Dar conexion a internet a otros Fw´s

Para temas relacionados con el enrutamiento (estatico, basado en politicas, RIP, OSPF,...)
Responder
acallejo5
Mensajes: 53
Registrado: 23 Oct 2017, 18:26

Dar conexion a internet a otros Fw´s

Mensaje por acallejo5 »

buenas tardes;

Tengo que configurar 2 accesos para empresas externas con su Fw propio a traves del FortiGate 101E. Actualmemte tienen salida directa por el mismo proveedor que nosotros, estamos en el mismo direccionamiento (ip publica y el gw para internet es el mismo para todos)

Pero les tenemos q dar salida a traves de nosotros para monitorizar/controlar su trafico


Como prodria hacerlo de la manera mas rapida/simple?
Avatar de Usuario
makco10
Mensajes: 1345
Registrado: 03 Jun 2011, 19:42
Ubicación: Honduras
Contactar:

Re: Dar conexion a internet a otros Fw´s

Mensaje por makco10 »

Buenas tardes,

Es decir que tienes enlace de datos con estas empresas externas?, es que de otra forma no entiendo como seria, nos brindas un diagrama de este escenario.

Saludos.
Defend Your Enterprise Network With Fortigate Next Generation Firewall

NSE4
NSE5
acallejo5
Mensajes: 53
Registrado: 23 Oct 2017, 18:26

Re: Dar conexion a internet a otros Fw´s

Mensaje por acallejo5 »

Este es el esquema actual..
Capture.JPG

y quiero q los FW1 y Fw pasen a estar conectados a FW DCM para la salida a internet nada mas (q actualmente tienen directamente conectada) para poder controlar (priorizar/regular) su trafico de salida
No tiene los permisos requeridos para ver los archivos adjuntos a este mensaje.
Avatar de Usuario
makco10
Mensajes: 1345
Registrado: 03 Jun 2011, 19:42
Ubicación: Honduras
Contactar:

Re: Dar conexion a internet a otros Fw´s

Mensaje por makco10 »

Ok ahora si te entiendo, bien en tu caso tendrías que migrar hacia el fortigate las conexiones actuales (Usare como ejemplo las interfaces 10 y 11 de tu fortigate):

FW1 WAN --> Port 10 Fortigate
FW2 WAN --> Port 11 Fortigate

Escenario 1 conexion simple:
Una vez tengas la conexion antes mencionada debes crear el direccionamiento entre el Fortigate y cada FW, este direccionamiento seria el WAN interno por asi decirlo, asignales una ip privada con una subnet que no estes usando, podria ser 10.0.1.2/255.255.255.252 para el puerto 10 del fortigate y 10.0.0.3/255.255.255.252 para el puerto WAN de tu FW1 y luego lo mismo para el FW 2 con una subnet diferente en el puerto 11 del fortigate 10.0.2.2/255.255.255.252 y 10.0.2.3/255.255.255.252 para el puerto WAN de tu FW2, una vez tengas esta conexion puedes empezar a crear las diferentes politicas para cada FW, ejemplo:

Regla para FW1:
Port source: Port10
Port dest: WAN1 (Puerto que ya utilizas para la navegación hacia internet de tu fortigate)
Service: Any
Source add: all
Dest add: all
NAT: Enable

Regla para FW2
Port source: Port11
Port dest: WAN1 (Puerto que ya utilizas para la navegacion hacia internet de tu fortigate)
Service: Any
Source add: all
Dest add: all
NAT: Enable

Ahora tienes 2 opciones para manejar el trafico hacia internet de estos firewall con la misma interface de salida hacia internet que ya tiene tu Fortigate como lo hicimos anteriormente o agregar 2 conexiones mas para tener diferentes salidas hacia internet de cada firewall.

Practicamente necesitarias 2 puertos extras disponibles en tu fortigate y agregarias esta conexion desde tu equipo WAN 100 hacia el fortigate, en teoria podrias usar el mismo direccionamiento que ya utilizas para los FW1 y FW2 solamente que configurarias el direccionamiento en las interfaces del fortigate y luego la diferencia seria que en las politicas de cada FW el port destino ya no seria WAN1 si no el puerto designado para cada FW.

Nos avisas como te fue, saludos.
Defend Your Enterprise Network With Fortigate Next Generation Firewall

NSE4
NSE5
Responder