Editar interfaces FortiWiFi 60 E.

Para temas relacionados con el enrutamiento (estatico, basado en politicas, RIP, OSPF,...)
Responder
marcelocool
Mensajes: 38
Registrado: 22 Feb 2019, 15:00

Editar interfaces FortiWiFi 60 E.

Mensaje por marcelocool »

Hola, cuento con FortiWiFi 60E con FortiOS 6.0.5.

Necesito saber si se puede editar las interfaces o bocas de red del equipo con distintas IP a cada boca.
Actualmente el equipo cuenta con una WAN e Internal donde doy red por DHCP a mis usuarios. (se podrá cambiar o configurar para mejor)

Por una cuestión de seguridad Necesito aislar los departamentos. Asignar a un sector un IP clase A y mascara para unos 60 equipos y optimizar un poco la red y por otro lado mantener un rango de IP clase C (ya en funcionamiento)

osea:
en la boca 1 mediante UTP conectar desde Forti a Switch que va a producción por ejemplo con el IP 192.168.XX.XX
En la Boca 2 conectar desde Forti a el switch principal con el rango de IP 10.122.XX.XX para el resto de clientes.
Cabe decir que ambos deben tener salida a internet y poder controlar el ancho de banda en cada boca de red.
es posible??
NO tengo idea como crear vlans en Router ni en Switch (HP 1920s L3) ya que igualmente a informatica llega un UTP que va al sector para aislar y ya cuenta con su propio Switch.

Espero me puedan entender. Gracias.
Avatar de Usuario
makco10
Mensajes: 1345
Registrado: 03 Jun 2011, 19:42
Ubicación: Honduras
Contactar:

Re: Editar interfaces FortiWiFi 60 E.

Mensaje por makco10 »

Hola,

Si puedes hacerlo, si lo tienes en modo switch puedes desenlazar las interfaces para que configures independiente la configuración deseada.

Revisa este link: [Debes identificarte para poder ver enlaces.]

Te recomiendo lo actualices a la ultima version de firmware disponible, el link que te comparto es con la ultima version de firmware disponible.

Saludos.
Defend Your Enterprise Network With Fortigate Next Generation Firewall

NSE4
NSE5
marcelocool
Mensajes: 38
Registrado: 22 Feb 2019, 15:00

Re: Editar interfaces FortiWiFi 60 E.

Mensaje por marcelocool »

Gracias por tu respuesta.

El equipo esta casi por defecto, con la interfaz WAN y Lan que figura como internal con DHCP, en base a eso, se han creado las políticas correspondientes. Supongo que el Forti no está en modo Switch.
En ese caso, como procedo.
Hay que borrar todas las politicas? Se debe configurar via CLI para cambiar su modo?
El router está en producción, es necesario ¨arrancar¨ desde cero con las configuraciones?


**En el sitio donde estoy, muchos usuarios utilizan FortiClient con Antivirus, por lo que, si hago upgrade de Forti OS 6.0.5 a 6.2, Forticlient deja de validarse en el Fortiguard del Router, obligando a todos a cambiar por FortiEMS y FortiClient 6.2 de pago.**

Muchas Gracias. -
Avatar de Usuario
makco10
Mensajes: 1345
Registrado: 03 Jun 2011, 19:42
Ubicación: Honduras
Contactar:

Re: Editar interfaces FortiWiFi 60 E.

Mensaje por makco10 »

Hola,

Comparte capturas de las interfaces (Oculta la ip publica del WAN) y de las politicas.


Saludos.
Defend Your Enterprise Network With Fortigate Next Generation Firewall

NSE4
NSE5
marcelocool
Mensajes: 38
Registrado: 22 Feb 2019, 15:00

Re: Editar interfaces FortiWiFi 60 E.

Mensaje por marcelocool »

makco10 escribió: 07 Oct 2019, 22:06 Hola,

Comparte capturas de las interfaces (Oculta la ip publica del WAN) y de las politicas.


