direccionamiento por cada puerto¨
puede que tenga que configurarlo con cli con: config sys virtual-switch ?? [Debes identificarte para poder ver enlaces.] algo como esto???
Existe otro metodo o forma? es el camino correcto para desenlazar? (Actualmente no puedo asignarle IP individuales a cada puerto de red.)

En cuanto a las políticas: Bien, intentaré crear de forma independiente. Aunque siempre debo colocar ALL y luego es dispositivo o usuario.

¨ Las politicas para el acceso externo (WAN a la red interna) tambien realiza la politica independiente, asi puedes activar el IPS solamente para ese acceso y no para toda la red, de esta forma no incrementas el uso de CPU.¨

En caso IPS sería Aplicar a la WAN desde FROM y TO? o a cada Usuario que le genere una regla? la idea es aplicar ISP a la WAN para que filtre en la LAN general, es correcto? o quizá mi concepto está mal?

Gracias. -

Re: Editar interfaces FortiWiFi 60 E.

Publicado: 08 Oct 2019, 23:49
por makco10
Hola,

Para eliminar el virtual hardware switch debes eliminar todos los objetos utilizados, este link te da los pasos exactos: [Debes identificarte para poder ver enlaces.]

Coloca ALL para el destino para el origen puedes poner el segmento completo de red o un rango de direcciones.

El IPS habilitalo solo si tienes servicios publicado: Aplicaciones web, paginas web, portales,etc. De otra forma no es necesario ya que no tienes visibilidad a tu red externarmente. Tambien lo puedes habilitar para los usuarios con el perfil PROTECT_CLIENT solo te recomiendo lo habilites para tus usuarios vulnerables, si pones IPS en todas las politicas los recursos del Fortigate se irán a tope.

Saludos.

Re: Editar interfaces FortiWiFi 60 E.

Publicado: 09 Oct 2019, 20:38
por marcelocool
makco10 escribió: 08 Oct 2019, 23:49 Hola,

Para eliminar el virtual hardware switch debes eliminar todos los objetos utilizados, este link te da los pasos exactos: [Debes identificarte para poder ver enlaces.]

Coloca ALL para el destino para el origen puedes poner el segmento completo de red o un rango de direcciones.

El IPS habilitalo solo si tienes servicios publicado: Aplicaciones web, paginas web, portales,etc. De otra forma no es necesario ya que no tienes visibilidad a tu red externarmente. Tambien lo puedes habilitar para los usuarios con el perfil PROTECT_CLIENT solo te recomiendo lo habilites para tus usuarios vulnerables, si pones IPS en todas las politicas los recursos del Fortigate se irán a tope.

Saludos.
HOLA! gracias por tus respuestas y ayuda;

[Debes identificarte para poder ver enlaces.] es mas o menos lo que me pasaste ? [Debes identificarte para poder ver enlaces.] pero graficamente? entiendo que hay q editar o borrar reglas y dhcp.

Estoy analizando de arrancar con el Forti de cero ya que por no saber ciertas cuestiones, depuraría y ordenaría un poco lo q hay.

Veo como aplico cambios y paso comentarios.

Nuevamente, gracias por tu respuestas.

Re: Editar interfaces FortiWiFi 60 E.

Publicado: 09 Oct 2019, 21:24
por makco10
Hola,

Si puedes hacer todo desde 0 de igual forma tienes que borrar todos los objetos relacionados con el hardware virtual switch.

Saludos.

Re: Editar interfaces FortiWiFi 60 E.

Publicado: 18 Oct 2019, 17:32
por marcelocool
Por fin pude lograr eliminar la Internal y editar cada boca de red para ser configurada de forma independiente....ahora tengo un problema;

La red Wifi Administrativa y la red principal se relacionaban entre si..ahora no.
Al dividir la red ejemplo:
Interfaz 1 para producción 10.122.1....
interfaz 2 para diseño, 192.168.1....
interfaz 3...etc 192.168.0..
Wifi de producción no lo puedo relacionar con la interfaz uno ni puedo asignarle el IP 10.122.1...ya que me dice que hay conflicto con la interfaz internal1...debo tener otro rango de ip 10.122.2 dejando los dispositivos móviles sin base de datos por ejemplo.
Que forma existe para que la red 1 y wifi 1 tengan el mismo IP?

Re: Editar interfaces FortiWiFi 60 E.

Publicado: 18 Oct 2019, 20:37
por makco10
Puedes tenerlos con diferentes segmentos de red y solamente permite la comunicación entre redes mediante politicas de acceso.

Segmentar la red tambien te da un plus de seguridad, por ejemplo puedes permitir servicios especificos.

Saludos.

Re: Editar interfaces FortiWiFi 60 E.

Publicado: 21 Oct 2019, 18:48
por marcelocool
makco10 escribió: 18 Oct 2019, 20:37 Puedes tenerlos con diferentes segmentos de red y solamente permite la comunicación entre redes mediante politicas de acceso.

Segmentar la red tambien te da un plus de seguridad, por ejemplo puedes permitir servicios especificos.

Saludos.
HOLA!

La idea de algunos dispositivos Móbiles es que se conecten a una determinada base de datos que está en la misma red Administrativa.
Ahora depués de la nueva configuración del router. Los dispositivos móbiles no pueden acceder a la base por estar en otro segmento de red.
Existirá la forma de hacer algún redireccionamiento a determinada IP con dispositivos con IP diferente?

Re: Editar interfaces FortiWiFi 60 E.

Publicado: 21 Oct 2019, 19:25
por makco10
Solamente permite mediante politica, y pruebas que tengas acceso a la ip de la base.

Saludos.