Salir por FTP en diferentes WAN Fortigate100A

[biohazard32]

Buenas!
Tengo un pequeño problema que revolver pero no doy con ello, ya miré los de las VPN en este foro y funcionó, así que prueba a ver si alguien tiene el mismo problema que yo, tengo un Fortigate 100A con dos WAN, el balanceo funciona correctamente y las demás políticas, pero necesito que un equipo de la INTERNAL con IP fija cuando utilize el protoclo FTP salga por la WAN2, en vez de la WAN1 que por defecto es la Gateway de la red Interna. Por ahora en caso de fallo de una WAN, automaticamente sale por la otra. Pongo los datos que tengo en el 100A:

dmz1 192.168.0.2 / 255.255.255.0
dmz2 /
internal 192.168.1.2 / 255.255.255.0
wan1 192.168.4.2 / 255.255.255.0
wan2 192.168.3.2 / 255.255.255.0


0.0.0.0 0.0.0.0 192.168.3.3 wan2 10
0.0.0.0 0.0.0.0 192.168.4.1 wan1 10
192.168.0.0 255.255.255.0 192.168.0.2 dmz1 10

He intentado configurar una POLICY ROUTE para que todo el tráfico FTP de una IP, p.ej 192.168.1.129 la redirija a la WAN2, pero no me funciona, selecciono origen INTERNAL 192.168.1.129/255.255.255.255 puertos del 21 al 21 como destino la WAN2 por la Gateway 192.168.3.3 (Gateway de WAN2).

En las políticas por defecto todo el tráfico desde INTERNAL > WAN1 e INTERNAL >WAN2 esta permitido, he intentado bloquear el acceso por el FTP a la IP anterior por la WAN1, pero tampoco consigo que vaya por la WAN2, alguna idea?

Gracias!

[gabyrossi]

Hola, como estas? Esto ya se hablo bastante en el foro, para no volver a repetir, te paso los links donde esta:

viewtopic.php?f=7&t=503

saludos
Gabriel

[biohazard32]

Buenas, gracias por contestar, ya me miré antes de postear el link que pasaste, he conseguido que la IP que queria vaya por la WAN2, pero además del tráfico FTP pasa todo, en la Policy Route he dejado la IP así:

Protocol : ?
Incoming interface ------internal
Source address / mask ...192.168.1.129/255.255.255.255
Destination address / mask 0.0.0.0/0.0.0.0
Destination Ports From:21 To:21
Force traffic to:
Outgoing interface----wan2
Gateway Address------192.168.3.3 (Gateway wan2) (o 0.0.0.0 para que pase a la wan1 en caso de fallo)

En la policy del Firewall está permitido a las dos wan:

Internal------wan1 all
Internal------wan2 all

El tráfico esta permitido pero lo que quiero es que solo el Puerto 21 sea redirigido a la wan2, en principio la Policy Route seberia redirigir solo el puerto 21(FTP) por la wan2 pero no el resto, me gustaria saber que hago mal! Aún así no entiendo el parámetro Protocol, que es número, hay que indicarle aquí el tipo FTP?

Gracias por contestar tan rápido!! A ver si ves algo que esté mal!

[gabyrossi]

hola, como estas¿?

te faltaria el protocolo que en ese caso es 6 (TCP)


Saludos
Gabriel

[biohazard32]

Gracias!
Por fin!
Después de todo el dia peleando....y resulta que la solución bien simple! Voy a revisar el manual pq en la info que busque no encontre la referencia de los puertos, de aqui la pregunta.

Seguiremos haciendo cositas con el firewall!!!!

[gabyrossi]

de nada, saludos

Gabriel