Distintas VLAN con VIP a mismo direccionamiento

Para temas relacionados con el enrutamiento (estatico, basado en politicas, RIP, OSPF,...)
Responder
alavejezviruelas
Mensajes: 2
Registrado: 21 Abr 2021, 08:01

Distintas VLAN con VIP a mismo direccionamiento

Mensaje por alavejezviruelas »

Buenos días a todos:

Soy nueva en el foro y lo primero que quiero es dar las gracias a esta comunidad por sus aportaciones. Para los que comenzamos en esto de la configuración y seguridad en la red, da menos miedo abordar el dia a día sabiendo que puedes encontrar algo de luz cuando estas atascado

Una vez dicho esto, os comento que me pasa para ver alguien me puede orientar.

Tengo dos laboratorios que hasta el día de hoy estaban aislados completamente de la red de la organización, aunque sus equipos - de forma interna - SI estaban en RED. En ambos laboratorios, están configurados con el mismo direccionamiento: 192.168.1.0/24

En muchos de estos equipos y/o aparatos (sensores, etc) ni siquiera se puede configurar la tarjeta de red porque son bastante antiguos, por lo que no se puede cambiar. Es decir, tengo que mantener el direccionamiento – que es el mismo – en ambos laboratorios.

Para poder configurarlos, he creado:

• Dos VLAN con distinto direccionamiento:
VLAN1 – 172.30.131.0/24
VLAN2 – 172.30.131.0/24

• Tantas virtual IP como equipos:

Para los equipos de la VLAN1

Vip_131.2: 172.30.131.2 -> 192.168.1.2
[…]
Vip_131.n: 172.30.131.n -> 192.168.1.n

Para los equipos de la VLAN2

Vip_132.2: 172.30.132.1 -> 192.168.1.2
[…]
Vip_132.n: 172.30.132.n -> 192.168.1.n

• Dos virtual IP Group para poder usar después en la política y tener las VIP agrupadas por cada laboratorio

VipGroup1: Vip_131.2 a la Vip_131_n
VipGroup2: Vip_132 a la Vip_132_n

• Creado dos políticas:
VLANinterna a VLAN1 all(origen) VipGroup1(destino) all(servicios)
VLANinterna a VLAN2 all(origen) VipGroup2(destino) all(servicios)


Al hacer ping al equipo 172.30.131.3, me responde y si miro los logs veo que tráfico es correcto y la VLAN destino es la VLAN1. Pero si hago un ping al equipo 172.30.132.100 (que esta en la VLAN2), no me responde y veo en los logs que la VLAN DE DESTINO es la VLAN1. Toda conexión que pruebo con destino 172.30.132.0/24 sale por la VLAN1, en vez de por la VLAN2

¿Sabéis que me puede faltar de configurar?

Muchas gracias de antemano
alavejezviruelas
Mensajes: 2
Registrado: 21 Abr 2021, 08:01

Re: Distintas VLAN con VIP a mismo direccionamiento

Mensaje por alavejezviruelas »

* Donde he puesto "sale por la VLAN1, en vez de por la VLAN2" quería decir "llega por la VLAN1, en vez de por la VLAN2"
AndresW
Mensajes: 452
Registrado: 09 Jun 2014, 17:05

Re: Distintas VLAN con VIP a mismo direccionamiento

Mensaje por AndresW »

Hola,

Sólo para de descartar:

- Revisa las IP y netmask de ambas interfaces vlan que estén correctamente definidas.

- Verifica en la tabla de enrutamiento cómo conoce ambos destinos.

Si es posible compartir la configuración tanto de las políticas como de las VIP asociadas, obviando por supuesto cualquier dato sensible.

¿Cómo ambos laboratorios se interconectan físicamente hacia el FG?. Me parece que por ahí va el problema y te está devolviendo el tráfico por una sola interfaz, pero sin contar con muchos datos sólo se puede teorizar.

Saludos!

Grupo de Telegram referente a FortiGate --> [Debes identificarte para poder ver enlaces.]


Saludos!

_____________________________________________________________

Grupo de Telegram referente a FortiGate --> https://t.me/FortiGate_es
Responder