Fortigate 80C aplicar nat a interfaz externa

[cadiaz]

Hola buenas a todos.

Tengo una fortigate 80C el cual está conectado (wan1) a un router Cisco que es el que le da salida hacia Internet, en el enlace entre el fortigate y el Cisco tenemos direccionamiento privado 192.168.1.0/28, la ruta por defecto apunta hacia el cisco.

En nuestro caso la interfaz hacia la red interna es la wan2, tenemos puesta las políticas necesarias aplicando nat, para que los usuarios puedan salir hacia internet con una ip pública, incluso también tenemos configurado la vpn cos ssl y funciona bien.

El problema está en que el desde el fortigate si enviamos un ping a cualquier dirección de internet, éste no llega, incluso una consecuencia de esto es que dentro del propio fortigate donde aparece la información sobre la licencia me pone: Registration Unreachable. Los demás servicios (Antivirus, Protección contra intrusos...etc, también aparecen como Unreachable).
Creemos que cuando se envia algo desde el propio fortigate sale con la ip privada de la interfaz wan1 y por eso no llega, hemos puesto una política que aplique nat para que salga con una ip pública, también se hizo un nat inverso, para que todo lo que llegue a esa pública lo mande a la privada de la interfaz wan1, pero por los visto no funciona. Es como si el propio firewall se saltace el nat.

Adjunto una captura de la política que he puesto.

De ante mano agradezco cualquier ayuda que me pueda brindar.

Un cordial saludo.

[gabyrossi]

hola, esas politicas no son necesarias... seguramente si aplcias la columna count no tienen trafico.

yo revisaria el cisco.

saludos

[cadiaz]

Hola.

Muchas gracias por tu pronta respuesta, no sé si sea por el cisco, lo curioso es que el tráfico de usuario si sale hacía internet sin ningun problema y con una ip pública, pero entiendo que es porque viene de entra por la interfaz wan2 y sale hacia internet por la interfaz wan1 (y en este caso si aplica el nat bien), por lo menos la política que tengo puesta para ese tráfico si está funcionando, lo que no entiendo es porqué no sale el tráfico que genera el propio firewall.

Miraré lo que me has dicho, a ver si puedo sacar algo.

Un saludo

[cadiaz]

Tienes razón..... no tienen tráfico

[cadiaz]

hola, esas politicas no son necesarias... seguramente si aplcias la columna count no tienen trafico.

yo revisaria el cisco.

saludos

Sabes si hay alguna forma de hacer nat a la interfaz externa??

Un saludo

[gabyrossi]

hola, a ver empecemos de nuevo.. porque no entiendo que necesitas hacer ahora...
tenes alguna grafico con ip y cableado?

saludos

[cadiaz]

hola, a ver empecemos de nuevo.. porque no entiendo que necesitas hacer ahora...
tenes alguna grafico con ip y cableado?

saludos

El esquema de red es el siguiente.

Esquema de red.jpg

Un saludo y muchas gracias por la respuesta que me puedas dar.

[gabyrossi]

hola... el fortigate no hace nat a ip publicas. Porque por lo que contas el fortigate solo maneja ip privadas.
EL QUE HACE NAT AHI SIEMPRE ES EL CISCO.
el fortigate en todas sus interfaces tiene ip privadas....

deberas revisar en el cisco....el cisco tiene interfaces en ip privadas para conectar con el fortigate y la otra interface ip publica para salir a internet
Ahi el nat lo hace el cisco
saludos

[cadiaz]

hola... el fortigate no hace nat a ip publicas. Porque por lo que contas el fortigate solo maneja ip privadas.
EL QUE HACE NAT AHI SIEMPRE ES EL CISCO.
el fortigate en todas sus interfaces tiene ip privadas....

deberas revisar en el cisco....el cisco tiene interfaces en ip privadas para conectar con el fortigate y la otra interface ip publica para salir a internet
Ahi el nat lo hace el cisco
saludos

El problema es que yo no tengo acceso a ese cisco por eso no puedo tocar nada ahí, mañana lo que voy a intenter es ponerle a la interface wan1(la que comunica con el cisco) una ip pública y como ip secundaria le pongo la que tiene actualmente, crees que podría funcionar??

Nosotros tenemos un rango muy pequeño de direcciones públicas y el cisco lo único que hace es anunciar ese rango y todo lo que llege con dirección destino ese rango, lo reenvia hacia el firewall y el nat para que los usuarios salgan a internet con una ip pública de nuestro rango como ip origen, se hace en el firwall.

Un saludo.

[gabyrossi]

hola, no va a funcionar.

necesitas o sacar el cisco, o quien lo maneje revisa el cisco.

slaudos