No hay conectividad entre Fortigates

[junquel]

Saludos a todos...

Tengo un detalle que quiero compartir con ustedes a ver si me pueden aportar ideas.

Tengo 2 sitios conectados vía enlace metropolitano. Los Fortigate están configurados para que dejen pasar todo el tráfico entre ellos. Las subredes detrás de cada sitio alcanzan sin problemas el otro extremo.
Es decir, conectividad Extremo a Extremo es 100% exitosa.

Sin embargo, desde cualquiera de los 2 Fortigate, no alcanzo a ninguna otra IP del otro extremo (usuarios y dispositivos).

Han leído algún topic aquí o saben a que se pueda presentar?
Saludos y Gracias!

[gabyrossi]

hola y como haces el ping?

execute ping-options source ---.---.---.--- (ip de la interface) interna
execute ping ---.---.---.--- (ip destino)

saludos

[jlfelipe]

Puedes poner el resultado de un tracert desde un usuario y desde los 2 fortis?

Saludos

[fstrier]

hola, estoy implementando una man y en cada extremo quise poner un FG en la misma subnet (FG1=a.b.c.1/24; FG2=a.b.c.2/24) y no logro que haya conectividad entre las redes. Inclusive simulo localmente la man mediante un cable que una los FGs y no pasa trafico. Le estoy errando conceptualmente?

[Felipe]

Buenas,

¿Los Fortis si se ven y conectan entre ellos?
Si se conectan entre ellos supongo que necesitarías crear una ruta estática en cada uno de ellos indicando la interfaz por la que están conectados, la subred interna que quieres que accedan y como gateway la dirección del otro Fortigate con distancia administrativa menor que cualquier otra ruta en esa misma interfaz. Además deberás crear las correspondientes reglas que sólo permitan el acceso a las IPs de los firewalls (usando NAT en las políticas de salida de la red interna).

Por otro lado no śe muy bien que quieres conseguir pero sería más seguro probablemente estableciendo una VPN entre los dos fortigates.

Saludos.

[fstrier]

No se ven los fortigate. Claro que voy a usar vpn, pero primero deberia lograr conectividad basica.

[fstrier]

Me cuesta creer que algo tan simple no funcione. Cuando los conecto mediante un switch, pongo una notebook en el segmento comun y logro pinguear ambos firewalls, pero entre ellos no hay comunicacion. Ademas, para acceder a la red del otro lado de cada firewall use al otro firewall como gateway para dicha red. Es la primera vez que utilizo FG como gateway de otra red, ya que habitualmente hay routers para acceder a otras redes, pero al ser una MAN las cosas son diferentes.

Supongo debo estar errando en algo tonto... hoy meto wireshark en el segmento común a ver si noto algo extraño. Cualquier idea es bienvenida!

[gabyrossi]

hola, tenes alguin diagrama de red para ver que es lo que intentas hacer?
y podes mostrar la config de las interfaces de los fortigate y rutas?

saludos.

[albertoavila77]

Saludos.
Tengo un problema con respecto a las rutas, tengo enrutamiento dinámico para una red privada metro-eth los fortigates se comunican bien veo los dos extremos de mi red sin problemas, el problema radica cuando hago ping desde la consola del fortigate claro responden los ping modificando el origen con el mencionado comando ping-options y todo perfecto pero para los efectos de logeo con hacia FORTYANALYZER, el equipo no le llega.

Que configuración adicional hará falta para tal fin.

[gabyrossi]

Hola, y el analyzer en que red esta? no llegas por ping?
se deberian por red privada?

saludos.

[albertoavila77]

Hola.
Si los equipos pertenecen a redes distintas, pero están comunicadas por rutas de forma normal, el problema es que el fortigate desde la consola no le llega al fortianalyzer, por ende no llegan los datagramas al equipo.

Todo funciona perfectamente solo los servicios de logs no funcionan, como lograr que este servicio utilice la ruta existente para llegarle a la red donde esta el fortianalyzer.

Como hacer para que el fortigate maneje las rutas existentes para los servicios nativos como los logs??

[gabyrossi]

hola, por ping no se ven?

que firmware tiene el fortigate y que firmware tiene el analyzer?

si haces en el analyzer un diagnose debug sniffer packet any "host x.x.x.x"

x.x.x.x es la ip de fortigate

no ves nada?

[albertoavila77]

Gracias por responder.
Si el equipo logea bien solo con los equipos que están interconectados por vpn.

Ahora bien acabamos de adquirir unos enlaces de datos metro-cobre.

tenemos lo siguiente:

192.168.x30.0/x >>>> 192.168.x.x >>>>>>> 192.168.x.x >> 192.168.x.x >>>>>> 192.168.x.x >>>>>>>> 192.168.x1.0 donde
red privada 1 externa forti 1 gat de datos 1 gat de datos 2 externa forti 2 red privada 2

Las politicas existentes in >>>> out y out >>> in para lograr la comunicación de las redes privadas.
Pero el problema esta desde externa forti 2 no le llega a ninguna ip de la red 1, solo hace pingsi le digo que el origen en la ip de la red 2.
Y lo que necesito es que el fortigate le llegue a la red 1 que es donde esta el fortianalyzer.

[gabyrossi]

hola, no se entiende muy bien..
parece ser un tema de ruteo...

tenes algun diagrama de red?

saludos