Lan de usuarios no ve segmento externo

Para temas relacionados con el enrutamiento (estatico, basado en politicas, RIP, OSPF,...)
Usernet
Mensajes: 10
Registrado: 05 Oct 2017, 17:04

Lan de usuarios no ve segmento externo

Mensaje por Usernet »

Hola me explico soy nuevo en fortinet y tengo el siguiente problema.
tengo un fortigate 100D y tengo una lan de servidores 192.168.0.x y una lan de usuarios 192.168.2.x lo que pasa es que necesito conectarme a un segmento de otra sucursal la 192.168.9.x para poder usar VNC, pero no puedo, desde la lan de servidores llego con ping al router Cisco rv082 de la sucursal, pero desde mi lan de usuarios no llego, lo raro es que tengo las mismas políticas tanto en servidores como en usuarios de ida y de vuelta.
Si alguien me pudiera orientar por que pasa esto?

dejo imágenes de las políticas.

Imagen
Imagen

las políticas de servidor a la sucursal sucre están de la misma manera.
Avatar de Usuario
makco10
Mensajes: 1345
Registrado: 03 Jun 2011, 19:42
Ubicación: Honduras
Contactar:

Re: Lan de usuarios no ve segmento externo

Mensaje por makco10 »

Hola,

Con la política solamente permites el trafico, si no tienes conectado la otra lan directamente a una interface del Fortigate tendrás que crear una ruta estática (ó en algunos casos una politica de ruteo) con la red de destino, de esta forma el Fortigate conocerá la ruta hacia donde enrutar los paquetes y de esta forma si utilizar las políticas que muestras.

Que versión de FortiOS utilizas?.

Saludos.
Defend Your Enterprise Network With Fortigate Next Generation Firewall

NSE4
NSE5
Usernet
Mensajes: 10
Registrado: 05 Oct 2017, 17:04

Re: Lan de usuarios no ve segmento externo

Mensaje por Usernet »

Hola makco gracias por responder, mira si tengo creada una ruta estática para que el foritgate sepa la ruta a la cual llegar es esta:

Imagen

la version de fortiOS es v5.4.1,build1064 (GA).

si necesitas algún otro dato me dices, de verdad que no entiendo por que ocurre esto estoy un poco estancado.
Avatar de Usuario
makco10
Mensajes: 1345
Registrado: 03 Jun 2011, 19:42
Ubicación: Honduras
Contactar:

Re: Lan de usuarios no ve segmento externo

Mensaje por makco10 »

Una forma simple seria creando una politica de ruteo y agregues el origen y destino, luego colocas la red/ip de la interface _sucre.

[Debes identificarte para poder ver enlaces.]

Desde la red usuarios realiza un tracert y muestranos hasta donde llega el paquete.

Saludos.
Defend Your Enterprise Network With Fortigate Next Generation Firewall

NSE4
NSE5
Usernet
Mensajes: 10
Registrado: 05 Oct 2017, 17:04

Re: Lan de usuarios no ve segmento externo

Mensaje por Usernet »

Makco cree la politica de ruteo mas o menos por lo que entendi no se si estara correcta es esta:

Imagen

y el tracert desde la red de usuario me dio esto:
Imagen

Realice una hacia el router cisco de la .9 y me dio el mismo resultado que puede ser?
Avatar de Usuario
makco10
Mensajes: 1345
Registrado: 03 Jun 2011, 19:42
Ubicación: Honduras
Contactar:

Re: Lan de usuarios no ve segmento externo

Mensaje por makco10 »

ok creaste una politica de ruteo, en el outgoing interface colocaste wan1, esa interface tiene configurada una ip de la red 192.168.2.x? porque veo que le colocaste una ip de la red 192.168.0.x en teoria tendrias que colocarte el gtw de la red 192.168.2.x.
Defend Your Enterprise Network With Fortigate Next Generation Firewall

NSE4
NSE5
Usernet
Mensajes: 10
Registrado: 05 Oct 2017, 17:04

Re: Lan de usuarios no ve segmento externo

Mensaje por Usernet »

hola makco así lo hice coloque el gateway de la 192.168.2.x pero nada todavía.
Avatar de Usuario
makco10
Mensajes: 1345
Registrado: 03 Jun 2011, 19:42
Ubicación: Honduras
Contactar:

Re: Lan de usuarios no ve segmento externo

Mensaje por makco10 »

talvez realizas un diagrama y lo compartes para darte alguna otra recomendación.
Defend Your Enterprise Network With Fortigate Next Generation Firewall

NSE4
NSE5
moler
Mensajes: 60
Registrado: 27 Abr 2015, 01:45

Re: Lan de usuarios no ve segmento externo

Mensaje por moler »

yo creo que lo que necesitas son politicas y rutas, si eso esta lo que tendrias que hacer, para mi, es.

