No funciona VIP, con PBR

Para temas relacionados con el enrutamiento (estatico, basado en politicas, RIP, OSPF,...)
Responder
ElvisGuarin
Mensajes: 2
Registrado: 29 Abr 2016, 00:25

No funciona VIP, con PBR

Mensaje por ElvisGuarin »

Gracias primeramente, les comento que tengo un caso particular. un equipo FG110C con Wan1 y se le acaba de instalar la Wan2 el cliente no requiere Balanceo de cargas asi que no se ha configurado Wan LINK Load Balancing, se ha configurado la ruta con la misma distancia de la wan1 pero con una prioridad mas alta, ahora el proposito de esto es que solo unos equipos salgan por la wan2 los de la red inalambrica, por lo cual se han configurado sus respectivas PBRs, El problema viene cuando yo tengo un equipo inalambrico que va saliendo por la wan2 y quiere ingresar a un servidor el cual tiene configurado una VIP para su pblicacion a traves de la IP publica de la WAN1, el FG esta enviando este trafico por la politica implicita y se esta denegando.

Se han hecho configuraciones tales como HairPint Nat que lo encontramos en este enlace.
[Debes identificarte para poder ver enlaces.]

Asignando la VIP con interface ANY y colocando una politica desde la internal a la wan2 hacia ese destino VIP pero no funciona.

Se ha habilitado en la politica el ajuste set match-vip enable pero no funciona. sigue siendo denegado por la implicita.

La version del Dispositivo es la 5.2.7.

Agradezco la atencion prestada y estare atento a sus valiosos comentarios.
Avatar de Usuario
gabyrossi
Mensajes: 10898
Registrado: 30 Oct 2007, 19:47

Re: No funciona VIP, con PBR

Mensaje por gabyrossi »

hola, desde internet si funciona?
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
ElvisGuarin
Mensajes: 2
Registrado: 29 Abr 2016, 00:25

Re: No funciona VIP, con PBR

Mensaje por ElvisGuarin »

Hola Gabby

Gracias por la atencion pero ya lo hemos solucionado, desde internet si funcionaba sin problemas el ingreso al servicio publicado.

Lo que se hizo fue lo siguiente se creo una PBR que consistia en que todo el trafico que viene desde la internal y va a buscar un equipo de la misma Internal se vaya por el mismo switch o sea no busque salida hacia internet. Segun lo consultado se logro detectar que el trafico que uno dirije Hacia una VIP el busca la direccion de destino por el DNAT la cual era la dir interna del servidor por ello nunca la encontraba al realizar la PBR desde luego que la encontro y sigue siendo un servicio publico en la IP designada.

Gracias
JuanLuis_TM
Mensajes: 3
Registrado: 30 Nov 2021, 03:50

AYUDA conexion LAN con DMZ

Mensaje por JuanLuis_TM »

Tengo un fortigate 500e con conexiones LAN, DMZ y 3WAN; realice lo siguiente:
- las rutas predeterminadas (0.0.0.0/0) con misma distancia administrativa pero con distintas prioridades (en las WAN) [FUNCIONA ]
- La red LAN sale por WAN1 y servicios como ser servidores de la DMZ salen por las WAN2 y WAN3 (esto aplicando policy Routes) [FUNCIONA]
- [PROBLEMA] no logro que red LAN interna llegue a los servicios de la DMZ, aplique Firewall Policy especificando que red se quiere alcanzar (en este caso servicios host DMZ) y no me a funcionado, aplique varias logicas; talvez aplique mal los policy routes? o estoy interpretando mal la logica. Ayuda Porfavor.
Responder