VPN Site to Site Fortigate NAT con Internet

[Mvasquez]

Buenas,
Tengo mis dudas cuento con 2 fortinet en VPN sitio a sitio,

Pero desde uno quiero que salga por internet desde el principal, ya que solo tengo enlace Nacional en un equipo y no internacional.

Se puede hacer esto?


Intente desde el Firewall principal, quitando NAT transversal en la VPN, en las politicas asignando NAT generando rutas y nada.

[gabyrossi]

hola, si podes.

* primero tienen que ser vpn en mdoo interface.
* las phase2 las redes deberian ser 0.0.0.0/0
* las politica con destino all
* en la surcursal que no tiene enlace internacional, deberas rutear todo (0.0.0.0/0) por la vpn, pero que llegue (ruta)al peer remoto por la wan para que arme a vpn.
* en la sucursal donde sale a internet, debe haber una politica anteada desde la interface vpn hacia la wan.


saludos.

[Mvasquez]

A OK queda claro, voy hacer pruebas. gracias!!

[Mvasquez]

Gaby va casi todo bien
pero quedo en la puerta de la interface del firewall


FGT40C # execute traceroute [Debes identificarte para poder ver enlaces.]

traceroute to [Debes identificarte para poder ver enlaces.] (64.233.186.94), 32 hops max, 72 byte packets

1 190.82.x.x 5.855 ms 5.401 ms 5.770 ms

[Mvasquez]

En la publica de mi tercer enlace con prioridad 3

[gabyrossi]

hola, no queda claro donde se queda el tracert?

tenes algun diagrama de red para ver?

saludos

[Mvasquez]

no cuento,
puedo resumir

FW200B
cuenta con 3 enlaces misma distancia y distina prioridad. en le tracert me resuelve por el 3er enlace
he agregado rutas estaticas pero no me deja salir el trafico por otros enlaces, pero no me resuelven.

[gabyrossi]

no te resuelven? un tema de dns?

[Mvasquez]

Código: Seleccionar todo

FGT40C # execute traceroute 8.8.8.8

traceroute to 8.8.8.8 (8.8.8.8), 32 hops max, 72 byte packets

 1  190.82.x.x  5.994 ms  5.520 ms  5.497 ms

 2  * * *

 3  * * *

 4  * * *
 

en mis interfaces del 200B

Código: Seleccionar todo

   port11 (Movistar)   190.82.x.x 255.255.255.248   Físico   PINGHTTPS
   
   port12   0.0.0.0 0.0.0.0   Físico   
   
   port13   0.0.0.0 0.0.0.0   Físico   
   
   port14   0.0.0.0 0.0.0.0   Físico   
   
   port15   0.0.0.0 0.0.0.0   Físico   
   
   port16   0.0.0.0 0.0.0.0   Físico   
   
   port1 (admin)   192.168.1.1 255.255.255.0   Físico   PINGHTTPSSSHHTTP
   
   port2 (Lan)   10.x.x.x 255.255.255.0   Físico   PINGHTTPSSSHSNMP
   
   port3   0.0.0.0 0.0.0.0   Físico   
   
   port4   0.0.0.0 0.0.0.0   Físico   
   
   port5   7.7.7.1 255.255.255.255   Físico   
   
   port6   7.7.7.3 255.255.255.255   Físico   
   
   port7   0.0.0.0 0.0.0.0   Físico   
   
   port8 (Movistar 100 MB)   186.103.1x.x 255.255.255.248   Físico   HTTPS
   
   port9 (CLARO)   200.27.x.x 255.255.255.0

Rutas estaticas

Código: Seleccionar todo

IP/Máscara       Gateway           Dispositivo Distancia Prioridad
0.0.0.0 0.0.0.0   200.27.x.x   port9      10   2
0.0.0.0 0.0.0.0   190.82.x.201   port11   10   5
0.0.0.0 0.0.0.0   186.103..x.x   port8      10   0

Red VPN  y Dispositivo
10.104.206.0 255.255.255.0      VPNRemota

[gabyrossi]

pero desde una pc???

[Mvasquez]

no aún no accedo a un equipo, es desde el firewall remoto 40C

[gabyrossi]

y nadie pede hacerte el tracert?

[Mvasquez]

Voy a probar y te cuento. gracias!!

[Mvasquez]

Hola,
buenas.

resumiendo.

Si fue posible,
Desde el firewall 40c
Se configuro la fase 2 con red de destino 0.0.0.0/0.0.0.0
Se generó una regla estatica de ruteo 0.0.0.0 hacia la VPN.

luego en el firewall principal
Se creo un politica desde la RED VPN hacia la interface de Internet,
en modo NAT y listo!!