¿Cómo ver dos segmentos de red (fuera del firewall y dentro)

[GoldFran]

Hola amigos.

Tengo un Forti40c con OS 5 pacht 5.

En mi casa tengo ahora mi oficina, así que "comparto" el espacio de red. Tengo un router de Movistar Fibra Contrend, este router sólo da servicio vía WIFI a los equipos de casa y por el ETH3 da servicio al Firewall que es donde está toda mi red de empresa.

La red WIF vía DHCP del router es 192.168.1.33 hasta 199
El Firewall se conecta a ETH3 del router con 192.168.1.100 en la WAN1

Dentro de mi red de empresa tras el router tengo todo 10.194.0.x siendo .254 el Firewall y .10 el servidor de dominio.

Si desde cualquier equipo de mi red de oficina intento acceder a los equipos con WIFI o al propio router, puedo hacerlo sin problemas, ya que en las rutas estáticas tengo configurada la ruta 192.168.1.0/24 con gateway 192.168.1.1 aunque creo que no sería ni necesario, aunque yo la tengo configurada de todas formas.

Si lo intento hacer a la inversa no puedo, no puedo ver ni hacer ping ni conectarme de los equipos WIFI a los de la oficina... He creado la regla de Firewall:

De WAN1 con direcciones 192.168.1.x a Internal con direcciones Internal, acepte todas las conexiones... Pero nada, no consigo que los equpos de fuera vean nada de la interna, no sé si es por el Fire o es cosa del otro router de Movistar.

Saludos!

[gabyrossi]

hola, vos deberia spoder hacer una ruta en el router de movistar que para ir a la red 10.194.0.x vaya por el 192.168.1.100 (ip wan del fortigate).

Si no es posible hacer eso, deberias probar de cargarle una ruta a cada pc ...


saludos.

[GoldFran]

hola, vos deberia spoder hacer una ruta en el router de movistar que para ir a la red 10.194.0.x vaya por el 192.168.1.100 (ip wan del fortigate).

Si no es posible hacer eso, deberias probar de cargarle una ruta a cada pc ...


saludos.

Hola amigo.

Precisamente es lo que hice de primeras en Routing -- Static Route:

Destination Subnet Mask Gateway Interface
10.194.0.0 255.255.255.0 192.168.1.100 eth3

En el Firewall tengo la política de todo lo que entre por WAN1 con rango de 192.168.1.x/24 vaya a Internal con todo ALL imagino que no hay que hacer nada más.

Pero no funciona, haciendo ping por ejemplo con mi iMac a un equipo de dentro de la red Forti:

iMac-de-Francisco:~ Fran$ ping 10.194.0.20
PING 10.194.0.20 (10.194.0.20): 56 data bytes
Request timeout for icmp_seq 0
Request timeout for icmp_seq 1
Request timeout for icmp_seq 2
Request timeout for icmp_seq 3
Request timeout for icmp_seq 4

Vamos, que por lo que veo sí encuentra el host pero no es capaz de llegar, tampoco por RDP

[gabyrossi]

hola, con un tracert que hace?

[GoldFran]

hola, con un tracert que hace?

Desde un equipo fuera de Firewall, es decir de una 192.168.1.x me da:

traceroute 10.194.0.20
traceroute to 10.194.0.20 (10.194.0.20), 64 hops max, 52 byte packets
1 192.168.1.1 (192.168.1.1) 0.923 ms 0.579 ms 2.846 ms
2 * * *
3 * * *
4 * * *
5 * * *
6 * * *

Encuentra por donde salir, en teoría encuentra la puerta de enlace .1.1 pero no sabe trazar saliendo de ahí interpreto esto...

En el Forti tengo:

En lan > routing > static routing:

192.168.1.0 255.255.255.0 192.168.1.1 wan1
10.194.0.0 255.255.255.0 0.0.0.0 internal

En cuanto a la política:

[Debes identificarte para poder ver enlaces.]

[Debes identificarte para poder ver enlaces.]

[panlactal]

Hola GoldFran, el modem movistar no tiene la IP 192.168.1.1?
podes postear las rutas del movistar (sin exponer las publicas).

Saludos.

[GoldFran]

Hola GoldFran, el modem movistar no tiene la IP 192.168.1.1?
podes postear las rutas del movistar (sin exponer las publicas).

Saludos.

Efectivamente la IP es la .1 que mencionas, que direccionamiento interno me dices que necesitas?

[panlactal]

y que rutas tenes configuradas en el router de movistar?

[GoldFran]

Hola chicos, sigo en las mismas... No consigo llegar de mi "Oficina" a mi red doméstica...

No sé si probar desde mi Linux un iptables para enrutar todo lo que salga de ese ordenador pueda ver la IP del router a través de la puerta de enlace predeterminada pero no sé que más hacer...

Ya he puesto las rutas del router en la configuración de rutas estáticas, no sé si está mal una regla de las que os he puesto, una política o un enrutamiento... A ver que me podéis contar.

