Problemas al enrutar las VPN por la WAN2

[albertoavila77]

Buen día compañeros del foro, el presente post es para solicitarles ayuda con el siguiente requerimiento que se me presento, les explico.

Normalmente tengo configuradas 12 VPN's IPSEC entre un Fortigate 200A sede principal y 12 Fortigates 60 sedes remotas, el el 200A salimos a Internet por la WAN1 con Internet dedicado frame relay con IP's fijas, en las sedes tenemos contratados servicios de ABA con direcciones dinámicas.

El problema que se me presenta es el siguiente recientemente adquirimos un servicio de datos dedicado del tipo PVC sin acceso a Internet algo así como una VPN pero por el proveedor, las conexiones se presentan como sigue a continuación:

SEDE PRINCIPAL
200A(WAN2)192.168.14.2/23>>>>>ROUTER(GATEWAY)192.168.14.1/23>>>>NUBE FRAME RELAY >>>>>>>ROUTER(GATEWAY)REM192.168.42.1/23>>>>192.168.42.2/23WAN2-FGT60 SEDE REMOTA

Esperando se entienda el esquema de conexión les explico que es lo que queremos hacer:

1-. Lógicamente necesitamos enrutar el trafico de las VPN que antes iba por el Internet (WAN1) ahora por las WAN2 de forma predeterminada pero que si en algún momento falla la conexión PVC volver a enrutar las VPN por la WAN1, cabe destacar que la conexión de Internet queda por la WAN1 que es la ruta por defecto.

2-. Sabemos que solo tendremos redundancia de las VPN pero no de las conexiones de Internet ya que solo tendremos solo una de las WAN para tal fin WAN1, ¿esto es posible?, se puede lograr tipo failover (automático) o manual.

3-. Si bien es cierto que cuando tenemos Internet es mejor y mas seguro implementar VPN's cuando tenemos este tipo de conexión de datos dedicada privada sin pasar por la nube de Internet ¿Al aplicar VPN's sobre estas conexiones no estaríamos redundando puesto que ya son seguras? es por ello que les hago la siguiente pregunta puedo enrutar este tráfico con enrutamiento puro sin VPN's? , ¿ Que hay de cierto que en este tipo de conexiones el encriptamiento de las VPN baja el performance de la conexión?

4-. Por último ¿cual sería la mejor opción, la mas practica y funcional, y la que le saque mejor provecho a este tipo de conexiones punto a punto?

Si me pueden ayudar en este caso estaré enormemente agradecido ya que se me a hecho un difícil entender como funciona el enrutamiento en los fortigate aunque es muy similar que en otros equipos he intentado ciertas configuraciones sin ningún resultado satisfactorio, rutas estáticas y políticas de enrutamiento.

Gracias de antemano...

[gabyrossi]

Esta bien pensando, el tema es poner la misma distancia para que salgan con policys routes hacia las punto a punto y no por las vpn's.
tendras que cambiar la prioridad de la wan 2 para que sea principal y hacer policys routes para que internet siga saliendo por la wan1.
por lo que veo el que sabe como llegar al otro lado es"192.168.14.1/23" asique todas las policy routes deberian tener cmo gw ese router.

las otras vpn quedaran para redundancia.

hay que hacer cambios y porbar.
recomiendo que hagas algun entorno de prueba y hagas todo lo necesario pars luego replicar lo mismo en los demas lugares.

saludos
Gabriel

[albertoavila77]

Gracias Gabriel por tu ayuda, pero efectivamente ya realice todas las pruebas que se me ocurrieron y de verdad quedo con mas dudas que respuestas, te explico intente con VPN ya que las conozco un poco mejor y lo veo mas fácil, entonces cree las respectivas vpn en ambos equipos y configure las siguientes rutas para que se pudieran ver ambos equipos:

1-. En Sede central configure una ruta estática de la siguiente forma 192.168.42.0/255.255.254.0 gw192.168.14.1 INT wan2 distancia 10, con esta ruta logro llegarle a la WAN2 del equipo remoto1(60) que tiene la ip en la WAN2 que sigue 192.168.42.2, esto lo hace perfectamente.

2-. En Sede remota1 configure una ruta estática de la siguiente forma 192.168.14.0/255.255.254.0 gw192.168.42.1 INT wan2 distancia 10, con esta ruta logro llegarle a la WAN2 del equipo principal (200A) que tiene la ip en la WAN2 que sigue 192.168.14.2, esto también lo hace lo hace perfectamente.