Saludos.
Adjunto politicas e interfaces.
(Se observa que está creada la LAN está 2 veces...debido a que, de un momento a otro perdí la conexión en la interfaz de red y sólo así pude levantarlas nuevamente.) :cry:
No tiene los permisos requeridos para ver los archivos adjuntos a este mensaje.
Avatar de Usuario
makco10
Mensajes: 1345
Registrado: 03 Jun 2011, 19:42
Ubicación: Honduras
Contactar:

Re: Editar interfaces FortiWiFi 60 E.

Mensaje por makco10 »

Hola,

Si te fijas tienes asignado los puertos al modo switch, puedes desenlazar esos puertos y configurar el direccionamiento por cada puerto.

No es necesario que borres las politicas solamente desenlaza las interfaces entrando al hardware switch.

En la parte de las politicas te recomiendo que mejor desagrupes y hagas politicas independientes, si te fijas tienes como source 3 interfaces, mejor realiza la politicas individuales y la ventaja que tendras es que al crear mas politicas será mas ordenado.

Las politicas para el acceso externo (WAN a la red interna) tambien realiza la politica independiente, asi puedes activar el IPS solamente para ese acceso y no para toda la red, de esta forma no incrementas el uso de CPU.

Saludos.
Defend Your Enterprise Network With Fortigate Next Generation Firewall

NSE4
NSE5
marcelocool
Mensajes: 38
Registrado: 22 Feb 2019, 15:00

Re: Editar interfaces FortiWiFi 60 E.

Mensaje por marcelocool »

Hola,

¨puedes desenlazar esos puertos y configurar el direccionamiento por cada puerto¨
puede que tenga que configurarlo con cli con: config sys virtual-switch ?? [Debes identificarte para poder ver enlaces.] algo como esto???
Existe otro metodo o forma? es el camino correcto para desenlazar? (Actualmente no puedo asignarle IP individuales a cada puerto de red.)

En cuanto a las políticas: Bien, intentaré crear de forma independiente. Aunque siempre debo colocar ALL y luego es dispositivo o usuario.

¨ Las politicas para el acceso externo (WAN a la red interna) tambien realiza la politica independiente, asi puedes activar el IPS solamente para ese acceso y no para toda la red, de esta forma no incrementas el uso de CPU.¨

En caso IPS sería Aplicar a la WAN desde FROM y TO? o a cada Usuario que le genere una regla? la idea es aplicar ISP a la WAN para que filtre en la LAN general, es correcto? o quizá mi concepto está mal?

Gracias. -
Avatar de Usuario
makco10
Mensajes: 1345
Registrado: 03 Jun 2011, 19:42
Ubicación: Honduras
Contactar:

Re: Editar interfaces FortiWiFi 60 E.

Mensaje por makco10 »

Hola,

Para eliminar el virtual hardware switch debes eliminar todos los objetos utilizados, este link te da los pasos exactos: [Debes identificarte para poder ver enlaces.]

Coloca ALL para el destino para el origen puedes poner el segmento completo de red o un rango de direcciones.

El IPS habilitalo solo si tienes servicios publicado: Aplicaciones web, paginas web, portales,etc. De otra forma no es necesario ya que no tienes visibilidad a tu red externarmente. Tambien lo puedes habilitar para los usuarios con el perfil PROTECT_CLIENT solo te recomiendo lo habilites para tus usuarios vulnerables, si pones IPS en todas las politicas los recursos del Fortigate se irán a tope.

Saludos.
Defend Your Enterprise Network With Fortigate Next Generation Firewall

NSE4
NSE5
marcelocool
Mensajes: 38
Registrado: 22 Feb 2019, 15:00

Re: Editar interfaces FortiWiFi 60 E.

Mensaje por marcelocool »

makco10 escribió: 08 Oct 2019, 23:49 Hola,

Para eliminar el virtual hardware switch debes eliminar todos los objetos utilizados, este link te da los pasos exactos: [Debes identificarte para poder ver enlaces.]

Coloca ALL para el destino para el origen puedes poner el segmento completo de red o un rango de direcciones.

