FortiGate 100A

[sedlav]

Hola amigos, gusto en saludarlos y que bueno que encuentro un foro tan bueno como este, buenas preguntas y respuestas excelentes!

Mi Nombre es Rene Valdes vivo en Chile y soy un novato en el tema del Fortinet.

Bueno espero que la presentacion haya estado bien y ahora vamos a lo que aqui nos incumbe (espero devolver la mano en poco tiempo)

En la empresa en que trabajo nos dedicamos a dar servicio de datos y voz a empresas a las cuales no les llegan las ISP facilmente asi que les enviamos el servicio por antenas, asi que es una red un tanto grande (y aqui estoy para hacer desmanes con la red jajaja!)

Bueno el tema es que tengo un cliente el cual debe sacar el servicio de camaras ip a una de nuestras IP publicas.

Ahora explico como esta la red hasta ese cliente y las politicas que he creado en el Fortinet


Internet <------> Fortinet 100A <------> Router Cliente <----------> Camaras IP
Internet <------> IP Publica <------> En DMZ1 <----------> Puertos 8099 al 8103 por TCP
Internet <------> 190.XX.XX.12X <------> Ip int <----------> Ip int
Internet <------> 190.XX.XX.12X <------> 192.1.0.123 <----------> 192.168.10.100 al 104
--------------------------------------------------------------------------------------------------------------------

FOrtinet 100A ---- Fortigate-100A 3.00-b0574(MR5 Patch 5)


Reglas en el Firewall

Firewall -----> IPVirtual ---------> IP Pool

Nombre : IP publica cliente
Interfase : wan1
Rango IP : 190.xx.xx.12x ----> La IP publica de este cliente


Firewall -----> IPVirtual ---------> IP Virtual

Nombre : Camaras
Interfase Externa : wan1
Tipo : NAT Estático
Dir IP / Rango Ext : 190.XX.XX.12X
Mapeo de Dir IP / Rango : 192.1.0.123/255.255.255.0

Redireccionamiento de Puerto
Protocolo TCP
Puerto del Servicio Externo 8100
Mapeo al Puerto 8100

(Si no chequeo el tipo de puerto me acusa objeto duplicado, se que aqui podria existir un problema)

Firewall -----> Servicio --------> Personalizado

Nombre : Serv- Cliente
Tipo Protocolo : TCP/UDP
Protocolo : TCP Y UDP
Puerto Origen Puerto Destino
Inferior Superior Inferior Superior
8099 8103 8099 8100

Firewall -----> Direccion
Nombre : Cliente
Tipo : Subred
Rango IP : 192.1.0.123
Interfase : DMZ1

Firewall -----> Politica

WAN1 hacia DMZ1

Zona/Interfase Origen : WAN1
Dirección Origen : all
Zona/Interfase Destino : DMZ1
Dirección Destino : IP Virtual cliente ----- Sera este el paso que estoy herrando???
Horario : Always
Servicio : Any
Acción : Allow

NAT

El resto sin chequear

Se agradeceria si me pueden ayudar con esto que ya me esta volviendo loco ..

Saludos

Rene

[gabyrossi]

hola, como estas?

Cuando publicas servicios o tenes que ver algo de adentro desde afuera (internet) tenes que usar virtualip
con la ip publica, hacia la ip interna y usando el puerto necesario.

luego aplicas el virtual ip en la politica de wan a intern o dmz (dependiendo de donde este) y si quieres puede ajustar el puerto tambien. esto es sin nat.

saludos
Gabriel

[sedlav]

Hola Gabriel buenas tardes y gracias por responder tan pronto!

Te comento un poco lo que he hecho y lo que tenemos aqui..

Tenemos 12 IP publicas llegando al WAN1

El cliente se encuentra en la DMZ1 --- IP Router cliente 192.1.0.123
Los de la oficina en el internal ---- IP de mi equipo 192.168.100.139
Hasta aqui todo bien veo las camaras (ya que "es red interna")

Realice la IP Virtual

Firewall -----> IPVirtual ---------> IP Virtual

Nombre : Camaras
Interfase Externa : wan1
Tipo : NAT Estático
Dir IP / Rango Ext : 190.XX.XX.12X
Mapeo de Dir IP / Rango : 192.1.0.123

Y la politica

Firewall -----> Politica

WAN1 hacia DMZ1

Zona/Interfase Origen : WAN1
Dirección Origen : all .------ Es aqui donde debo poner la IP Virtual por que no me aparece
Zona/Interfase Destino : DMZ1
Dirección Destino : IP Virtual cliente ----- Sera este el paso que estoy herrando???
Horario : Always
Servicio : Any
Acción : Allow


Gracias por tu ayuda y disculpa por las preguntas, pero con Fortinet nunca he trabajado y a pesar de ser bien intuitivo el manejo de este, hay otras reglas y configuraciones hechas y no quiero meter la pata jejeje
Estas politicas las estoy poniendo sobre todo lo que hay creado, asi tengo prioridad del FW

Saludos

[gabyrossi]

hola, es correcto el virtual ip lo poenes en la politica de wan a dmz como destino.
en source dejas all, porque te van a acceder de distintos ip, salvo que sepas de que ips publicos van a acceder a las camaras.


saludos

[sedlav]

No me funciona .....

