VPN SITE TO SITE MODO INTERFACE

[sarietti]

Bueno por fin pude encontrar la solución, estaba en la documentación bien escondida, espero que les sirva a los que tienen el mismo problema:
[Debes identificarte para poder ver enlaces.]

El source-ip del trafico originado por el forti se puede configurar diferente para cada servicio (SNMP, FSSO, Email Alert, FortiManager, FortiAnalyzer, etc) todo lo que queremos alcanzar.

Saludos.

[gabyrossi]

hola,- PING-OPTIONS SOURCE "IP-INTERFACE-LAN" - se ua en el fortigate, ya que tenes muchas interfaces y tenes que indicarle en cual te posicionas.
Otro cosa diferente es si no llegas desde una pc en la lan.

saludos.

[sarietti]

Hola Gaby, desde ya te agradezco siempre por la buena disposición y la ayuda, pero en este caso no estas entendiendo cual era el problema original.
Fíjate que esta explicado varias veces, y la solución es la que puse mas arriba.
Saludos.

[gabyrossi]

Hola, lo que no se entendio es donde configuraste eso en la vpn ?

en algo normal no es necesario salvo que tengas ip se cundarias en las interfaces, o algo asi

saludos.

[sarietti]

Hola, lo que no se entendio es donde configuraste eso en la vpn ?

en algo normal no es necesario salvo que tengas ip se cundarias en las interfaces, o algo asi

saludos.

Es algo que por lo menos a mi solo me sucedió en equipos 60C conectados mediante VPN Site to Site.
El trafico originado por el mismo equipo sale bien ruteado pero con source-IP la IP del enlace WAN, cuando deberia sacarlo con la IP de la interface LAN.

Te copio parte de la documentación para que entiendas cual es el problema y la solución, fíjate que todos teníamos exactamente el mismo problema, algunos queriendo alcanzar Fortimanager, otros FortiAnalyzer y otros servidores SMTP, SNMP.
Doy fe de que esta es la única solución posible.

On the FortiGate unit, there are a number of protocols and traffic that is specific to the internal workings of FortiOS. For many of these traffic sources, you can identify a specific port/IP address for this self-originating traffic. The following traffic can be configured to a specific port/IP address:
• SNMP
• Syslog
• alert email
• FortiManager connection IP
• FortiGuard services
• FortiAnalyzer logging
• NTP
• DNS
• Authorization requests such as RADIUS
• FSAE
Configuration of these services is performed in the CLI. In each instance, there is a command set source-ip. For example, to set the source IP of NTP to be on the DMZ1 port with an IP of 192.168.4.5, the commands are:
config system ntp
set ntpsyn enable
set syncinterval 5
set source-ip 192.168.4.5
end
To see which services are configured with source-ip settings, use the get command:
get system source-ip status
The output will appear similar to the sample below:
NTP: x.x.x.x
DNS: x.x.x.x
SNMP: x.x.x.x
Central Management: x.x.x.x
FortiGuard Updates (AV/IPS): x.x.x.x
FortiGuard Queries (WebFilter/SpamFilter): x.x.x.x

[gabyrossi]

hola, pero seguis sin responder lo que te pregunte.... , lo que copias ya lo se y ya lo habias mostrado en el post anterior.

yo te pregunto que fue lo que hiciste vos en la vpn, para que todos sepamos.

saludos.

[sarietti]

En la VPN nada, estaba perfecta, no era problema de la VPN ni de las rutas estáticas.

Lo que hace la VPN, a pesar de estar bien configurada, es generar esta situación, ya que el trafico generado por el forti debe salir por el tunel y por alguna razon elije el source-ip de la wan. Y vuelvo a repetir, es algo que me pasa en los 60C o 60D que tienen site-to-site y, por ejemplo, no en los 300C que tienen site-to-site. Es una suma de ese hardware con estas configuraciones site-to-site.

[gabyrossi]

Hola, cuando hagas ping desde el fortigate, siempre le tenes que indicar por que interface te vas a posicionar para luego salir por esa interface y elegira la ruta que tenga.
Si no siempre usara la wan que es su ruta default generalmente.

Mas cuan do un firewall tiene muchas interfaces. SI queres hacer ping tendras que indicarle en que interfaces te vas a "parar" para que el sepa por donde tendra que ir y tomar las rutas correspondientes.

saludos,

[sarietti]

Hola, cuando hagas ping desde el fortigate, siempre le tenes que indicar por que interface te vas a posicionar para luego salir por esa interface y elegira la ruta que tenga.
Si no siempre usara la wan que es su ruta default generalmente.

Mas cuan do un firewall tiene muchas interfaces. SI queres hacer ping tendras que indicarle en que interfaces te vas a "parar" para que el sepa por donde tendra que ir y tomar las rutas correspondientes.

saludos,

Esta bien Gaby, pero no estas leyendo bien cual era el problema, el tema no era hacer PING, que se soluciona temporalmente con el ping-options, el problema era comunicarse con un SMTP para enviar alertas, comunicarse con un FortiManager, FortiAnalyzer, etc.