El IPS habilitalo solo si tienes servicios publicado: Aplicaciones web, paginas web, portales,etc. De otra forma no es necesario ya que no tienes visibilidad a tu red externarmente. Tambien lo puedes habilitar para los usuarios con el perfil PROTECT_CLIENT solo te recomiendo lo habilites para tus usuarios vulnerables, si pones IPS en todas las politicas los recursos del Fortigate se irán a tope.

Saludos.
HOLA! gracias por tus respuestas y ayuda;

[Debes identificarte para poder ver enlaces.] es mas o menos lo que me pasaste ? [Debes identificarte para poder ver enlaces.] pero graficamente? entiendo que hay q editar o borrar reglas y dhcp.

Estoy analizando de arrancar con el Forti de cero ya que por no saber ciertas cuestiones, depuraría y ordenaría un poco lo q hay.

Veo como aplico cambios y paso comentarios.

Nuevamente, gracias por tu respuestas.
Avatar de Usuario
makco10
Mensajes: 1345
Registrado: 03 Jun 2011, 19:42
Ubicación: Honduras
Contactar:

Re: Editar interfaces FortiWiFi 60 E.

Mensaje por makco10 »

Hola,

Si puedes hacer todo desde 0 de igual forma tienes que borrar todos los objetos relacionados con el hardware virtual switch.

Saludos.
Defend Your Enterprise Network With Fortigate Next Generation Firewall

NSE4
NSE5
marcelocool
Mensajes: 38
Registrado: 22 Feb 2019, 15:00

Re: Editar interfaces FortiWiFi 60 E.

Mensaje por marcelocool »

Por fin pude lograr eliminar la Internal y editar cada boca de red para ser configurada de forma independiente....ahora tengo un problema;

La red Wifi Administrativa y la red principal se relacionaban entre si..ahora no.
Al dividir la red ejemplo:
Interfaz 1 para producción 10.122.1....
interfaz 2 para diseño, 192.168.1....
interfaz 3...etc 192.168.0..
Wifi de producción no lo puedo relacionar con la interfaz uno ni puedo asignarle el IP 10.122.1...ya que me dice que hay conflicto con la interfaz internal1...debo tener otro rango de ip 10.122.2 dejando los dispositivos móviles sin base de datos por ejemplo.
Que forma existe para que la red 1 y wifi 1 tengan el mismo IP?
Avatar de Usuario
makco10
Mensajes: 1345
Registrado: 03 Jun 2011, 19:42
Ubicación: Honduras
Contactar:

Re: Editar interfaces FortiWiFi 60 E.

Mensaje por makco10 »

Puedes tenerlos con diferentes segmentos de red y solamente permite la comunicación entre redes mediante politicas de acceso.

Segmentar la red tambien te da un plus de seguridad, por ejemplo puedes permitir servicios especificos.

Saludos.
Defend Your Enterprise Network With Fortigate Next Generation Firewall

NSE4
NSE5
marcelocool
Mensajes: 38
Registrado: 22 Feb 2019, 15:00

Re: Editar interfaces FortiWiFi 60 E.

Mensaje por marcelocool »

makco10 escribió: 18 Oct 2019, 20:37 Puedes tenerlos con diferentes segmentos de red y solamente permite la comunicación entre redes mediante politicas de acceso.

Segmentar la red tambien te da un plus de seguridad, por ejemplo puedes permitir servicios especificos.

Saludos.
HOLA!

La idea de algunos dispositivos Móbiles es que se conecten a una determinada base de datos que está en la misma red Administrativa.
Ahora depués de la nueva configuración del router. Los dispositivos móbiles no pueden acceder a la base por estar en otro segmento de red.
Existirá la forma de hacer algún redireccionamiento a determinada IP con dispositivos con IP diferente?
Avatar de Usuario
makco10
Mensajes: 1345
Registrado: 03 Jun 2011, 19:42
Ubicación: Honduras
Contactar:

Re: Editar interfaces FortiWiFi 60 E.

Mensaje por makco10 »

Solamente permite mediante politica, y pruebas que tengas acceso a la ip de la base.

Saludos.
Defend Your Enterprise Network With Fortigate Next Generation Firewall

NSE4
NSE5
Responder