Hasta aquí todo bien sube el túnel y todo lo demás pero los paquetes no logran llegar de una red a otra.

para esto probé lo siguiente cree una política de routing en el 200A de la siguiente forma por ejemplo: nº1 internal >> wan2 orig 192.168.10.0 / 255.255.254.0 Dest 192.168.74.0 / 255.255.255.0 saliendo por la wan2 lógicamente y con el gw respectivo 192.168.14.1.

Lo mismo configure del lado remoto equipo 60 nº1 internal >> wan2 orig 192.168.74.0 / 255.255.254.0 Dest 192.168.10.0 / 255.255.254.0 saliendo por la wan2 lógicamente y con el gw respectivo 192.168.42.1.

después de esto nada que estoy haciendo mal? como te explique anteriormente con lo menos que he trabajado en los fortigate es con políticas de enrutamiento, de verdad necesito ayuda con este tema ¿me podrías apoyan en cuanto a la documentación acertada que me hable sobre este tema, algunos ejemplos, etc, de verdad ya estoy que tiro la toalla, otra cosa no puedo inventar mucho ya que los equipos están en producción.

Gracias por el apoyo nuevamente.

[gabyrossi]

hola, que prioridad tiene la wan1 y la wan2? o mejor dicho las rutas estaticas de salida a internet de la wan1 y wan 2?

saludos

Gabriel

[albertoavila77]

hola de verdad aquí es donde empiezan mis dudas es que no he logrado entender como se manejan estos parámetros en el fortigate, pero estos son los que tengo configurados:

edit 1

set device "wan1"

set gateway ---.134.180.---

next

edit 2

set device "wan2"

set dst 192.168.42.0 255.255.254.0

set gateway 192.168.14.1

next

edit 3

set device "wan2"

set dst 192.168.72.0 255.255.255.0

set gateway 192.168.14.1

next

edit 4

set device "wan2"

set dst 192.168.14.0 255.255.255.0

set gateway 192.168.14.1

next

end

[albertoavila77]

Hola lo anterior es lo que tengo configurado en las rutas estáticas, pero no logro ver como priorizar, ya me estoy leyendo el manual porque según veo se hace por el cli, de verdad seria de gran ayuda alguna documentación un poco para principiantes sobre este tema a ver si logro descifrar la forma en que esto trabaja.

Gracias.

[gabyrossi]

Hola, como estas? si se hace por cli.
si tenes una wan con ip estatica se hace por cli, en config route estatic , editando la ruta estatica que sale a internet por esa wan. y si le pones prioridad 0 va a ser la principal y a la otra ruta o wan le pones 2 va a ser la secundaria.
si fuese dhcp o ppop la wan, se hace en la interface por cli tambien, en config system interface, editrando la interface en cuestion.

te dejo unos link interesante para leer:
[Debes identificarte para poder ver enlaces.]

[Debes identificarte para poder ver enlaces.]

saludos
Gabriel

[albertoavila77]

Buenas tardes Gabriel, siguiendo aquí con este último post gracias a la documentación que me comentaste que ya la había consultado anteriormente, logre solucionar en cierta medida el problema que tenia sobre el enrutamiento de las VPN por la WAN2 trabajando con Frame Relay, esto lo logre configurando rutas estáticas primero una ruta para lograr llegarle a el fortigate remoto directamente a la WAN2 y luego la ruta estática que va a forzar el tráfico de la red remota por la WAN2, hasta aquí todo bien me funcionan bien los túneles y todo pero al parecer la VPN como tal desmejora el rendimiento de la red.

Lo que necesito saber es como hago para poder enrutar mis paquetes solo usando la red punto a punto sin utilizar VPN, intente cantidad de configuraciones, pero al parecer el problema lo tengo es con los gateway me explico, lo que quiero es poder conectar dos redes privadas vía frame relay sin utilizar VPN ya que esta red ya es privada en si pregunto se puede lograr esto tal cual como se hace con las VPN pero en ves de configurar la política como encriptada IPSEC solo sea Lan to Lan.
Con todas las pruebas que realice creo saber cual puede ser el problema pero no logro darle forma con las configuraciones del fortinet lo siguiente s algo de lo que tengo configurado

SEDE PRINCIPAL

FG200ALan192.168.30.1/23>>>(WAN2)192.168.14.2/23>>>>>ROUTER(GATEWAY)192.168.14.1/23>>>>NUBE FRAME RELAY >>>>>>>ROUTER(GATEWAY)REM192.168.42.1/23>>>>192.168.42.2/23WAN2>>>>Lan192.168.50.1/23-FGT60 SEDE REMOTA

Ok creo que con esto esta un poco mas clara la situación lo que quiero lograr es conectar 2 redes privadas mediante la conexión PVC que adquirimos pero sin usar VPN.

