FW con varias WAN

Para temas relacionados con el enrutamiento (estatico, basado en politicas, RIP, OSPF,...)
Responder
cesar1978
Mensajes: 8
Registrado: 06 Abr 2016, 18:17

FW con varias WAN

Mensaje por cesar1978 »

Buenos dias,
estoy trabajando con un fortigate 200D y no se como configurar las WAN.
Os describo un poco como lo tengo configurado:
Tengo varias LAN, DMZ y WANs.
El problema es cuando configuras las Interfaces WAN, no puedes ponerle cual es el Default Gateway de cada Interface. Asi que lo unico que he hecho es definir las Interfaces con una IP.
En las rutas he puesto una Ruta por Defecto 0.0.0.0 0.0.0.0 para que todo el trafico de navegacion salga por una interface y ahi si que puedes poner el Default Gateway.
Tengo un grupo de usuarios que necesitan salir por otra interface WAN por lo que he creado "Policy Routes" de tal manera que una Red de origen pueda salir por otra WAN y ahi tambien me deja poner cual es el DG.

Ahora el problema es el siguiente. Quiero montar una VPN por otra interface WAN. Al no tener Default Gateway, desde otro equipo con una IP dentro del mismo rango publico si que puedo hacer un ping al Fortigate por que estan en la misma red: Pero si le hago un ping a la IP publica del FW Fortigate no responde por que no tiene DG y no se como definirlo. En definitiva no tiene una ruta de vuelta.
cesar1978
Mensajes: 8
Registrado: 06 Abr 2016, 18:17

Re: FW con varias WAN

Mensaje por cesar1978 »

Alguien me puede ayudar, please
And.quijada
Mensajes: 108
Registrado: 13 Sep 2015, 15:28
Ubicación: Venezuela
Contactar:

Re: FW con varias WAN

Mensaje por And.quijada »

Saludos amigo.

Todos los enlaces deben tener una ruta estática si tienen ip fija si es por dhcp no hace falta. Si quieres tenerlos todos vivos, es decir que puedan responder desde afuera debes colocarlo una ruta por cada uno con la misma distancia de esta forma todas las rutas estarán en la tabla de enrutamiento. Si no lo quieres usar para balanceo coloca una prioridad mas alta. Por defecto cuando haces rutas tienen distancia 10 prioridad 0

Si colocas por ejemplo.
Enlace 1
0.0.0.0/0
Wan1
Dg x.x.x.x
Distancia 10
Prioridad 0

Enlace 2
0.0.0.0/0
Wan1
Dg x.x.x.x
Distancia 10
Prioridad 1

Ambos van a estar vivos y los veras en la tabla de enrutamiento y los puedes usar para las vpn, pero hacia Internet solo saldrá por el enlace 1 y si este se cae se va por el 2. Claro debes tener las políticas que permitan eso.

Saludos












Enlace 2
Anderson Quijada
NSE 4 - Fortinet Network Security Professional
Cisco CCNA Routing & Switching
MCSA 2012 Server Administrator
DavidMar
Mensajes: 2
Registrado: 30 Nov 2016, 12:22

Re: FW con varias WAN

Mensaje por DavidMar »

Se que el mensaje es antiguo pero a lo mejor en este tipo de casos lo que te pasa es como a mi. En la doc de Forti aparecen siempre casos sencillos con una red local y dos accesos wan. En estos casos jugando con pesos y distancias, y una o dos politicas de enrutamiento vale.
Pero mi caso era como lo que comentas, tengo 6 segmentos de red definidos y dos interfaces wan, ademas rutas estaticas a otras redes.
Mi objetivo era que algunos segmentos saliesen por el wan1 y otros por el wan2. Sin balanceos ni alta disponibilidad.
Al añadir el segundo enlace wan y ponerle el mismo peso y distancia empezaba a balancear con lo que la mitad de las veces no se establecia conexion.

Al añadir la politica de enrutamiento como dice la doc. te sustituye cualquier ruta estatica previa y me redirigia TODO el trafico por el gw definido en dicha politica.
Al final encontre un foro donde explicaba el proceso de enrutado en forti y aclaraba que las politicas de enrutado se hacen en la fase de PRE-routing.
En resumen, tuve que añadir el equivalente a las rutas estaticas a las politicas de enrutado por cada segmento local, y la ultima politica de cada segmento era la de dg que apuntaba al puerto wan que queria.
Por ejemplo:
politicas:
de puerto8 a dir-segmento1 puerto 9
de puerto8 a dir segmento2 puerto10
de puerto8 a 0.0.0.0/0 wan1

de puerto9 a dir-segmento3 puerto8
de puerto9 a dir segmento2 puerto10
de puerto9 a 0.0.0.0/0 wan2

de puerto10 a dir segmento1 puerto9
de puerto10 a dir segmento3 puerto8
de puerto10 a 0.0.0.0/0 wan1
Avatar de Usuario
gabyrossi
Mensajes: 10899
Registrado: 30 Oct 2007, 19:47

Re: FW con varias WAN

Mensaje por gabyrossi »

Holas, asi es.. asi debe ser para no perder comunicacion con las demas redes internar si es que las necesitas.
saludos.
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
Responder