Norte con funcionamiento de VLAN's en Fortigate

[20deoctubre]

Buenas tardes
Les pido su ayuda para que me den norte en la creación de VLAN's en FortiGate. He leído ya la sección de VLAN's en el libro FortiGate CookBook que venía con mi equipo y además leí un artículo sobre VLAN's que encontré en internet (era oficial de FortiGate).

Mi requerimiento es el siguiente:
La red donde voy a implementar un FortiGate 1000C cuenta con 3 VLAN's: 101.40.4.0/24, 192.168.1.0/24 y 10.0.0.0/24. Estas VLAN's ya están creadas en el switch y están funcionando actualmente. Recientemente se compró un FortiGate y quieren implementarlo.

Se que se tienen que crear las VLAN's en el FortiGate en la sección de system/Network/Interface ahí hacer click en "create new" dar un nombre a la VLAN, escribir el segmento de red de la VLAN y el ID de la VLAN y listo ya están creadas. Además he creado políticas para comunicación entre las tres VLAN's (no se para que es necesario esto pero así lo dice en el libro que estoy leyendo) y políticas que va desde cada interface VLAN hacía la WAN 1 (que es por donde tengo salid a internet), DATO, estas políticas están con el NAT habilitiado.

Tengo un OmniSwitch 6250 de Alcate-Lucent el cual es capa 2+. Puedo hacer VLAN's y tener ruteo entre ellas tanto en capa dos como en capa 3. La VLAN 1 es la VLAN nativa, de semgento 101.40.4.0/24, y en esa VLAN está el puerto que conecta el switch (1/26)con el FortiGate 1000C (101.40.4.99/24). Además en las VLAN's 2 y 3 tengo taggeado el puerto (1/26, el cual es el puerto que conecta el Firewall con el Switch) con 802.1q para envíar información de las 3 VLAN's por el puerto 1/26.

No tengo internet ni en la VLAN 2 ni en la VLAN 3, tengo en la VLAN 1, pero cabe mencionar que la VLAN no está creada en el Firewall, el firewall tiene en la interface 1 (mgmt 1) la dirección IP 101.40.4.99. POr lo que no es necesario crear una VLAN para el mgmt 1 (o por lo menos eso supongo yo, ¿estoy equivocado?. En los ejemplos que leí del libro que mencione arriba, muestra la interfaz mgmt1 con una dirección ip diferente a todos los segmentos de red de la VLAN, pero hacer eso sería dejar fuera de red a un gran número de usuarios por eso no he querido hacer eso hasta no tener la seguridad de que fuincionará.

Como un último dato, cuando hago un arp -a en la vlan 10.0.0.0/24, alcanzo dos direcciones, la 10.0.0.1 que es la VLAN 3 en el switch la 10.0.0.254 que es la VLAN en el FortiGate, pero no logro hacer ping con 10.0.0.254 a pesar de que está habilidad.
He adjuntando una imagen para que me entiendan mejor, en el dibujo no inclui la VLAN 2 por cuestiones de simplificacion

Bueno, hice un texto muy largo espero que por ahi alguien me pueda echar la mano con esta duda...

Gracias por su tiempo gente
Saludos

[gabyrossi]

hola, y la polticia desde las vlan hacia el port internet estan nateadas?
si usas otro port libre y conectas directo una pc haciendo una politica naetada tenes internet?

saludos.

[cyberzork]

Hola buen día, mira yo tengo una necesidad semejante, crees que me puedas compartir como resolviste tu problemática, te lo agradeceré.
Saludos