FortiAP como "extensión" de la LAN

Para temas relacionados con el enrutamiento (estatico, basado en politicas, RIP, OSPF,...)
Responder
sarietti
Mensajes: 61
Registrado: 21 Oct 2011, 22:18

FortiAP como "extensión" de la LAN

Mensaje por sarietti »

Hola,
Tengo unos Fortigate en HA MR3 Patch 6 y varios FortiAP brindando servicio inalambrico.

Los Forti AP ya manejan un SSID que es el segmento 192.168.2.0/24
La LAN se encuentra en el port1 que seria el segmento 192.168.1.0/24


La idea es crear otro SSID "Test" que sea como una extension de la LAN, osea que haga DHCP relay y entregue una IP del segmento 192.168.1.0/24
Es un requerimiento que me dio varios problemas, pero técnicamente debería ser posible de realizar.
Comento la configuración que hice:

allow-subnet-overlap enable
broadcast-forward en port1 y el SSID Test

Interfaces:
LAN port1 192.168.1.1
SSID Test 192.168.1.200

DHCP:
SSID Test: Modo relay

Firewall:
LAN ---> Test (all, all, any, no nat)
Test ---> LAN (all, all, any, no nat)


El tema es que no funciona nada, haciendo unas pruebas me di cuenta que no es problema de la entrega de DHCP, porque ni siquiera funciona el ruteo.
Configurando un DHCP Server de esta forma:
IPs: 192.168.1.[210-220]
DG 192.168.1.200


Un cliente se conecta via Wifi, recibe una IP del Server DHCP local del fg pero no tiene conexion.
Revisando las rutas estaticas de dicha PC me encuentro que existe una ruta del tipo 192.168.1.0/24 con gateway en la IP que recibio la PC (192.168.1.[210-220])
Esto me parecio raro, asi que modifique esa ruta estatica en la PC y le puse el gateway 192.168.1.200 y empezó a funcionar el ruteo.

Ahora estoy un poco perdido, creo que la configuracion que hice es la correcta, pero no se porque se entregan mal las rutas estaticas ni se si puedo manipular eso.


Alguna ayuda?
Gracias

Saludos.


PD: Aca hay un KB con un esquema similar al mio, lo unico diferente es la configuracion de los FortiAP (Los mismos se conectan via DHCP, por lo que su DG es la 192.168.1.1)
[Debes identificarte para poder ver enlaces.]
Avatar de Usuario
gabyrossi
Mensajes: 10898
Registrado: 30 Oct 2007, 19:47

Re: FortiAP como "extensión" de la LAN

Mensaje por gabyrossi »

hola, para hacer eso deberias hacer un soft switch entre la lan y la interface ap.
pero para hacer eso tendras que hacerlo desde el archivo de conf ya que lainterface lan la estas usando en politica, objetos, etc.

[Debes identificarte para poder ver enlaces.]

te recomiendo qe algun partner te ayude con eso.

saludos
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
sarietti
Mensajes: 61
Registrado: 21 Oct 2011, 22:18

Re: FortiAP como "extensión" de la LAN

Mensaje por sarietti »

Gracias Gaby, no conocia ese comando...
Lo que me comentas es que este comando se aplica cuando la interface no tiene ningun objeto asociado, osea hay que configurarlo y recien luego crear las politicas y los demas objetos....

Te pregunto lo siguiente: Y si se conecta otro cable de la LAN en un puerto que no esta en uso y se hace el Software Switch entre esa interface y la virtual wirelless interface??
Avatar de Usuario
gabyrossi
Mensajes: 10898
Registrado: 30 Oct 2007, 19:47

Re: FortiAP como "extensión" de la LAN

Mensaje por gabyrossi »

Hola, por eso dije:
pero para hacer eso tendras que hacerlo desde el archivo de conf ya que lainterface lan la estas usando en politica, objetos, etc.


No, no podras conectar otro cable en otra interface....
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
sarietti
Mensajes: 61
Registrado: 21 Oct 2011, 22:18

Re: FortiAP como "extensión" de la LAN

Mensaje por sarietti »

gabyrossi escribió:Hola, por eso dije:
pero para hacer eso tendras que hacerlo desde el archivo de conf ya que lainterface lan la estas usando en politica, objetos, etc.


No, no podras conectar otro cable en otra interface....



Gracias Gaby, no me convence modificar el archivo de conf todavia... Voy a averiguar un poco mas.
Este KB me inquieta un poco: [Debes identificarte para poder ver enlaces.]
Ya que salvando el dhcp relay esa cfg cumple los requerimientos.
Avatar de Usuario
gabyrossi
Mensajes: 10898
Registrado: 30 Oct 2007, 19:47

Re: FortiAP como "extensión" de la LAN

Mensaje por gabyrossi »

Hola, la unica manera que el ap de ip de la misma red lan es hace rel soft switch.

saludos
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
sarietti
Mensajes: 61
Registrado: 21 Oct 2011, 22:18

Re: FortiAP como "extensión" de la LAN

Mensaje por sarietti »

Si, es lo mas logico.

Bueno, muchas gracias Gaby, vamos a ver como lo resolvemos.

Saludos.
sreneaulira
Mensajes: 1
Registrado: 22 Abr 2015, 23:30

Re: FortiAP como "extensión" de la LAN

Mensaje por sreneaulira »

Hola Gabby,

Cual es tu correo ? necesito plantearte una duda, tengo problemas con mis fortiap.

Saludos.
Avatar de Usuario
gabyrossi
Mensajes: 10898
Registrado: 30 Oct 2007, 19:47

Re: FortiAP como "extensión" de la LAN

Mensaje por gabyrossi »

HOla, enviame un mp

saludos.
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
Hrnuperei
Mensajes: 3
Registrado: 21 Jun 2015, 14:18

Re: FortiAP como "extensión" de la LAN

Mensaje por Hrnuperei »

Muy interesnate el hilo, y muy currado.
amoreno2022
Mensajes: 1
Registrado: 19 Ene 2022, 23:59

Re: FortiAP como "extensión" de la LAN

Mensaje por amoreno2022 »

Hola Gaby, soy nuevo en el foro....

pero me interesa lo que comentas, podrias darme un poco mas d explicacion, tengo un fortigate, ya configure mi Forti ap pero , re quiero que tengan la misma red esto por un aplicativo que tengo es decir si la lan me da 192.168.1.X/24 requiero que la AP me proporcione ip del mismo segmento.

pero no tengo idea de los que comentas de hacer rel soft switch, podrias orienterme .. saludos y gracias
Responder