2Do WAN NO FUNCIONA

Para temas relacionados con el enrutamiento (estatico, basado en politicas, RIP, OSPF,...)
Responder
dvharley
Mensajes: 6
Registrado: 27 Jun 2017, 19:27

2Do WAN NO FUNCIONA

Mensaje por dvharley »

Saludos,
Podrian ayudarme, tengo un 60d en sucursal con 2 wan, wan1 funciona correctamente, Wan2 el enlace funciona ya que lo probe en mi laptop, pero cuando esta en el forti el trafico que envio por policy route no funciona, y me di cuenta que es por los DNS, ya que si pongo los dns en mis maquinas si navega. Hay alguna forma de comprobar el dns que utiliza el wan2.
Muchas gracias por su ayuda
AndresW
Mensajes: 451
Registrado: 09 Jun 2014, 17:05

Re: 2Do WAN NO FUNCIONA

Mensaje por AndresW »

dvharley escribió:Saludos,
Podrian ayudarme, tengo un 60d en sucursal con 2 wan, wan1 funciona correctamente, Wan2 el enlace funciona ya que lo probe en mi laptop, pero cuando esta en el forti el trafico que envio por policy route no funciona, y me di cuenta que es por los DNS, ya que si pongo los dns en mis maquinas si navega. Hay alguna forma de comprobar el dns que utiliza el wan2.
Muchas gracias por su ayuda
Hola,

Los DNS que se configuran en el FG no se aplican para las conexiones que se establecen desde la LAN, me explico:

Tienes un PC/Laptop en tu LAN y este requiere resolver un FQDN para acceder a un sitio Web. Esta conexión gracias al PBR que aplicaste sale a través del enlace conectado a WAN2, y que pertenece al que llamaremos ISP-2. Sin embargo en los PC/Laptops tienes definido como DNS las IP de los resolvers del ISP-1, entonces desde una IP del ISP-2 (NAT dinámico) estás queriendo utilizar los resolvers del ISP-1, y esto jamás te funcionará, ya que por motivos de seguridad los proveedores de acceso a Internet sólo permiten a sus clientes (o IPs propias) utilizar estos recursos.

La solución más sencilla y rápida (ya que hay otras un poco más elaboradas) que te podría recomendar es utilizar en las estaciones de trabajo DNS resolvers abiertos como los de Google (8.8.8.8/8.8.4.4) o CloudFlare (1.1.1.1) por ejemplo. De esta manera no importará la IP pública (ISP-1 o ISP-2) por la que la conexión se esté estableciendo y recibirás una respuesta válida que te permita navegar o alcanzar algún servicio remoto.

Si bien habrá alguien que opine que utilizar estos servicios de resolución públicos conlleva una brecha de seguridad y/o privacidad, bueno eso ya es harina de otro costal y da para una entretenida tertulia.

Cuéntanos cómo te va con lo que te acabo de sugerir.

Si quieres puedes entrar al grupo de Telegram que está en mi firma y lo analizamos más en profundidad.

Saludos!

Grupo de Telegram referente a FortiGate --> [Debes identificarte para poder ver enlaces.]




Saludos!

_____________________________________________________________

Grupo de Telegram referente a FortiGate --> https://t.me/FortiGate_es
dvharley
Mensajes: 6
Registrado: 27 Jun 2017, 19:27

Re: 2Do WAN NO FUNCIONA

Mensaje por dvharley »

Mi estimado muchas gracias por tu ayuda, te comento un poco mas a profundidad, en matriz tengo un 500E, con dos wan, y un enlace adicional de backup, con WAN1 y WAN2, forme una sd-wan y funciona bien. Con el enlace de backup yo cree una policy route para probar el ancho de banda con mi laptop y funciona bien.
Talvez lo que deberia hacer es formar una sd-wan en la sucursal con los dos wan q tengo??
AndresW
Mensajes: 451
Registrado: 09 Jun 2014, 17:05

Re: 2Do WAN NO FUNCIONA

Mensaje por AndresW »

Hola,

Claro, el SD-WAN es una opción, pero como no lo nombraste en el post inicial no lo consideré.

Intenta replicando lo que tienes en matriz y que te funciona.

Saludos.

Grupo de Telegram referente a FortiGate --> [Debes identificarte para poder ver enlaces.]

Saludos!

_____________________________________________________________

Grupo de Telegram referente a FortiGate --> https://t.me/FortiGate_es
Responder