¿Como logro decirle a el fortigate que para que el pueda llegarle a una red internal entrandole por la wanx este sepa que la mejor ruta es la ip de la wan2 remota? ya que cuando yo configuro mi ruta estática le digo que salga por el gateway del router que quien conoce la via para llegarle a el otro firewall pero el propio firewall es quien conoce la ruta para llegarle a cualquier otra interfaz bien sea wan2>>>>internal, wan2>>>dmz, etc?

No se que estoy haciendo mal yo he configurado mis rutas de la siguiente forma:

0.0.0.0/0.0.0.0 ---.---.---.--- wan1 10
192.168.72.2/255.255.255.255 192.168.14.1 wan2 11
192.168.74.0/255.255.254.0 192.168.14.1 wan2 12
192.168.42.2/255.255.255.255 192.168.14.1 wan2 11
192.168.50.0/255.255.254.0 192.168.14.1 wan2 12

Con esta política en particular 192.168.42.2/255.255.255.255 192.168.14.1 wan2 11 le llego le llego a el firewall remoto1 sin problemas, como es notable quien conoce esta ruta es 192.168.14.1, pero quien me enrutara los paquetes a la Lan internal 192.168.50.1/23 es 192.168.42.2/255.255.254.0 quien va ser mi gateway para los paquetes que van a transitan entre la wan2 y la lan interna en este caso cierto?
Ahora bien ¿como le digo a mi firewall principal 200A que para llegarle a la red 192.168.50.1/23 que es la remota, que tiene que preguntarle a 192.168.42.2/255.255.254.0 para poder lograrlo?

De verdad intente todo lo que mi conocimiento y la documentación a la mano me permitió pero hasta ahora no logre mi cometido, de verdad le agradezco todo el interés y el tiempo invertido en mi problema, espero que con esta información pueda entender el problema que se me presenta.

Gracias......

[gabyrossi]

hola, que tal?
Por lo que veo los que saben llegar de una red a otra, o por lo menos saben que redes tienen atras son los router.
Asiqe siempre tus gw seran ellos.
si tenes control sobre esos router habra que ver si faltan rutas para llegar desde una red interna a otra.

saludos
Gabriel

[albertoavila77]

Buen día lo que necesito hacer es que con una sola ip públuca puedan responder varios servidores distintos con servicios distintos esto solo con una ip pública.

esto es lo que quiero:

ip pública: 1.1.1.1 ip virtual a 10.10.10.2 http y dns

ip pública: 1.1.1.1 ip virtual a 10.10.10.3 smtp y pop, http y https.

me dice que la ip esta duplicada.

y si coloco un rango de la lan tambien forza a un rango de la wan.

esto es lo que no entiendo.

Gracias.

[gabyrossi]

hola, si lo que necesiats haces siempre es con la misma ip
neecsitaras hacerlo con diferentes puertos (externos) cuando quieras abrir el mismo puerto destino,

saludos

[garda]

No se puede hacer vip por el mismo puerto a dos direcciones internas diferentes

Tu ejemplo

ip pública: 1.1.1.1 ip virtual a 10.10.10.2 http y dns

ip pública: 1.1.1.1 ip virtual a 10.10.10.3 smtp y pop, http y https.


Piénsalo un poco?¿?¿?¿?¿?

Te funcionaría si quitaras un http de cualquiera de las dos entradas, por ejemplo

ip pública: 1.1.1.1 ip virtual a 10.10.10.2 dns

ip pública: 1.1.1.1 ip virtual a 10.10.10.3 smtp y pop, http y https.

o si lo prefieres

ip pública: 1.1.1.1 ip virtual a 10.10.10.2 http y dns

ip pública: 1.1.1.1 ip virtual a 10.10.10.3 smtp, pop y https.

O si lo prefieres, hacer lo que dice gaby, recibir por un puerto externo diferente (tcp/79) , pero redirigirlo al http

Espero haberte ayudado