[iescudero]

Buenas

Decime si es asi la topologia por favor:




Otra pregunta, vos podes ingresar al "Router Movistar" para hacer cambios?

Quizas ya lo hiciste, pero lo que hay que hacer, como dice gabyrossi mas arriba, es hacer un cambio en "Router Movistar" y agregarle una ruta que diga que todo lo que vaya a la 10.194.0.0/24 vaya hacia la 192.168.1.100, sino podes hacer eso, la otra que queda es agregar la ruta estatica en cada pc de la red 192.168.1.0/24. Si tienen Windows lo haces abriendo un CMD y poniendo C:\>ROUTE ADD 10.194.0.0 MASK 255.255.255.0 192.168.1.100.

Sino la otra que se me ocurre es publicar el servicio que necesites acceder desde la red 192.168.1.0/24 y que este en la red 10.194.0.0/24.

Saludos!

[gabyrossi]

Hola, lo que hizo "iescudero" es lo que se deberia hacer cuando se abre un post. diagrama de red, redes relaes o o ficticias si son publicas.
Siempre es dificil tratar de entender la topologia de alguien ya que no sabemos como esta configurada cada red.

bien!!!

saludos.

[GoldFran]

Buenas

Decime si es asi la topologia por favor:




Otra pregunta, vos podes ingresar al "Router Movistar" para hacer cambios?

Quizas ya lo hiciste, pero lo que hay que hacer, como dice gabyrossi mas arriba, es hacer un cambio en "Router Movistar" y agregarle una ruta que diga que todo lo que vaya a la 10.194.0.0/24 vaya hacia la 192.168.1.100, sino podes hacer eso, la otra que queda es agregar la ruta estatica en cada pc de la red 192.168.1.0/24. Si tienen Windows lo haces abriendo un CMD y poniendo C:\>ROUTE ADD 10.194.0.0 MASK 255.255.255.0 192.168.1.100.

Sino la otra que se me ocurre es publicar el servicio que necesites acceder desde la red 192.168.1.0/24 y que este en la red 10.194.0.0/24.

Saludos!

Sí, esa precisamente es la configuración a grandes rasgos de mi red, pensaba que tenía la topología subida, pero era en otro post, pero sí, es así. Gracias por el curro improvisado.

Me gustaría un poco repasar las rutas y los pasos así como las políticas del router, ahora a continuación a ver si lo puedo desglosar con capturas. Sí, puedo acceder al Contrend de Movistar. No he probado un route add pero es matar "moscas a cañonazos" porque si quiero con el móvil acceder a un recurso de la empresa, esto quizás no me valga

Este es el que yo tengo que pensaba que había colagado

[Debes identificarte para poder ver enlaces.]

[iescudero]

En terminos de conectividad, los dispositivos no saben como llegar a equipos que no esten dentro de su propio segmento de red, es decir, que no conocen el camino para llegar a una red que no sea la propia. Por eso, los equipos que esten en la red "wifi casa-hogar" 192.168.1.0/24 para ser mas exactos, no saben como llegar a la red 10.194.0.0/24.
Para solucionar este problema, los dispositivos cuentan con un gateway, el cual recibe las peticiones hacia redes remotas e intenta llegar a ellas. Entonces, si vos haces un ping a google por ejemplo, este paquete llega al router movistar primero y luego hacia el proximo salto con destino a google.
Para llegar a la red 10.194.0.0/24 usa el mismo procedimiento, es decir que desde una PC que este en la red hogar haces un ping hacia el host 10.194.0.10 va a llegar primero al router movistar y este tiene que saber cual es el proximo salto. Ahora bien, los proveedores de Internet no definen rutas especificas a sus equipos, sino que les cargan o entregan un default route, que seria 0.0.0.0/0 lo que indica que todo el trafico tiene que ir por el mismo camino.
Entonces, si no le cargas una ruta al router de movistar, va a sacar el trafico que intente llegar desde la red 192.168.1.0/24 hacia la red 10.194.0.0/24 por Internet, porque el router de Internet no tiene la red 10.194.0.0/24 directamente conectada.
Entonces, agregar una ruta a mano en el router movistar es la opcion mas simple que tenes, agregando luego en el fortigate una politica (sin natear) que sea de WAN1 (red 192.168.1.0/24) a internal (10.194.0.0/24). Y con esos dos cambios ya te deberian funcionar.
Se me ocurren otras formas de lograr que el servicio que tengas en la red 10.194.0.0/24 te funcione, pero me parece hacerlo complejo innecesariamente.

Ojala haya logrado explicarme bien,
Contanos como te fue.

Saludos!

[gabyrossi]

Hola, si la ruta en el router no esta o esta mal hecha no llegaras.
algo facil de hacer es crear una ruta en una pc para que lo pruebes...

[Debes identificarte para poder ver enlaces.]

saludos

[GoldFran]

Hola.

Gracias chicos, he salido por cuestiones de trabajo, mañana sin falta compruebo las rutas y os mostraré capturas a ver que pasa, lo de crear una ruta en los equipos miraré como se hace en OSX porque route add no va a valer. Os informaré