Usar dons ISP difernte compañia

Para temas relacionados con el enrutamiento (estatico, basado en politicas, RIP, OSPF,...)
eecrs
Mensajes: 193
Registrado: 20 Dic 2011, 22:48

Usar dons ISP difernte compañia

Mensaje por eecrs »

saludos, tengo un fortigate 100A, sea contratado dos IPS, mi pregunta es como se puede configurar que unas ciertas ips salgan por WAN1 y otra ips salgan por WAN2, que sea ip espesificas para que se pudieran intercalar sea por wan1 o wan2 o viceversa.

antemano gracias
Avatar de Usuario
makco10
Mensajes: 1345
Registrado: 03 Jun 2011, 19:42
Ubicación: Honduras
Contactar:

Re: Usar dons ISP difernte compañia

Mensaje por makco10 »

Hola,

si tienes 2 proveedores de internet sigue el siguiente procedimiento: [Debes identificarte para poder ver enlaces.]

En este caso lo que obtienes es redundancia, pero te da una idea en cuanto a las politicas.

En tu caso es mucho mas sencillo, solo tienes que crear 2 politicas una que va desde tu red local hacia el wan 1 y la otra hacia el wan 2, y colocas los usuarios o ip`s que gustes, en caso sean diferentes redes e interfaces tendrias que crear de la misma forma solo que quizas agregando una politica mas por si necesitas que ambas tengan salidas a wan 1 y wan 2.
Defend Your Enterprise Network With Fortigate Next Generation Firewall

NSE4
NSE5
eecrs
Mensajes: 193
Registrado: 20 Dic 2011, 22:48

Re: Usar dons ISP difernte compañia

Mensaje por eecrs »

gracias por el dato, pero aun tengo la version 5.0 y las opciones que me muestran no las tengo habilitadas
Avatar de Usuario
gabyrossi
Mensajes: 10898
Registrado: 30 Oct 2007, 19:47

Re: Usar dons ISP difernte compañia

Mensaje por gabyrossi »

tenes un 100a con 5.0 ? imposible...
si tenes un firmware antiguo revisa en el foro temas de dual wan o doble wan o ECMP

saludos
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
eecrs
Mensajes: 193
Registrado: 20 Dic 2011, 22:48

Re: Usar dons ISP difernte compañia

Mensaje por eecrs »

v4.0,build0646 es esta la version
eecrs
Mensajes: 193
Registrado: 20 Dic 2011, 22:48

Re: Usar dons ISP difernte compañia

Mensaje por eecrs »

ya casi lo logro, en mi WAN1 sera el trafico de internet para todo el personal, y en mi WAN2 quiero que de ahi se conecten solo las VPN que ya tengo, como puedo indicerle al forti que el trafico de vpn entre y salga por la WAN2
Avatar de Usuario
makco10
Mensajes: 1345
Registrado: 03 Jun 2011, 19:42
Ubicación: Honduras
Contactar:

Re: Usar dons ISP difernte compañia

Mensaje por makco10 »

veamos si ya tienes vpn y las tienes en modo interface con el wan1 tendrias que hacerlas de nuevo para poder usar el wan2, no recuerdo muy bien si podrias editar y cambiar de wan1 a wan2.

son vpn ipsec en modo interface o portal ssl vpn?
Defend Your Enterprise Network With Fortigate Next Generation Firewall

NSE4
NSE5
Avatar de Usuario
gabyrossi
Mensajes: 10898
Registrado: 30 Oct 2007, 19:47

Re: Usar dons ISP difernte compañia

Mensaje por gabyrossi »

hola, si las vpn ya las tenes creadas por wan1, podes editar las phase1 y cambiarle por la wan2.
saludos
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
eecrs
Mensajes: 193
Registrado: 20 Dic 2011, 22:48

Re: Usar dons ISP difernte compañia

Mensaje por eecrs »

primeramente tenia definido para WAN2 como mi internet y de ahi tambien las VPN, posterior se contrato otro IPS lo conecte a WAN1 entonces:

WAN2 solo VPNS, ipsec
WAN1 internet para usuarios

cuando activo la WAN1 se pierde coneccion de las vpns, como se puede lograr que la salida a internet para vpns sea por la wan2 y no por la otra conexion
Avatar de Usuario
makco10
Mensajes: 1345
Registrado: 03 Jun 2011, 19:42
Ubicación: Honduras
Contactar:

Re: Usar dons ISP difernte compañia

Mensaje por makco10 »

cuando dices que activas la wan1 te refieres a que tienes down la interface wan1?, no deberias de tener problemas si tienes politicas diferentes, la wan1 y wan2 manejan una ruta estatica hacia internet diferente, quizas el problema va por otro lado.

Algunas imagenes no vendrian mal para entender un poco mejor.
Defend Your Enterprise Network With Fortigate Next Generation Firewall

NSE4
NSE5
eecrs
Mensajes: 193
Registrado: 20 Dic 2011, 22:48

Re: Usar dons ISP difernte compañia

Mensaje por eecrs »

en las rutas tengo configurado para wan1 y wan2 en prioridad:2 y distancia:5, para hacer que el internet salga por la WAN 2 en la misma interface tengo que configurar distancia2, si funciona ya los usuarios salen por la wan2, pero mi problema es que quiero que mis VPN se mantengan en la Wan1 pero el problema es que salen por la wan2, ojala me puedan ayudar
No tiene los permisos requeridos para ver los archivos adjuntos a este mensaje.
Avatar de Usuario
gabyrossi
Mensajes: 10898
Registrado: 30 Oct 2007, 19:47

Re: Usar dons ISP difernte compañia

Mensaje por gabyrossi »

vamos de nuevo....

las wan tienen que tener la misma distancia. y le asignas una prioridad mas baja a la wan2 para que tu navegacion salga por esa wan.
las vpn estaran en la otra wan, y del otro lado de la vpn apuntaran a la (ip)wan coerrecta para que levante por wan1.
saludos.
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
eecrs
Mensajes: 193
Registrado: 20 Dic 2011, 22:48

Re: Usar dons ISP difernte compañia

Mensaje por eecrs »

asi es, le doy prioridad baja a la wan2 para que toda la navegacion sea por ahi, y las vpn apuntan a la wan1, pero el forti no conecta las vpn por la wan1 y no se puede lograr hacer mach con las vpn del otro lado
Avatar de Usuario
makco10
Mensajes: 1345
Registrado: 03 Jun 2011, 19:42
Ubicación: Honduras
Contactar:

Re: Usar dons ISP difernte compañia

Mensaje por makco10 »

cuando no tengas usuarios en la red intenta bajar la interface wan2 e intenta la conexion a tus VPN`s, si aun asi no te conecta el problema no es la wan2 si no un tema de configuracion de tus VPN`s posiblemente.

Saludos.
Defend Your Enterprise Network With Fortigate Next Generation Firewall

NSE4
NSE5
Avatar de Usuario
gabyrossi
Mensajes: 10898
Registrado: 30 Oct 2007, 19:47

Re: Usar dons ISP difernte compañia

Mensaje por gabyrossi »

hola, lo mas facil es cambiar en la phase1 de las vpn que andan/andaban por la wan que queres que funcionen y listo. del otro lado tocara apuntar en la vpn que andaba la nueva ip publica.

saludos
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
Responder