Hola a todos! Tengo un fw200b con el firmware v5.0,build0252. Cuando lo voy a conectar no permite que se acceda desde la red interna a ningún elemento fuera de la red; sin embargo ya se le puso el default route, los address y la política de acceso con nat. Cuando reviso las sesiones no me sale nada, cómo si el equipo no estuviera recibiendo tráfico, pero desde la red le puedo hacer ping y si hago tracert los saltos llegan hasta él y ya de allí no pasa nada.
Alguna sugerencia de algo que deba revisar o que deba tomar en cuenta?
Gracias por la orientación.
JLAR
Problema de conexion
Re: Problema de conexion
hola, cual es la interface interna? cual es ip ?
podrias mostras la politica?
desde el fortigate, por cli,... llegas por ping a otras ips fuera de tu red?
saludos.
podrias mostras la politica?
desde el fortigate, por cli,... llegas por ping a otras ips fuera de tu red?
saludos.
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
Re: Problema de conexion
Hola, les comparto la política existente. Esa es la única activa adicional a la de "Deny".
config firewall policy
edit 1
set srcintf "switch"
set dstintf "port15"
set srcaddr "all"
set dstaddr "all"
set action accept
set schedule "always"
set service "ALL"
set logtraffic all
set nat enable
next
end
La información de las rutas es la siguiente:
get router info routing-table all
Codes: K - kernel, C - connected, S - static, R - RIP, B - BGP
O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
* - candidate default
S* 0.0.0.0/0 [1/0] via F01.AAA.BBB.CCD, port15
C 192.168.---.YYY/24 is directly connected, switch
C F01.AAA.BBB.CCC/MM is directly connected, port15
Haciendo un debug flow consigo lo siguiente cuando intento acceder a google:
id=13 trace_id=68 msg="vd-root received a packet(proto=6, 192.168.---.YYZ:17158->72.21.81.253:80) from switch."
id=13 trace_id=68 msg="allocate a new session-0002d7e1"
id=13 trace_id=68 msg="find a route: gw-F01.AAA.BBB.CCD via port15"
id=13 trace_id=68 msg="use addr/intf hash, len=2"
id=13 trace_id=68 msg="Denied by forward policy check"
Desde el fw puedo hacerle ping a direcciones a lo interno como a lo externo de la red, pero desde la red sólo puedo hacer ping y los tracert llegan hasta él y después de él no pasan.
Saludos,
JLAR
config firewall policy
edit 1
set srcintf "switch"
set dstintf "port15"
set srcaddr "all"
set dstaddr "all"
set action accept
set schedule "always"
set service "ALL"
set logtraffic all
set nat enable
next
end
La información de las rutas es la siguiente:
get router info routing-table all
Codes: K - kernel, C - connected, S - static, R - RIP, B - BGP
O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
* - candidate default
S* 0.0.0.0/0 [1/0] via F01.AAA.BBB.CCD, port15
C 192.168.---.YYY/24 is directly connected, switch
C F01.AAA.BBB.CCC/MM is directly connected, port15
Haciendo un debug flow consigo lo siguiente cuando intento acceder a google:
id=13 trace_id=68 msg="vd-root received a packet(proto=6, 192.168.---.YYZ:17158->72.21.81.253:80) from switch."
id=13 trace_id=68 msg="allocate a new session-0002d7e1"
id=13 trace_id=68 msg="find a route: gw-F01.AAA.BBB.CCD via port15"
id=13 trace_id=68 msg="use addr/intf hash, len=2"
id=13 trace_id=68 msg="Denied by forward policy check"
Desde el fw puedo hacerle ping a direcciones a lo interno como a lo externo de la red, pero desde la red sólo puedo hacer ping y los tracert llegan hasta él y después de él no pasan.
Saludos,
JLAR
Re: Problema de conexion
hola, como estas?
si borras y creas nuevamente la politica?
que firmware tiene el equipo?
saludos.
si borras y creas nuevamente la politica?
que firmware tiene el equipo?
saludos.
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst