Acceder a servidor web con fortinet

[gabrielgabo]

Hola a todos, soy nuevo en el fortimundo y estoy estancado, mi problema es el siguiente.

tengo un fortinet fortigate 60D y necesito acceder desde internet mediante ip fija (publica) a mi servidor web que esta en mi LAN, ya probe todos los tutoriales que puede encontrar en internet y probe este tambien

[Debes identificarte para poder ver enlaces.]
y este otro basicamente lo mismo
[Debes identificarte para poder ver enlaces.]

pero sigo sin poder ingresar a mi web desde afuera.

ahora ¿Quien podra ayudarme?

NOTA: desde mi red puedo entrar a mi servidor o sea que el servicio esta funcionando, lo tengo en un w.server 2012 con IIS.

[Felipe]

Buenos días,

En principio si tienes Ip fija, sólo necesitarías crear una VIP (ya sea completa o sólo los puertos 80 y 443) de tu IP fija externa a la interna (la del servidor). Para posteriormente crear una política que permita el tráfico desde la interfaz WAN a la interna (donde esté el servidor) con origen all, destino la VIP creada antes y los servicios HTTP y HTTPS.

Con esa configuración básica debería de funcionar. Saludos.

[gabrielgabo]

Hola Felipe, gracias por responder pero si, ya tengo creada la ip virtual y la politica firewall que va de origen la wan2 donde se conecta la ip fija con direccion origen all
y destino la red interna con la ip virtual definida
y sigue sin funcionar, te dejo la configuracion a ver si ayuda

Virtual ip

interface: wan2 (es donde entra la ip fija)
external ip address : la ip que me entrega el modem (o sea la ip fija)
mapped ip address : la ip interna de mi servidor

port fordwarding
TCP
external service port : 80
mapped to port: 80

en policy ipv4

interfaz entrante : wan2
direccion origen: all
interfaz saliente : red interna
direccion destino : miweb (ip del servidor al que quiero acceder)
horario : alway
servicio : pruebo con http y tambien con all
action : accept
habilitado el NAT (probe sin NAT tambien)

es muy raro lo que me pasa, si a alguien se le ocurre algo mas agradeceria la ayuda
saludos

[Felipe]

Hola Gabriel,

¿Puedes hacer ping al firewall desde Internet? Supongo que desde el firewall puedes conectarte al servidor web sin problemas ¿no?

Saludos.

[gabrielgabo]

Hola felipe, si asi es, desde internet puedo hacer ping y ademas puedo conectarme para iniciar sesion en fortinet desde afuera

[gabrielgabo]

Hola aqui les dejo unas capturas de mi configuracion ya que sigo sin poder acceder a mi servidor

saludos

[Felipe]

Buenas,

Tal y como lo tienes configurado el HTTP debería funcionar, aunque el HTTPS no, a no ser que tengas otra política que lo permita ya que haces port forwarding del puerto 80 en la VIP. Aunque debería dejarte conectarte al servidor web por HTTP.

De todas formas y por seguridad la próxima vez difumina la IP pública o no la incluyas directamente.

¿Has probado a eliminar algunos de los perfiles de seguridad? Puede que una mala configuración de estos te impida la conexión al servidor.

Saludos.

[gabrielgabo]

Hola Felipe te cuento que lo del https es una opcion (como para ver que pasa si lo pongo), lo probe sin el https y no funciona.

otra cosa, no te entendi bien eso de eliminar los perfiles de seguridad, ¿a que te refieres o donde deberia cambiar esa configuracion?
¿podrias explicarmelo?


como siempre se agradece la ayuda
saludos.

[Felipe]

Si claro,

En la política tienes configurados los siguientes perfiles de seguridad:

Antivirus, IPS y SSL inspection.

Lo que decía es que probaras a desactivar temporalmente dichos perfiles para ver si son los que están causando el problema.

Saludos.

[gabrielgabo]

Hola, si, ya probe desactivando todo eso y sigue igual, tal vez habra alguna otra configuracion en algun otro lado del fortinet que deba hacer como abrir un puerto en algun lado porque este tema me tiene patilludo jejeje.

saludos

[gabyrossi]

hola, algo basico....

tenes mas de 1 wan ???

si tenes mas de 1 ... llegas a las 2 desde afuera (IP interfaces wan???

[gabrielgabo]

hola perdon por la demora, estuve fuera y no podia entrar en el foro.
Si así es tengo 2 wan, una con adsl común y la otra con ip fija, desde adentro puedo salir por cualquier wan a internet, lo que necesito es entrar solo por la wan 2 que es donde tengo una ip fija como mostré en las imágenes, esta wan la tengo exclusivamente para eso.

NOTA: las 2 wan no estan en un balance ni como principal y de backup, es decir, estan completamente separadas.

[gabyrossi]

hola, podrias decirnos la distancia de cada wan?
desde internet llegas por ping a las ip de cada wan?

saludos.

[gabrielgabo]

hola, las distancias no estan configuradas porque no estoy trabajando con balance y no tengo una wan configurada como backup de la otra, son totalmente independientes.
Ahora no puedo comprobar si puedo hacer ping y ya no puedo logearme al fortinet desde afuera.

[gabyrossi]

hola, para que este vivas las 2 wan tienen que tener misma distancia... y si queres que una sola sea la saliente default ponele prioridad mas baja.

revisa temas de dual wan o doble wan primero!

saludos.