Por CLI, ejecutar lo siguiente "diagnose sniffer packet any 'host alguna ip que responda del otro lado' 4

Haces el ping y ves si te llega al forti, porque interfaz llega y por cual sale, si es que sale...si sale y por la interfaz correcta...ya no tienes que ver nada en el forti. Si llega al forti y no sale por ninguna interfaz, ahi tendrias que hacer un debug para ver con que te esta macheando (politica, ruta).

Yo no creo que tengas que hacer ruteo por politica. Si las redes no son del mismo segmento que las interfaces con ruteo estatico alcanza, eso si, asegurate de que tus "gateways" se vean desde el firewall sino es lo mismo que nada, la ruta estara configurada pero no activa.

Con un diagrama creo que sera mas claro poder ayudarte.
Usernet
Mensajes: 10
Registrado: 05 Oct 2017, 17:04

Re: Lan de usuarios no ve segmento externo

Mensaje por Usernet »

Este es el diagrama a grandes rasgos:
Imagen

con respecto al diagnose el resultado fue este:

Imagen

no responde, claramente no esta llegando lo raro es que la vpn esta UP y desde SUCRE se pueden comunicar con el servidor perfectamente, las políticas agregadas tanto en el fortigate como en el cisco esta exactamente iguales replicadas en ambos lados de ida y vuelta.

Le llevo dando vuelta a este asunto demasiado tiempo y todavía no encuentro una respuesta al problema si necesitan algún dato mas no duden en consultar.

muchas gracias
moler
Mensajes: 60
Registrado: 27 Abr 2015, 01:45

Re: Lan de usuarios no ve segmento externo

Mensaje por moler »

Mientras corrias el diagnose estabas generando trafico, no ?
Si el trafico lo generaste desde 192.168.0.x hacia la 192.168.9.254 y no lo ves en el firewall, tienes un problema entre esa LAN y el Forti.
Esa VPN que figura en el diagrama es una vpn SITE to SITE desde el forti al router? Si es asi, tienes la ruta de la red 192.168.9.x hacia el device "VPN que esta configurada"?.
Usernet
Mensajes: 10
Registrado: 05 Oct 2017, 17:04

Re: Lan de usuarios no ve segmento externo

Mensaje por Usernet »

Así es la red mantiene trafico todo el día, la VPN es site to site desde el Forigate 100d hacia un CISCO RV082 y si como te digo la VPN funciona pero solo para el segmento de servidores, en SUCRE que es la 192.168.9.X pueden ingresar hacia el servidor .0, desde la central también puedo hacer ping desde la 192.168.0.X hacia el segmento .9, el problema esta con la red de usuarios la .2 puesto que no se puede hacer ping ni utilizar VNC ya que no logra ver la .9 esto es el problema ya que no me explico el por que de esto, puesto que tanto la .2 como la .0 mantiene las mismas configuraciones y políticas en fortigate.
Avatar de Usuario
makco10
Mensajes: 1345
Registrado: 03 Jun 2011, 19:42
Ubicación: Honduras
Contactar:

Re: Lan de usuarios no ve segmento externo

Mensaje por makco10 »

Excelente diagrama, tengo mis dudas con el router antes del fortigate en Huechuraba, es un cisco?, tienes las rutas agregadas en este equipo?.

Saludos.
Defend Your Enterprise Network With Fortigate Next Generation Firewall

NSE4
NSE5
moler
Mensajes: 60
Registrado: 27 Abr 2015, 01:45

Re: Lan de usuarios no ve segmento externo

Mensaje por moler »

Ah, ahora si. Bueno, veamos entonces.
En el fortigate, la red 192.168.2 y l a.0 se conocen por el mismo puerto y gateway ?.
Porque si en el diagnose que hiciste el trafico lo generaste de la .2 y no viste nada, tenes que revisar en los saltos entre la pc y el forti que se conozca la .9 hacia el forti.
Usernet
Mensajes: 10
Registrado: 05 Oct 2017, 17:04

Re: Lan de usuarios no ve segmento externo

Mensaje por Usernet »

makco10 escribió: 01 Nov 2017, 00:47 Excelente diagrama, tengo mis dudas con el router antes del fortigate en Huechuraba, es un cisco?, tienes las rutas agregadas en este equipo?.

Saludos.
si estimado están la rutas agregadas en ese router.
Responder