He hecho casi de todo y no quiero crear una VPN para esto, lo encuentro ilogico y una perdida de recursos

[gabyrossi]

hola, haber. A la camara intentas acceder por una ip publica : puerto? ejemplo [Debes identificarte para poder ver enlaces.]

y asi no te muestra nada??????????? estas probando desde afuera?


saludos

[sedlav]

Justamente

[sedlav]

Ya ahora si respondo como corresponde....

Cree la politica como me guiaste y no paso nada, ademas cree otra politica sobre todas desde la DMZ1 a la WAN1, la cual dice que

Zona Origen : DMZ1
Direccion: IP Router Cliente (192.1.0.123)
Zona destino : WAN1
Direccion Destino : all
Servicio: Serv Camaras (Los puertos de las camaras)
Y el NAT habilitado (ya que es una politica de salida)

Perdon por responder a la rapida recien justo entro un cliente preguntando "cosas "

[gabyrossi]

hola, no es necesaria esa politica saliente.

saludos

[sedlav]

Borrada......

Gabriel, gracias por tu atencion y ayuda, realmente un gran valor! si vienes a Copiapo, Chile avisa que los tragos los pongo yo! (si vas a Santiago avisa para estar por alla)

No me deja salir

Lo que he estado pensando en hacer es:

1.- Como las IPs publicas que tenemos llegan a la WAN1, lo mejor seria tratar de cambiarle el DNS al router del cliente y sacarlo por una "IP limpia", he intentar nuevamente.

2.- Empezar a ordenar bajo mi criterio las salidas y usos de las IP (ya que el antiguo adm se retiro y bueno mi especialidad no es adm de redes )

Salut!

[sedlav]

Gabriel, gracias por tu valiosa ayuda, al fin logre sacar los puertos requeridos como lo hice exactamente como me dijiste, ahora bien por que no funcionaba, tengo unas teorias.

1.- El fortigate estaba mareado
2.- La version IExplorer
3.- Mozilla Firefoz 3.5

1.- Las configuraciones las habia hecho la semana pasada antes de actualizar el Fx y no salia por nada
2.- Por lo general usaba el Iexplorer V 7 para realizar los cambios
3.- Hoy en mi NB actualice firefox y despues me meti a fortinet a hacer los cambios que habia dicho, pero como soy cabeza dura hice las configuraciones sobre lo que estaba trabajando. Y todo funciono.

OBS: Cuando seleccionen una opcion que les ofresca mas opciones, aunque la opcion que quieran este marcada vuelvan a marcarla, ya que esto fue lo distinto que hice junto al navegador y ahora tengo el acceso requerido

Asi que gracias y te anotaste un poroto amigo mio!

Saludos

Rene Valdes Mena

[gabyrossi]

Hola, de nada. tendre en cuenta las invitaciones jejeje Ahora que estamos todos en el mundial podemos festejar tranquilos jejeje.

Con el tema de los navegador muchas veces hay que tener un poco de cuidado con los cache.
Nose que firmware tiene el 100a. podrias llevarlo y actualizarlo si es que no lo hiciste.


mucha suerte, y por aca estaremos

saludos
Gabriel

[sedlav]

Hola.

El firmware es el siguiente y esta operando asi

Estado de HA Standalone
Versión de firmware Fortigate-100A 3.00-b0574(MR5 Patch 5)
Modo de operación NAT

Segun lo que lei en la red decian que el patch 9 es un tanto inestable, cual seria el recomendado?????

Salut!

[gabyrossi]

Hola, la version estable y que te va a mejorar varias cosas seria mr7 patch 6 .

pero tendras que tener algunos recaudos. (backups y leer el release note)

cambia mucho a partir de mr6 el IPS y algunas cositas mas.
Que si actulizas tendras que revisarlo nuevamente y re-armarlo.

pero vale la pena.

Siempre que actulices, en este caso en mr7patch siempre hay un documento en pdf que se llama release note donde te dice los pasos que tenes que hacer para actulizar de una version a otra.

vos que tenes mr5 patch5 deberias hacer un par de saltos hasta llegar al mr7 patch6.

Leelo antes de hacer algo

saludos