DMZ

[AndresMHS]

Hola Muchachos, que tal.
Tenemos un Fortigate 100C y tengo creadas mis politicas de seguridad para bloquear todo. El tema es que cuando llegan visitas a una reunión quieren mostrar algo en la web y quedan bloqueados, entonces se me ocurre crear un portal cautivo donde ingresen, por ejemplo usuario"visita" clave "visita123" y que el Fortinet les entregué una IP distinta a la LAN de uso empresa y que también tengan salida libre a Internet sin ningún bloqueo.
Creo que debo empezar creando una DMZ y luego lo del portal cautivo, si pueden brindarme información de como hacerlo se los agradecería mucho, he leído diferentes opiniones en los foros, pero no me ha servido.

Gracias.
Saludos!!

[And.quijada]

Buen día amigo,

Va a depender de como conectes a estos invitados.. El fortinet tiene puerto DMZ en caso de que sea vía Wifi y no poseas tu red segmentada, puedes conectar el router a dicho puerto y ahi realizas los ajustes de política, ruta , portal cautivo y navegación, también lo puedes realizar creando una VLAN si tu red es segmentada y aplicar las mismas configuraciones, esta VLAN puede estar conectada a tu puerto LAN.

Si se conectan vía cable utp entonces debes manejarlo con VLAN o colocar un SW este conectado al puerto DMZ y los puertos de la sala de reuniones conectarlos a ese SW.

las politicas serian de DMZ a Wan
O de VLAN a WAN

Saludos.

[AndresMHS]

Hola Anderson, buen día.
Primero que todo gracias por tu ayuda e interés.
Mi idea es habilitar WIFI sólo para los invitados, mi red no está segmentada. Entonces el fin de esto es que los invitados queden en otra LAN y que no puedan ver servidores e impresoras de la RED operativa de la empresa.

Gracias!

[And.quijada]

Perfecto debes utilizar entonces un puerto DMZ para conectar a tu router Wifi.

Lo puedes realizar conectando de tu port DMZ a la Wan del router (colocas una ip fija del rango DMZ) y el router que entregue ip en su LAN Wifi. Con esta opción en tus políticas TY Ruta solo permisas para que valla a Internet la ip configurada en la WAN del router.

También puedes conectar la LAN del router a tu Port DMZ y que este ultimo entregue direcciones, permisando hacia Internet (Politica y ruta)la Red de DMZ.

En la Interfaz utilizada como DMZ habilitas el portal cautivo.

Todas las opciones mencionadas te funcionan ya que si no realizadas politicas hacia la LAN no van a acceder a tus recursos locales,es cuestión de decidir cual prefieres.

Seria útil saber también que versión de Firmware tienes? y si tienes las Interfaz LAN Separadas en puertos, es decir, que cada puerto LAN sea independiente no un Swich.

Cualquier duda estoy a la orden.
Saludos.

[AndresMHS]

El firmware v5.4.0,build1011 (GA).
Y lo otro, nuestro Fortigate está configurado como Hardware Switch, que fue lo sugerido por la persona que en ese minuto instaló el equipo debido a nuestra estructura de RED.
En este escenario no se puede aplicar el DMZ?

Saludos !!

[And.quijada]

Si se puede, solo debes tener un puerto libre que uses para dicho propósito, en este caso usas un puerto para montar tu dmz. En la versión 5.4 0 debes poder sacar una puerto del hardware switchy colocarlo como puerto independiente y sobre ese hacer tu configuración dmz esto si no tienes puertos disponibles.

Lo importante es que tengas un puerto libre que puedas destinar para dmz.

[AndresMHS]

Hola estimado.
Me equivoqué en el modelo de nuestro Fortigate, es el 90D y no tiene puerto DMZ.
Así se ve la configuración actual.
Entiendo que puedo quitar una interfaz del Hardware Switch y crear una nueva interfaz para la DMZ?
Tal vez parezca obvio, pero es mejor consultar antes de mandarse flor de rana.

Gracias master.

[And.quijada]

Exacto, una de las que tiene X al darle clic y aplicar la quita del hardware switch y las vas a tener disponible para usarla como dmz.

Saludos.

[And.quijada]

Bueno no X corrijo de las que están down que no tienes nada conectado. . Al sacarla del hardware switch ya la tendrás en la pantalla principal de interfaces para usarla como dmz, Wan conectar otra Red. Lo que necesites en tu caso dmz

[aisa1985]

Hola Anderson, en relación a esto, estoy tratando de habilitar una nueva interface para mi dmz en mi forti90D y necesita sacarla del hardware switch, pero no estaría pudiendo, me podrías dar una mano.
Cuando ingreso a mi interface la, no veo la posibilidad de deshabilitar ninguna intreface del switch...

[makco10]

Hola,

¿Que FortiOS utilizas?

En las ultimas versiones nada mas tienes editar el hardware switch y darle a la x en la interface que deseas sacar.

Captura.PNG

Saludos.

[aisa1985]

Hola.
Versión 5.2.0
Envio adjunto de como me aparece la config del intreface lan
Gracias.

[makco10]

Hola,

En 5.2 para poder cambiar el modo del hardware switch debes eliminar todos los objectos o referencias del hardware switch, politicas, rutas estaticas, VPN, cualquiere referencia para que puedas hacer el cambio.

Luego por CLI debes hacer el siguiente cambio:

Código: Seleccionar todo

config system global
     set internal-switch-mode interface
exit

Por cualquier duda ingresa a este link: [Debes identificarte para poder ver enlaces.]

Saludos.

[aisa1985]

Muchas gracias Makco10

[makco10]

De nada, te recomendaria hacer el upgrade de firmware hacia 5.6.9 es la ultima version compatible para el Fortigate 90D.

[Debes identificarte para poder ver enlaces.]

Saludos.