Lan de usuarios no ve segmento externo

[Usernet]

Hola me explico soy nuevo en fortinet y tengo el siguiente problema.
tengo un fortigate 100D y tengo una lan de servidores 192.168.0.x y una lan de usuarios 192.168.2.x lo que pasa es que necesito conectarme a un segmento de otra sucursal la 192.168.9.x para poder usar VNC, pero no puedo, desde la lan de servidores llego con ping al router Cisco rv082 de la sucursal, pero desde mi lan de usuarios no llego, lo raro es que tengo las mismas políticas tanto en servidores como en usuarios de ida y de vuelta.
Si alguien me pudiera orientar por que pasa esto?

dejo imágenes de las políticas.




las políticas de servidor a la sucursal sucre están de la misma manera.

[makco10]

Hola,

Con la política solamente permites el trafico, si no tienes conectado la otra lan directamente a una interface del Fortigate tendrás que crear una ruta estática (ó en algunos casos una politica de ruteo) con la red de destino, de esta forma el Fortigate conocerá la ruta hacia donde enrutar los paquetes y de esta forma si utilizar las políticas que muestras.

Que versión de FortiOS utilizas?.

Saludos.

[Usernet]

Hola makco gracias por responder, mira si tengo creada una ruta estática para que el foritgate sepa la ruta a la cual llegar es esta:



la version de fortiOS es v5.4.1,build1064 (GA).

si necesitas algún otro dato me dices, de verdad que no entiendo por que ocurre esto estoy un poco estancado.

[makco10]

Una forma simple seria creando una politica de ruteo y agregues el origen y destino, luego colocas la red/ip de la interface _sucre.

[Debes identificarte para poder ver enlaces.]

Desde la red usuarios realiza un tracert y muestranos hasta donde llega el paquete.

Saludos.

[Usernet]

Makco cree la politica de ruteo mas o menos por lo que entendi no se si estara correcta es esta:



y el tracert desde la red de usuario me dio esto:


Realice una hacia el router cisco de la .9 y me dio el mismo resultado que puede ser?

[makco10]

ok creaste una politica de ruteo, en el outgoing interface colocaste wan1, esa interface tiene configurada una ip de la red 192.168.2.x? porque veo que le colocaste una ip de la red 192.168.0.x en teoria tendrias que colocarte el gtw de la red 192.168.2.x.

[Usernet]

hola makco así lo hice coloque el gateway de la 192.168.2.x pero nada todavía.

[makco10]

talvez realizas un diagrama y lo compartes para darte alguna otra recomendación.

[moler]

yo creo que lo que necesitas son politicas y rutas, si eso esta lo que tendrias que hacer, para mi, es.

Por CLI, ejecutar lo siguiente "diagnose sniffer packet any 'host alguna ip que responda del otro lado' 4

Haces el ping y ves si te llega al forti, porque interfaz llega y por cual sale, si es que sale...si sale y por la interfaz correcta...ya no tienes que ver nada en el forti. Si llega al forti y no sale por ninguna interfaz, ahi tendrias que hacer un debug para ver con que te esta macheando (politica, ruta).

Yo no creo que tengas que hacer ruteo por politica. Si las redes no son del mismo segmento que las interfaces con ruteo estatico alcanza, eso si, asegurate de que tus "gateways" se vean desde el firewall sino es lo mismo que nada, la ruta estara configurada pero no activa.

Con un diagrama creo que sera mas claro poder ayudarte.

[Usernet]

Este es el diagrama a grandes rasgos:


con respecto al diagnose el resultado fue este:



no responde, claramente no esta llegando lo raro es que la vpn esta UP y desde SUCRE se pueden comunicar con el servidor perfectamente, las políticas agregadas tanto en el fortigate como en el cisco esta exactamente iguales replicadas en ambos lados de ida y vuelta.

Le llevo dando vuelta a este asunto demasiado tiempo y todavía no encuentro una respuesta al problema si necesitan algún dato mas no duden en consultar.

muchas gracias

[moler]

Mientras corrias el diagnose estabas generando trafico, no ?
Si el trafico lo generaste desde 192.168.0.x hacia la 192.168.9.254 y no lo ves en el firewall, tienes un problema entre esa LAN y el Forti.
Esa VPN que figura en el diagrama es una vpn SITE to SITE desde el forti al router? Si es asi, tienes la ruta de la red 192.168.9.x hacia el device "VPN que esta configurada"?.

[Usernet]

Así es la red mantiene trafico todo el día, la VPN es site to site desde el Forigate 100d hacia un CISCO RV082 y si como te digo la VPN funciona pero solo para el segmento de servidores, en SUCRE que es la 192.168.9.X pueden ingresar hacia el servidor .0, desde la central también puedo hacer ping desde la 192.168.0.X hacia el segmento .9, el problema esta con la red de usuarios la .2 puesto que no se puede hacer ping ni utilizar VNC ya que no logra ver la .9 esto es el problema ya que no me explico el por que de esto, puesto que tanto la .2 como la .0 mantiene las mismas configuraciones y políticas en fortigate.

[makco10]

Excelente diagrama, tengo mis dudas con el router antes del fortigate en Huechuraba, es un cisco?, tienes las rutas agregadas en este equipo?.

Saludos.

[moler]

Ah, ahora si. Bueno, veamos entonces.
En el fortigate, la red 192.168.2 y l a.0 se conocen por el mismo puerto y gateway ?.
Porque si en el diagnose que hiciste el trafico lo generaste de la .2 y no viste nada, tenes que revisar en los saltos entre la pc y el forti que se conozca la .9 hacia el forti.

[Usernet]

Excelente diagrama, tengo mis dudas con el router antes del fortigate en Huechuraba, es un cisco?, tienes las rutas agregadas en este equipo?.

Saludos.

si estimado están la rutas agregadas en ese router.