Escenario VIPs Wan1 to Wan2

Para temas relacionados con el enrutamiento (estatico, basado en politicas, RIP, OSPF,...)
INSYSCT
Mensajes: 1
Registrado: 06 Oct 2022, 13:21

Escenario VIPs Wan1 to Wan2

Mensaje por INSYSCT »

Buenos días , me presento nuevo en el foro tras buscar mucha información sobre un escenario algo peculiar ,y que aun no he resuelto,llegue a este foro tras búsquedas sobre el problema que tengo, y os comparto por si alguna vez os pasa...
Actualmente se esta trabajando para solucionarlo en laboratorio antes de sacarlo en produccion.

En producción se unendos datacenter diferentes condos Fortigate 100F establecido un Tunel IPsec entre ambos.
FT100F(A) ---- FG100F(B)

Actualmente en FT100F(A) se reciben peticiones de IP publicas fijas configuradas con rangos de puertos, y se direccionan por el tunel IPSEC , hacia el FT100F(B) .Hasta aqui esto funciona perfectamente tanto de ida como de vuelta las peticiones entre sedes.

Nuevo Escenario: Tenemos que desconectar ese datacenter y eliminar esa sede, y hemos instalado en el datacenter producción una sede VPN de un proveedor Telecomunicaciones,funcionando actualmente y conectado a la FT100F(A) Wan 2, tenemos conectado en la FT100F(A) Wan1 en funcionamiento con su rango IP públicas estáticas.

Ahora viene la pregunta y es donde tenemos las incidencias, a partir de aquí nos olvidamos del IPSEC y FT100F(B).

1.- Planteamiento : Se necesita direccionar las peticiones de la FT100(A) VIPs, configuradas y creadas en la WAN1 con IP publicas, vayan a la FT100(A) WAN2, para que entren en la MPLS del proveedor y sigan su ruta a la MPLS y a la sedes que estén anunciadas.

- Se han configurado las WAN en SD-WA separadas ya que posible a futuro se añadan más para failover.

NOTA1: Aclarar que las peticiones externas a FT100F(A) a una interfaz interna LAN fortinet funcionan correctamente.

AHORA VIENE EL CASO FANTASMA QUE NOS TRAE DE CABEZA...
Previamente ya están hechas las rutas estáticas trafico y demas...

Paso 1. Se crea una Virtual IP, de tipo ( IP Externa WAN1 --- IP interna --- Puerto ).
Paso 2. Se crea una política de tráfico, ( Lo que venga de WAN1 ---- Tiene que salir por WAN2 --- asignamos todo, y la regla VIPS antes creada, y un POOL de enmascarado para que coincidan con las peticiones dentro de la MPLS )

Al realizar las pruebas la petición no sale de la WAN1 hacia la WAN2 , aclarar que las dos wan están separadas por zonas sd-wan diferentes.

Lo ultimo que s eme ocurre como la WAN2 no es necesario que este publicada y es un ipsec con otras sedes tratar este conexion como una interface LAN que esto si funciona actualmente en la WAN1 creando la interfaz LAN en vez de WAN2 y dandole una ruta estatica.

Que opinas alguien puede dar otras ideas?

La conclusion que tengo es que una vitual ip que entra por una wan1 del mismo fortigate no puedes enrutarle a otra wan2 del mismo.

Un saludo.
Responder